DragonForce勒索软件滥用Microsoft Teams TURN中继部署后门Backdoor.Turn

资讯专家

据Broadcom旗下Symantec和Carbon Black威胁猎手团队披露，DragonForce勒索软件组织在一次攻击中使用了名为Backdoor.Turn的定制Go语言后门，该后门通过Microsoft Teams的TURN中继服务器进行命令与控制（C2）通信，以隐藏恶意流量。

Backdoor.Turn会从Microsoft的Skype身份服务获取匿名Teams访客令牌，利用合法的Microsoft TURN中继建立连接，然后通过QUIC会话与攻击者真实的C2服务器通信。研究人员指出，这可能是首个以这种方式滥用TURN中继基础设施的恶意软件家族。

此次攻击针对一家美国服务公司，攻击者疑似通过SQL或MSSQL服务器的未知漏洞获得初始访问，或从访问经纪人处购买了入口。攻击者在2025年12月进入受害者网络，使用DLL侧加载技术执行代码，从远程服务器拉取额外载荷。

入侵过程中，攻击者建立持久化、保障访问权限、进行侦察，并采用BYOVD（自带易受攻击驱动程序）策略利用已知的已签名驱动程序漏洞，获取内核级访问权限并终止安全进程。随后部署DragonForce勒索软件进行数据加密和窃取，同时利用Backdoor.Turn在勒索软件部署后维持持久化。

Backdoor.Turn允许攻击者执行命令、创建进程、进行网络扫描和LDAP/AD映射、使用窃取的凭证横向移动，以及从感染系统浏览器中窃取凭证。

“攻击者在这一活动中使用了异常高超的网络战术。Backdoor.Turn的配置使得安全产品仅能看到C2流量流向合法的Teams服务器，防御者无法意识到数据正被恶意行为者窃取。”研究人员说。

热心网友5

这个分析很有价值，感谢分享。利用合法的Microsoft Teams TURN中继来隐藏C2流量确实很狡猾，相当于让安全产品只能看到指向微软服务器的正常通信，很难从流量层面发现异常。BYOVD和DLL侧加载的组合也说明攻击者的技术相当成熟。对于企业来说，除了传统端点检测，可能还需要关注非标准协议使用行为以及Teams访客令牌的异常申请。不知道有没有公开的IoC或者TURN中继相关的检测规则？

热心网友6

感谢分享！这个案例很值得关注，攻击者利用合法的Microsoft Teams TURN中继来隐藏C2流量，确实让传统安全监控更难发现。后门采用Go语言编写，还结合了BYOVD策略和凭证窃取，手法相当专业。看来企业对Teams等协作平台的可信流量也要加强监控了，尤其是未授权的外部访客令牌获取。大家平时有遇到过类似的滥用合法服务的攻击吗？