2026-06-18
DragonForceハッカーがMicrosoft Teamsリレーを悪用しバックドアを隠蔽
DragonForceというランサムウェアに関連する攻撃者が、Microsoft Teamsのリレーインフラを利用して、バックドア「Backdoor.Turn」を隠蔽し、コマンド・アンド・コントロール(C2)トラフィックを行っていることが報告されました。この攻撃は、米国の大手サービス企業に対して行われ、攻撃者は約1〜2ヶ月間、被害者のネットワークに潜伏していたとされています。攻撃者は、MicrosoftのSkypeバックエンドから匿名のTeams訪問者トークンを取得し、正当なMicrosoft TURNリレーを使用して接続を確立しました。これにより、ネットワーク防御者は正当なMicrosoft Teamsサーバーへのアウトバウンド接続しか確認できませんでした。
メトリクス
このニュースのスケール度合い
5.0
/10
インパクト
7.5
/10
予想外またはユニーク度
7.0
/10
脅威に備える準備が必要な期間が時間的にどれだけ近いか
8.0
/10
このニュースで行動が起きる/起こすべき度合い
7.0
/10
主なポイント
- ✓ DragonForceの攻撃者は、Microsoft Teamsのリレーを利用してC2トラフィックを隠蔽する手法を用いています。
- ✓ 攻撃者は、初期アクセスをSQLサーバーの脆弱性を利用して取得したと考えられています。
社会的影響
- ! この攻撃は、企業のセキュリティ対策の重要性を再認識させるものです。
- ! Microsoft Teamsのような広く使用されているプラットフォームが攻撃に利用されることで、ユーザーの信頼が損なわれる可能性があります。
編集長の意見
DragonForceの攻撃は、サイバー犯罪者が高度な技術を駆使していることを示しています。特に、Microsoft Teamsのリレーを悪用する手法は、従来の攻撃手法とは異なり、非常に巧妙です。このような手法は、企業のネットワーク防御を困難にし、攻撃者が長期間にわたり潜伏することを可能にします。さらに、攻撃者が使用したBYOVD(Bring Your Own Vulnerable Driver)技術は、既存のドライバを悪用することで、セキュリティ対策を回避する新たな手法です。企業は、こうした新しい攻撃手法に対抗するために、セキュリティポリシーの見直しや、従業員への教育を強化する必要があります。また、脆弱性の早期発見と修正を行うためのプロアクティブなアプローチが求められます。今後、サイバー犯罪者はますます高度な手法を用いることが予想されるため、企業は常に最新の情報を収集し、迅速に対応できる体制を整えることが重要です。
背景情報
- i Backdoor.Turnは、Go言語で作成されたリモートアクセス型トロイの木馬(RAT)であり、MicrosoftのTURNリレーを利用してC2サーバーとの通信を行います。この手法により、攻撃者は正当なトラフィックに紛れて悪意のある活動を行うことが可能です。
- i 攻撃者は、PowerShellコマンドを使用してZIPアーカイブを展開し、DLLサイドローディング攻撃を実行しました。この攻撃により、悪意のあるDLLが実行され、ネットワーク内での持続性を確保し、セキュリティソフトウェアを無効化しました。