勒索軟體DragonForce濫用Microsoft Teams轉送伺服器隱匿C&C流量

這起攻擊始於2025年12月，攻擊者在受害者網路停留約1至2個月。研究人員研判，攻擊者可能利用SQL或MSSQL伺服器漏洞取得初始存取權，但尚未確認實際漏洞；也不排除是向存取權掮客購買入口。進入受害環境後，攻擊者透過DLL側載手法，透過個人端虛擬化軟體VirtualBox的處理程序，或微軟Sysinternals工具集的DebugView的執行檔（DbgView64.exe）載入惡意DLL，藉此繞過安全監控。

Backdoor.Turn是在DragonForce勒索軟體部署後才被安裝，可能用於保留後續入侵管道，或將存取權轉售給其他惡意行為者。這個後門會向Microsoft Teams／Skype後端取得訪客（不具名）身分的存取權杖，再利用合法Microsoft Teams TURN轉送伺服器建立連線，接著與攻擊者實際控制的C&C伺服器建立直接QUIC連線。

此外，攻擊者也利用自帶驅動程式（BYOVD）手法規避偵測，取得核心層級存取權，進而終止安全防護處理程序（如防毒軟體或EDR軟體）。研究人員認為，上述攻擊手法顯示DragonForce已從一般勒索軟體即服務（RaaS）團體，逐步發展成組織化程度更高的網路犯罪聯盟。