Thought Leadership
Die DragonForce-Ransomware nutzt eine Schwachstelle in Microsoft Teams, um den Datenverkehr zu ihren Steuerungsservern unbemerkt zu tarnen.
Die kriminelle Gruppierung DragonForce hat bei einem Cyberangriff auf ein großes Dienstleistungsunternehmen in den USA eine neuartige Methode eingesetzt, um ihren schädlichen Datenverkehr zu verschleiern. Nach Erkenntnissen von Sicherheitsforschern des IT-Sicherheitsunternehmens Symantec nutzt die Bande eine maßgeschneiderte, auf der Programmiersprache Go basierende Schadsoftware namens Backdoor.Turn. Diese Schadsoftware missbraucht das TURN-Protokoll (Traversal Using Relays around NAT) von Microsoft Teams. Dieses Protokoll wird regulär verwendet, um Nachrichten weiterzuleiten, wenn keine direkte Verbindung zu einem Client in einem privaten Netzwerk hergestellt werden kann.
Die Schadsoftware fordert während des Verbindungsaufbaus ein anonymes Besucher-Token für Microsoft Teams an. Über ein legitimes Microsoft-Relay stellt das Programm anschließend eine Verbindung zum Befehls- und Kontrollserver der Angreifer her. Für Verteidiger in Unternehmensnetzwerken sieht dieser Datenverkehr wie gewöhnliche Kommunikation der Microsoft-Teams-Infrastruktur aus, wodurch die Aktivitäten unentdeckt bleiben. Diese Methode basiert auf einem theoretischen Konzept namens Ghost Calls, das von der Sicherheitsfirma Praetorian im Jahr 2025 demonstriert wurde. Backdoor.Turn ist jedoch die erste in der Praxis beobachtete Schadsoftware, die diese Technik aktiv ausnutzt.
„Backdoor.Turn, ein Go-basierter RAT, ist die erste bekannte Schadsoftware, die die TURN-Relay-Server von Microsoft Teams missbraucht, um den Command-and-Control-Datenverkehr zu maskieren.“
Analysten von Symantec
Umgehung von Schutzmaßnahmen in Teams durch verwundbare Treiber
Der Angriff, der im Dezember 2025 dokumentiert wurde, begann mutmaßlich mit der Ausnutzung einer unbekannten Schwachstelle in einem SQL- oder MSSQL-Server. Nach dem Eindringen luden die Akteure ein Archiv mit legitimen Systemwerkzeugen und einer manipulierten DLL-Datei für das sogenannte Sideloading herunter. Zur dauerhaften Verankerung im System manipulierten die Täter Firewall-Regeln und Windows-Sicherheitsrichtlinien wie die LimitBlankPassword-Einstellung.
Um lokale Sicherheitswerkzeuge abzuschalten, setzten die Angreifer auf BYOVD-Taktiken (Bring Your Own Vulnerable Driver), bei denen legitime, aber fehlerhafte Treiber mit Kernel-Rechten installiert werden. Folgende Treiber wurden dabei missbraucht:
- Huawei HWAuidoOs2Ec.sys
- Topaz Antifraud wsftprm.sys (CVE-2023-52271)
- Tower of Fantasy GameDriverx64.sys (CVE-2025-61155)
- K7 Security K7RKScan.sys (CVE-2025-1055)
Zusätzlich kam ein schädlicher Treiber namens ABYSSWORKER zum Einsatz, der sich als Software von Palo Alto ausgab. Der Trojaner Backdoor.Turn wurde schließlich in den Prozess DbgView64.exe injiziert. Das Schadprogramm verfügt über Funktionen zur Ausführung von Befehlen, zur Erstellung von Prozessen, für Netzwerkscans, zum Abgreifen von TLS-Zertifikaten und LDAP-Abfragen sowie zum Diebstahl von Browser-Anmeldedaten. Nach Abschluss der Spionageaktivitäten exfiltrierten die Täter die Daten und aktivierten die DragonForce-Ransomware zur Systemverschlüsselung.
(red)
