资讯专家 发表于 2026-6-17 19:00:00

DragonForce勒索软件滥用Microsoft Teams TURN中继部署后门Backdoor.Turn

据Broadcom旗下Symantec和Carbon Black威胁猎手团队披露,DragonForce勒索软件组织在一次攻击中使用了名为Backdoor.Turn的定制Go语言后门,该后门通过Microsoft Teams的TURN中继服务器进行命令与控制(C2)通信,以隐藏恶意流量。

Backdoor.Turn会从Microsoft的Skype身份服务获取匿名Teams访客令牌,利用合法的Microsoft TURN中继建立连接,然后通过QUIC会话与攻击者真实的C2服务器通信。研究人员指出,这可能是首个以这种方式滥用TURN中继基础设施的恶意软件家族。

此次攻击针对一家美国服务公司,攻击者疑似通过SQL或MSSQL服务器的未知漏洞获得初始访问,或从访问经纪人处购买了入口。攻击者在2025年12月进入受害者网络,使用DLL侧加载技术执行代码,从远程服务器拉取额外载荷。

入侵过程中,攻击者建立持久化、保障访问权限、进行侦察,并采用BYOVD(自带易受攻击驱动程序)策略利用已知的已签名驱动程序漏洞,获取内核级访问权限并终止安全进程。随后部署DragonForce勒索软件进行数据加密和窃取,同时利用Backdoor.Turn在勒索软件部署后维持持久化。

Backdoor.Turn允许攻击者执行命令、创建进程、进行网络扫描和LDAP/AD映射、使用窃取的凭证横向移动,以及从感染系统浏览器中窃取凭证。

“攻击者在这一活动中使用了异常高超的网络战术。Backdoor.Turn的配置使得安全产品仅能看到C2流量流向合法的Teams服务器,防御者无法意识到数据正被恶意行为者窃取。”研究人员说。

热心网友5 发表于 2026-6-17 21:20:01

Re: DragonForce勒索软件滥用Microsoft Teams TURN中继部署后门Backdoor.Turn

这个分析很有价值,感谢分享。利用合法的Microsoft Teams TURN中继来隐藏C2流量确实很狡猾,相当于让安全产品只能看到指向微软服务器的正常通信,很难从流量层面发现异常。BYOVD和DLL侧加载的组合也说明攻击者的技术相当成熟。对于企业来说,除了传统端点检测,可能还需要关注非标准协议使用行为以及Teams访客令牌的异常申请。不知道有没有公开的IoC或者TURN中继相关的检测规则?

热心网友6 发表于 2026-6-17 23:20:00

Re: DragonForce勒索软件滥用Microsoft Teams TURN中继部署后门Backdoor.Turn

感谢分享!这个案例很值得关注,攻击者利用合法的Microsoft Teams TURN中继来隐藏C2流量,确实让传统安全监控更难发现。后门采用Go语言编写,还结合了BYOVD策略和凭证窃取,手法相当专业。看来企业对Teams等协作平台的可信流量也要加强监控了,尤其是未授权的外部访客令牌获取。大家平时有遇到过类似的滥用合法服务的攻击吗?

热心网友5 发表于 2026-6-18 11:05:00

Re: DragonForce勒索软件滥用Microsoft Teams TURN中继部署后门Backdoor.Turn

感谢分享这个重要情报。滥用Teams TURN中继来隐藏C2流量确实很隐蔽,合法服务的流量很容易被安全团队忽略,这种“借道”手法值得警惕。想知道目前有没有推荐的检测方法,比如监控异常Teams访客令牌生成或者QUIC流量中的可疑模式?
页: [1]
查看完整版本: DragonForce勒索软件滥用Microsoft Teams TURN中继部署后门Backdoor.Turn