Auf den Punkt: Ransomware-Operatoren verstecken C&C-Kommunikation mittels Custom-Malware in vertrauenswürdiger Microsoft-Teams-Infrastruktur, um Netzwerk-Erkennungssysteme zu umgehen.
Die Ransomware-Gruppe DragonForce nutzt eine benutzerdefinierte Backdoor namens „Backdoor.Turn", um Command-and-Control-Verkehr über Microsofts Teams-Relay-Infrastruktur zu verschleiern. Das Vorgehen erschwert die Detektion und Nachverfolgung der Angreifer erheblich.
Die Ransomware-Gruppe DragonForce setzt eine speziell entwickelte Backdoor namens „Backdoor.Turn“ ein, um ihre Command-and-Control-Kommunikation (C&C) über die Relay-Infrastruktur von Microsoft Teams zu leiten. Dadurch wird der malware-bedingte Netzwerkverkehr in legitimen, verschlüsselten Microsoft-Kommunikationsverkehr eingebettet.
Diese Technik hat für Sicherheitsverantwortliche und Netzwerküberwachung erhebliche Konsequenzen: Traditionelle Blockierlisten oder Reputationsprüfungen von Netzwerk-Domains sind nicht wirksam, da die verwendeten Microsoft-Server als vertrauenswürdig klassifiziert sind. Der bösartige Traffic lässt sich in den Logs legitimer Teams-Kommunikation verbergen, was die forensische Analyse und Incident-Response-Prozesse verzögert oder behindert.
CISOs sollten das Incident in zwei Dimensionen adressieren: Erstens durch erhöhte Überwachung von Microsoft-Teams-Verkehr auf Anomalien (unerwartete Ziele, ungewöhnliche Zeitmuster, hohe Datenmengen). Zweitens durch Verstärkung des Endpoint-Detection-and-Response (EDR) auf betroffenen Systemen, um verdächtige Prozesse und Authentifizierungsereignisse zu erkennen, bevor die Backdoor installiert ist. Auch eine Überprüfung von Netzwerk-Segmentierung und dem Zugriffsschutz auf Teams-Relay-Traffic in internen Policies ist angezeigt.
Quelle: www.bleepingcomputer.com · Erschienen 16. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.