DragonForce-Ransomware versteckt C2-Traffic in Microsoft-Teams-Relay-Servern

Ransomware-Operatoren haben einen Backdoor in Ihr Netzwerk gefunden. Er sieht aus wie ein Teams-Meeting.

Symantec und Carbon Black haben offengelegt, dass DragonForce-Ransomware-Affiliates Backdoor.Turn eingesetzt haben – ein Go-basiertes Implantat, das seinen Command-and-Control-Traffic durch Microsofts Teams-TURN-Relay-Server tunnelt. Die Malware erhält ein anonymes Teams-Visitor-Token, nutzt ein legitimes Microsoft-Relay für den Verbindungsaufbau und führt dann eine verschlüsselte QUIC-Session zum echten C2-Server des Angreifers durch. Firewalls und Security-Tools sehen nur ausgehenden Traffic zu Microsoft-IP-Ranges – nicht zu unterscheiden von legitimer Teams-Nutzung.

Im bestätigten Vorfall blieben Angreifer 1–2 Monate unentdeckt, bevor sie Ransomware deployt haben.

Sechs Wochen zuvor nutzte MuddyWater – ein iranischer Staatsakteur – Teams-Screen-Sharing-Sessions, um Malware auf dem System des Opfers auszuführen. Das ist kein Zufall. Microsoft Teams wird aktiv als Angriffsinfrastruktur genutzt, weil es immer erlaubt ist.

Überwachen Sie Teams-Verbindungsmuster auf Anomalien – ungewöhnliche Verbindungszeiten, nicht autorisierte Gäste, unbekannte Tenant-IDs. Konfigurieren Sie Teams, um anonyme Gastzugänge zu beschränken. Erweitern Sie die Netzwerküberwachung auf ausgehenden Traffic zu Microsoft-IP-Ranges, nicht nur auf unbekannte Ziele. Prüfen Sie EDR-Logs auf Go-basierte Prozesse mit Team-Service-Kommunikation.