DragonForceランサムウェア集団、Microsoft Teamsのリレー機能を悪用

ランサムウェア集団「DragonForce」が、最近の米国企業への攻撃において、悪意あるC2（コマンド＆コントロール）トラフィックを隠蔽するためにMicrosoft Teamsのリレーインフラを利用した [1, 2]。

この手法が重要視されるのは、通信を正当なビジネス上のトラフィックに見せかけることで、セキュリティ防御をバイパスできるためである。信頼されたクラウドサービスを活用することで、ランサムウェア業者は、通常Microsoftのドメインを信頼するセキュリティソフトウェアによる検知を回避しつつ、ネットワーク内での持続性を維持することが可能となる [3, 7]。

この作戦を実行するため、ハッカーは「Backdoor.Turn」として知られるカスタムマルウェアを配備した [1, 6]。このツールは、感染したシステムと攻撃者のサーバーとの間で仲介役となるMicrosoft Teamsのリレーサーバーを経由してトラフィックをルーティングした [1, 4]。具体的には、Teamsのビジター（ゲスト）トークンを悪用し、送信されるデータの性質を偽装していた [1, 4]。

攻撃は今月発生し、米国に拠点を置く企業が標的となった [2, 4]。グローバルなMicrosoft Teamsのインフラを通じてトラフィックをルーティングすることで、DragonForceに関連するハッカーは、その活動を企業環境における標準的なノイズに紛れ込ませることに成功した [3, 5]。

セキュリティ研究者は、この手法の主な目的はC2トラフィックを防御側から隠蔽することであったと述べている [2, 7]。セキュリティツールがネットワークトラフィックを監視する際、Microsoftサービスへの接続は多くの場合、無害なものとして処理される。リレーを利用することで、外部の悪意あるアクターがシステムを制御しているという事実を、防御側から事実上見えなくさせている [1, 7]。

今回の事件は、ランサムウェアグループがスタンドアロンのサーバーから離れ、作戦を容易にするために正当なクラウドインフラの悪用へと移行しているという、拡大するトレンドを浮き彫りにしている [3, 5]。