- SymantecがDragonForceランサムウェア運営者によるMicrosoft TeamsのTURNリレーの隠密C2通信への悪用を確認
- GoベースのカスタムRAT「Backdoor.Turn」が悪意ある活動を通常のTeams通信に偽装
- 「Ghost Calls」技術の実環境における初の悪用事例。Scattered Spiderとの関連も示す高度な手口
セキュリティ専門家が警告を発しています。サイバー犯罪者がMicrosoft Teamsのリレーをコマンド&コントロール(C2)インフラとして悪用し、悪意あるトラフィックを正常な企業通信に紛れ込ませているとのことです。
Microsoft Teamsにおけるリレーとは、参加者間で直接接続が確立できない場合(例えば、企業ネットワーク内やファイアウォールの内側にいる場合など)に、音声・映像トラフィックを中継するサーバーのことです。
セキュリティ研究機関Symantecによると、2025年12月にランサムウェアグループ「DragonForce」が米国の大手サービス企業を標的とした攻撃を行いました。SQLまたはMSSQLサーバーの未知の脆弱性を悪用してターゲットのネットワークへの足がかりを得たとみられており、その過程で「Backdoor.Turn」と呼ばれるカスタムバックドアマルウェアを展開しています。
DragonForceとは
Symantecによれば、このバックドアはTeamsが2名以上の参加者間で直接接続を確立できない場合に使用する「Traversal Using Relays around NAT(TURN)」プロトコルを悪用しています。これにより、防御側からは通常あまり精査されないTeamsのトラフィックしか見えない状態になります。
BleepingComputerによると、この技術は2025年にPraetorianが初めて実証し、「Ghost Calls」と命名しましたが、実際の攻撃で使用されたのは今回が初めてです。
「Backdoor.TurnはGoベースのRATであり、Microsoft TeamsのTURNリレーサーバーを悪用してC2トラフィックを隠蔽した、初めて確認されたマルウェアです」とSymantecは述べています。
ランサムウェアの世界では「古参」とも言えるDragonForceは、2023年に初めて確認されたグループです。悪名高いScattered Spider組織との関連が指摘されており、2025年には麻薬カルテル型のビジネスモデルを採用しています。
ホワイトラベル型のアフィリエイトモデルを提供することで、他のグループが独自のブランド名で攻撃を展開しながらDragonForceのインフラとマルウェアを利用できる仕組みになっています。このモデルのもとでは、アフィリエイト側がインフラを管理する必要はなく、DragonForceが交渉サイト、マルウェア開発、データ漏洩サイトをすべて担います。
Symantecは、今回のキャンペーンを実行した攻撃者たちは「極めて高度なサイバー作戦技術を駆使している」と述べています。侵害の痕跡(IoC)の完全なリストはこちらのリンクからご覧いただけます。
