Microsoft Teams 中继服务器被滥用于 DragonForce 勒索软件攻击

据 Broadcom 的 Symantec 和 Carbon Black 威胁猎手团队称，在最近的一次 DragonForce 勒索软件攻击中部署的一种新后门正在使用 Microsoft Teams 中继服务器进行命令与控制 (C&C)。

DragonForce 组织自 2023 年以来一直活跃，以卡特尔结构运作，并在近几个月采用了高度先进的技术，表明其组织成熟度和大量资源投入。

新发现的恶意软件被追踪为 Backdoor.Turn，用 Go 语言编写，并以复杂的方式将其 C&C 服务器通信伪装成合法的 Microsoft Teams 流量。

威胁猎手们指出：“Backdoor.Turn 从微软基于 Skype 的身份服务中获取匿名 Teams 访客令牌，使用合法的 Microsoft TURN 中继建立连接，然后运行 QUIC 会话连接到攻击者的真实 C&C 服务器。”

据研究人员称，这似乎是第一个以这种方式滥用 TURN 中继基础设施的恶意软件家族。

他们指出：“勒索软件攻击者使用自己的自定义工具相对罕见，而使用像 Backdoor.Turn 这样复杂的自定义工具尤其罕见。”

深度伪造保护

该自定义后门被用于攻击一家美国服务公司，该公司很可能通过 SQL 或 MSSQL 服务器中的未知漏洞被入侵。DragonForce 的操作者可能从访问经纪人处购买了该公司的访问权限。

据 Symantec 和 Carbon Black 称，黑客于 2025 年 12 月访问了受害者网络，并依靠 DLL 侧加载来执行代码，以从远程服务器获取额外的恶意软件。

黑客建立了持久性，确保了对受感染环境的访问权限，进行了侦察，并采用了复杂的 BYOVD 策略来利用已签名驱动程序中的已知漏洞，从而获得内核级访问权限并终止安全进程。

他们还部署了 DragonForce 勒索软件进行数据加密和窃取，以及 Backdoor.Turn 恶意软件以在部署勒索软件后保持对受感染系统的持久访问。

该后门使威胁行为者能够执行命令、创建进程、执行网络扫描和 LDAP/AD 映射、使用窃取的凭证进行横向移动，以及从受感染系统上安装的浏览器中窃取凭证。

研究人员指出：“此次攻击中的攻击者使用了异常复杂的网络战术。Backdoor.Turn 的配置意味着安全产品只能看到发往合法 Teams 服务器的 C&C 流量，从而使防御者无法意识到数据正被恶意行为者窃取。”