DragonForceランサムウェアグループがMicrosoft Teamsリレーを悪用し、悪性トラフィックを隠蔽 | Codebook|Security News
セキュリティニュース
サイバーインテリジェンス
特集
情報セキュリティ
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > DragonForceランサムウェアグループがMicrosoft Teamsリレーを悪用し、悪性トラフィックを隠蔽

デイリーサイバーアラート

RaaS

Silobreaker-CyberAlert

ランサムウェア

DragonForceランサムウェアグループがMicrosoft Teamsリレーを悪用し、悪性トラフィックを隠蔽

佐々山 Tacos

佐々山 Tacos

2026.06.17

DragonForceランサムウェアグループがMicrosoft Teamsリレーを悪用し、悪性トラフィックを隠蔽

BleepingComputer – June 16, 2026

DragonForceランサムウェアグループはある攻撃において、カスタムマルウェア「Backdoor.Turn」を使用し、Microsoft Teamsのリレーインフラを悪用してC2トラフィックを隠蔽していたという。シマンテックの研究者らが報告した。

 

DragonForceは、遅くとも2023年から活動するランサムウェアオペレーション。カルテルのような組織構造を持つことや、悪名高い脅威グループScattered Spiderと関連していることなどが知られている。

 

シマンテックによれば、2025年12月に観測された米国の大手サービス企業に対する攻撃において、DragonForceはバックドア「Backdoor.Turn」を使ってMicrosoft Teamsが使用するTURN(Traversal Using Relays around NAT)プロトコルを悪用し、悪性トラフィックを正規のTeamsトラフィックに見せかけていたという。

BYOVDを用いた攻撃チェーン

攻撃はまず、SQLまたはMSSQLサーバーにおける何らかの脆弱性を悪用することによって被害者ネットワークへのアクセスを獲得したとみられている。その後DragonForceは、正規のVirtualBox/DbgView実行ファイルとサイドローディング用に使われる悪意あるDLLファイルを含んだZIPアーカイブをダウンロードしたとされる。

 

続いて、DragonForceは永続性および耐久性を維持するため、以下を含むシステム構成設定を実施したとシマンテックは伝えている。

  • 侵害済みマシンへのアクセスを容易にするため、WindowsのLimitBlankPasswordセキュリティポリシーを悪用
  • マシンへの別のアクセス経路を作るため、不正なユーザー/グループを追加
  • リモートアクセスおよびC2通信の円滑化のため、ファイアウォールルールを改変

 

次に攻撃者は、以下のドライバを使ってBYOVDの手法を使用。カーネルレベルの特権を獲得し、ホスト上のセキュリティツールを終了させた。

  • HuaweiのHWAuidoOs2Ec.sys(Havoc Process Terminator)
  • Topaz Antifraudのwsftprm.sys(CVE-2023-52271を悪用)
  • 『Tower of Fantasy(幻塔)』のGameDriverx64.sys(CVE-2025-61155を悪用)
  • K7 SecurityのK7RKScan.sys(CVE-2025-1055を悪用)

 

このうち、当時脆弱であることが知られていなかったドライバが悪用されたこと(Havoc Process Terminator)は、攻撃者の専門知識および巧妙さのレベルが非常に高いことを示していると、シマンテックは指摘している。

 

攻撃者は上記に加え、「Abyss Worker」という悪意あるドライバも使用。これは正規のパロアルト製ドライバを模倣したカスタムビルドのドライバであるため、BYOVDの定義に当てはまるわけではない。シマンテックによれば、多くの攻撃者が正規ドライバの脆弱性を利用する従来型BYOVDのアプローチに固執している中、今回のようにカスタムのドライバが攻撃で使用されるのは比較的稀だという。

 

こうして偵察・検出/防御回避の活動を終えると、攻撃者はDragonForceランサムウェアのペイロードをデプロイし、データを抽出した上で被害者のマシンを暗号化したとされる。

Teams TURNリレーをC2通信に悪用するRAT「Backdoor.Turn」

その後に展開されたのが、Backdoor.Turn。Backdoor.TurnはGoベースのリモートアクセス型トロイの木馬(RAT)であり、コマンド実行、プロセス作成、ネットワークスキャン、TLS証明書の捕捉、LDAP/Active Directory検索、Webサイトタイトルの収集、ブラウザ認証情報の窃取といった性能を備える。ランサムウェアが展開された後に「DbgView64.exe」へ注入されたが、このタイミングは、同RATが永続性確保や将来的なアクセス権の転売目的で使用されたことを示唆しているとされる。

 

Backdoor.Turnは、Microsoft Teams TURNリレーをC2通信のために悪用した最初のマルウェアだとシマンテックは指摘。同マルウェアはMicrosoft Teams/Skypeバックエンドのビジタートークンを要求すると、そのトークンを使ってTeamsに関連するインフラと通信(TURNリレー)した後、外部への接続を確立するという。

 

同RATは、Skype IDサービスを基盤とするTeams ビジター(匿名)認証トークンを取得。その後、接続の確立時に正規のMicrosoftサーバーをTURNリレーサーバーとして利用する。リレーを介した接続を確立した後、マルウェアは悪意あるC2サーバーに対して直接的な QUICセッションを確立するとシマンテックは説明した。この手法は2025年にBlack Hatカンファレンスで発表された「Ghost Calls」というテクニックに着想を得たものであり、今回の攻撃は実際にマルウェアまたは脅威グループがこの手法を使用する最初の事例だという。

「並外れて高度なサイバートレードクラフト」

シマンテックの研究者らは、このキャンペーンの背後にいるハッカーらが「並外れて高度なサイバートレードクラフト」を使用していると結論づけている。同社のブログ記事ではさらに詳細な解説に加えて、IoCの一覧も共有されている。

関連資料をダウンロード

デジタル時代における世界の紛争

デジタル時代における世界の紛争

地政学的紛争とサイバー作戦の境界は曖昧さを増し、国家や非国家主体によるサイバー攻撃が日常的に行われる中、戦争や外交の在り方が複雑化しています。 特にハクティビズムや偽情報キャンペーンは、ロシア・ウク...

資料ダウンロード
【最新版】要件主導型インテリジェンスプログラムの構築方法|Silobreaker Report

【最新版】要件主導型インテリジェンスプログラムの構築方法|Silobreaker Report

本レポートは、サイバー脅威や地政学的リスクが高度化・複雑化する現代において、組織が適切な意思決定を行うために不可欠な「脅威インテリジェンス」の実践方法を解説するハンドブックです。特に、インテリジェンス...

資料ダウンロード
OSINTから読み解く国家支援サイバー脅威の攻撃トレンド

OSINTから読み解く国家支援サイバー脅威の攻撃トレンド

国家の支援を受けたサイバー脅威が進化を続けています。昨年の国内暗号資産取引所からのビットコイン流出に、北朝鮮アクターの巧妙なソーシャルエンジニアリングが利用されていたことは、記憶に新しいかと思います。...

資料ダウンロード

Special Feature特集記事

セミナー情報一覧へ ANALYST CHOICEの記事一覧へ

Cyber Intelligenceサイバーインテリジェンス

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ

Security情報セキュリティ

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ