Teams 릴레이에 숨은 Backdoor.Turn
요약
DragonForce 랜섬웨어 공격에서 Go 기반 RAT인 Backdoor.Turn이 Microsoft Teams의 TURN relay 인프라를 C2 은닉 경로로 사용한 사례가 공개됐다. 공개일은 2026-06-16이다.
핵심은 Teams 자체 침해가 아니라, Teams가 NAT 환경에서 사용하는 TURN relay 흐름을 악성코드가 신뢰된 네트워크 경로처럼 활용했다는 점이다. 목적지 allowlist만으로 Teams relay 트래픽을 예외 처리한 환경에서는 비정상 C2 연결이 협업 서비스 트래픽에 묻힐 수 있다.
| 항목 | 내용 |
|---|---|
| 공개일 | 2026-06-16 |
| 관련 조직 | DragonForce ransomware |
| 악성코드 | Backdoor.Turn |
| 구현 언어 | Go |
| 은닉 채널 | Microsoft Teams TURN relay |
| 확인된 피해 범위 | 미국 대형 서비스 기업 1곳으로 보도 |
| 후속 행위 | 정찰, 방어 회피, 데이터 탈취, DragonForce ransomware 배포 |
공격 흐름
공개 자료는 초기 침투 지점으로 SQL 또는 MSSQL 서버 취약점 악용 가능성을 언급한다. 구체 CVE, 취약 함수, 요청 흐름은 공개되지 않았다.
관측된 흐름은 정상 실행 파일과 악성 DLL 조합, 취약 드라이버 로드, 보안 도구 종료, 데이터 탈취, 랜섬웨어 배포로 이어진다. Backdoor.Turn은 DbgView64.exe에 주입된 것으로 설명된다.
- SQL 또는 MSSQL 서버 취약점 악용 가능성을 통한 초기 접근
- 정상 VirtualBox 또는 DbgView 실행 파일과 악성 DLL이 포함된 ZIP 다운로드
- DLL sideloading으로 실행 흐름 확보
- rogue user 생성,
LimitBlankPassword보안 정책 악용, firewall rule 변경 - BYOVD 방식으로 취약 드라이버 로드
- 보안 도구 종료
- 데이터 탈취와 DragonForce ransomware 배포
DbgView64.exe에Backdoor.Turn주입- Teams TURN relay를 이용한 C2 통신 은닉
Teams relay 예외 처리
Teams relay 목적지를 넓게 allowlist 처리하면 Backdoor.Turn의 C2 흐름이 정상 협업 서비스 트래픽처럼 보일 수 있다. relay 연결의 목적지보다 실행 주체, 프로세스 ancestry, 토큰 발급 맥락, 같은 시간대의 드라이버 로드와 계정 변경을 함께 봐야 한다.
Backdoor.Turn의 C2 primitive
Backdoor.Turn의 primitive는 RCE나 Teams 취약점 exploit이 아니다. 신뢰된 relay 인프라를 C2 경로로 쓰는 통신 은닉이다.
공개 설명에 따르면 악성코드는 anonymous Teams visitor token을 얻고, Microsoft Teams가 직접 연결이 어려운 클라이언트 통신에 사용하는 TURN relay server를 연결 설정 과정에 사용한다. 이후 공격자 C2와 통신한다.
네트워크 장비에서는 Microsoft 관련 relay 인프라와의 연결로 보일 수 있다. 따라서 목적지 도메인 평판, TLS 세션 존재 여부, Teams 관련 URL 포함 여부만으로는 악성 여부를 가르기 어렵다.
| 기능 | 의미 |
|---|---|
| command execution | 원격 명령 실행 |
| process creation | 추가 도구 실행 |
| network scanning | 내부 자산 탐색 |
| TLS certificate capture | 내부 서비스 식별 |
| LDAP/Active Directory search | 계정, 그룹, 도메인 구조 조사 |
| website title collection | 내부 웹 서비스 분류 |
| browser credential theft | 브라우저 저장 자격 증명 탈취 |
방어 회피와 BYOVD
공격자는 취약 드라이버를 로드해 보안 도구를 종료한 것으로 공개됐다. 정상 서명 드라이버 또는 취약 드라이버를 커널 권한 primitive로 사용해 EDR, AV, 모니터링 프로세스를 중단시키는 BYOVD 흐름이다.
| 드라이버 | 공개된 설명 |
|---|---|
HWAuidoOs2Ec.sys | Huawei driver, Havoc Process Terminator로 언급 |
wsftprm.sys | Topaz Antifraud driver, CVE-2023-52271 관련 |
GameDriverx64.sys | Tower of Fantasy driver, CVE-2025-61155 관련 |
K7RKScan.sys | K7 Security driver, CVE-2025-1055 관련 |
ABYSSWORKER | Palo Alto driver처럼 위장한 custom malicious driver |
Teams relay 접속만 보면 신호가 약하다. DbgView64.exe, VirtualBox 계열 정상 바이너리, 낯선 DLL, 취약 드라이버 로드, 보안 도구 종료가 같은 호스트에서 이어지면 랜섬웨어 전개 흐름으로 묶어 봐야 한다.
탐지 포인트
네트워크
Teams 또는 TURN relay 관련 연결을 만든 프로세스가 실제 Teams 클라이언트인지 확인한다. 서버 워크로드, 관리 도구, 디버깅 도구, VirtualBox 계열 프로세스에서 relay 연결이 발생하면 우선순위를 높인다.
DeviceNetworkEvents
| where RemoteUrl has_any ("teams", "turn", "relay")
| where InitiatingProcessFileName !in~ ("Teams.exe", "ms-teams.exe", "msedge.exe", "chrome.exe")
| project Timestamp,
DeviceName,
InitiatingProcessFileName,
InitiatingProcessCommandLine,
RemoteUrl,
RemoteIP,
RemotePort
엔드포인트
DbgView64.exe, VirtualBox 계열 정상 바이너리, DLL 실행 흔적을 함께 본다. 공개 사례에서는 정상 실행 파일과 악성 DLL 조합이 실행 흐름 확보에 사용됐다.
DeviceProcessEvents
| where FileName in~ ("DbgView64.exe", "VBoxSVC.exe", "VirtualBox.exe")
| where ProcessCommandLine has_any (".dll", "rundll32", "regsvr32")
| project Timestamp,
DeviceName,
FileName,
ProcessCommandLine,
InitiatingProcessFileName,
AccountName
서버
드라이버 로드, 서비스 설치, 보안 도구 종료 이벤트를 relay 연결 전후 시간대와 묶어 확인한다.
DeviceEvents
| where ActionType has_any ("DriverLoad", "ServiceInstalled")
| where AdditionalFields has_any ("HWAuidoOs2Ec.sys", "wsftprm.sys", "GameDriverx64.sys", "K7RKScan.sys")
| project Timestamp,
DeviceName,
ActionType,
AdditionalFields,
InitiatingProcessFileName
대응 기준
Teams relay 목적지를 전역 예외로 두는 정책은 좁혀야 한다. Teams 클라이언트와 브라우저처럼 예상 가능한 실행 주체만 허용하고, 서버나 관리 도구에서 발생하는 relay 연결은 별도 로깅과 검토 대상으로 둔다.
복구 단계에서는 랜섬웨어 암호화 흔적만 지우면 부족하다. Backdoor.Turn이 future access 또는 persistence 목적으로 남겨졌을 가능성이 언급된 만큼, rogue user, LimitBlankPassword 정책 변경, firewall rule 변경, 취약 드라이버 잔존 여부, DbgView64.exe 주입 흔적을 같이 제거해야 한다.
참고 자료
BleepingComputer - Ransomware gang abuses Microsoft Teams relays to hide malicious traffic