Auf den Punkt: Ransomware-Gruppe DragonForce tarnt ihren Command-and-Control-Verkehr über das TURN-Protokoll von Microsoft Teams und nutzt mehrere CVEs sowie Kernel-Exploits zur Umgehung von Sicherheitssoftware.
Die Ransomware-Gruppe DragonForce hat bei einem Angriff auf ein US-amerikanisches Dienstleistungsunternehmen eine neue Taktik eingesetzt: Sie nutzt das TURN-Protokoll von Microsoft Teams zur Tarnung ihres Befehls- und Kontrollverkehrs. Damit wird der Datenverkehr in legitime Teams-Kommunikation getarnt und entgeht Netzwerküberwachung.
Die Sicherheitsforscher von Symantec haben die Schadsoftware Backdoor.Turn dokumentiert, eine in der Programmiersprache Go entwickelte Remote-Access-Trojaner, die das TURN-Protokoll (Traversal Using Relays around NAT) von Microsoft Teams missbraucht. Das Protokoll wird in Teams normalerweise verwendet, um Nachrichten weiterzuleiten, wenn keine direkte Verbindung zu Clients in privaten Netzwerken möglich ist. Die Schadsoftware fordert bei der Verbindung ein anonymes Besucher-Token für Microsoft Teams an und stellt dann über ein legitimes Microsoft-Relay eine Verbindung zum Command-and-Control-Server der Angreifer her – wodurch dieser Datenverkehr für Netzwerkverteidiger indistinguierbar von regulärer Teams-Kommunikation wirkt.
Backdoor.Turn ist die erste in der Praxis beobachtete Schadsoftware, die diese Technik aktiv nutzt, obwohl das theoretische Konzept der „Ghost Calls“ von der Sicherheitsfirma Praetorian bereits 2025 demonstriert wurde. Der dokumentierte Angriff begann mutmaßlich mit der Ausnutzung einer unbekannten Schwachstelle in einem SQL- oder MSSQL-Server. Nach dem Eindringen installierte die Gruppe über DLL-Sideloading fehlerhafte Treiber mit Kernel-Rechten (BYOVD-Taktik), um lokale Sicherheitswerkzeuge zu deaktivieren: CVE-2023-52271 (Topaz Antifraud), CVE-2025-61155 (Tower of Fantasy), CVE-2025-1055 (K7 Security) sowie ein Huawei-Treiber (HWAuidoOs2Ec.sys) und der schädliche Treiber ABYSSWORKER.
Der Backdoor.Turn-Trojaner wurde in den Prozess DbgView64.exe injiziert und bot umfassende Funktionalität: Befehlsausführung, Prozesserstellung, Netzwerkscans, TLS-Zertifikatsabgriff, LDAP-Abfragen und Diebstahl von Browser-Anmeldedaten. Zur Verankerung im System manipulierten die Akteure zudem Firewall-Regeln und Windows-Sicherheitsrichtlinien. Nach der Spionageaktivität erfolgte die Datenexfiltrierung und die Aktivierung der DragonForce-Ransomware zur Systemverschlüsselung.
Für CISOs bedeutet dies eine Verschärfung der Bedrohungslage: Legitime Kommunikationsprotokolle und Cloud-Services wie Teams werden als Steuerkanal missbraucht, traditionelle Netzwerk-Signaturen werden damit unwirksam. Parallel werden mehrere Schwachstellen in populären Treibern ausgenutzt, um Sicherheitssoftware zu umgehen. Die Kombination aus Kernel-Exploits, Supply-Chain-Masquerading (ABYSSWORKER als Palo-Alto-Software getarnt) und Relay-Missbrauch erfordert mehrschichtige Gegenmaßnahmen auf Kernel-, Netzwerk- und Identity-Ebene.
Quelle: www.it-daily.net · Erschienen 18. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.