DragonForce nutzt Microsoft-Teams-Relay-Server für neue Backdoor

Die Ransomware-Gruppe DragonForce ist seit 2023 aktiv und tritt als kartellartige Struktur auf. Nach Einschätzung von Symantec und Carbon Black hat die Gruppe in den vergangenen Monaten zunehmend hochentwickelte Techniken eingesetzt, was auf organisatorische Reife und erhebliche Ressourcen hindeutet.

Die nun identifizierte Malware Backdoor.Turn fällt dabei aus Sicht der Forscher besonders auf. Es sei bereits eher ungewöhnlich, dass Ransomware-Akteure eigene maßgeschneiderte Werkzeuge einsetzen; noch ungewöhnlicher sei ein so ausgefeiltes Werkzeug wie Backdoor.Turn. Die Backdoor verschleiert ihre Kommando-und-Kontroll-Kommunikation so, dass Sicherheitsprodukte nur Verbindungen zu legitimen Teams-Servern sehen.

Laut den Threat Huntern beschafft sich Backdoor.Turn zunächst ein anonymes Teams-Besucher-Token über Microsofts von Skype gestützte Identitätsdienste. Anschließend nutzt die Malware einen legitimen Microsoft-TURN-Relay zum Verbindungsaufbau und führt darüber eine QUIC-Sitzung zum eigentlichen Kommando-und-Kontroll-Server der Angreifer aus. Nach Angaben der Forscher bleiben Verteidiger dadurch im Unklaren darüber, dass Daten von böswilligen Akteuren abgezogen werden.

Zum Einsatz kam die Backdoor bei einem Angriff auf ein Dienstleistungsunternehmen in den USA. Dieses wurde vermutlich über eine unbekannte Schwachstelle in einem SQL- oder MSSQL-Server kompromittiert. Symantec und Carbon Black halten es zudem für möglich, dass die DragonForce-Betreiber den Zugang zum Unternehmen von einem Access Broker gekauft haben.

Den Forschern zufolge verschafften sich die Angreifer im Dezember 2025 Zugang zum Netzwerk des Opfers. Für die Ausführung von Code setzten sie auf DLL-Sideloading, um zusätzliche Schadsoftware von entfernten Servern nachzuladen. Danach richteten sie Persistenz ein, sicherten ihren Zugriff auf die kompromittierte Umgebung und führten Aufklärungsmaßnahmen durch.

Darüber hinaus nutzten die Hacker eine ausgefeilte BYOVD-Strategie. Dabei missbrauchten sie bekannte Schwachstellen in signierten Treibern, um Zugriff auf Kernel-Ebene zu erhalten und Sicherheitsprozesse zu beenden. Zusätzlich setzten sie die DragonForce-Ransomware zur Datenverschlüsselung und -exfiltration ein, während Backdoor.Turn den dauerhaften Zugriff auf kompromittierte Systeme auch nach der Bereitstellung der Ransomware aufrechterhalten sollte.

Die Fähigkeiten der Backdoor gehen über reine Persistenz hinaus. Sie kann Befehle ausführen, Prozesse anlegen, Netzwerkscans durchführen, LDAP- und AD-Strukturen abbilden, sich mit gestohlenen Zugangsdaten seitlich im Netzwerk bewegen und Zugangsdaten aus den auf infizierten Systemen installierten Browsern exfiltrieren.