Útočníci skryli ransomware komunikaci uvnitř Microsoft Teams

Pokud vaše firma používá Microsoft Teams, zajímá vás tato zpráva přímo. Skupina DragonForce poprvé v historii ukryla komunikaci svého ransomwaru (škodlivého softwaru, který zašifruje data a žádá výkupné) dovnitř infrastruktury Microsoftu. Výsledek: bezpečnostní nástroje útok vůbec nerozpoznaly jako hrozbu.

Jak útok fungoval

DragonForce vytvořila vlastní škodlivý program označený jako Backdoor.Turn. Ten si od serverů Microsoft Teams a Skype vyžádal anonymní návštěvnický token, čímž se vydával za běžného uživatele. Poté navázal spojení přes legitimní TURN relay servery (servery, které Microsoft používá pro přenos hlasových a video hovorů) a přes protokol QUIC komunikoval se svým řídicím serverem.

Z pohledu firemního monitoringu provoz vypadal naprosto identicky jako normální Teams hovor. Útočníci tak měli spolehlivé skryté spojení po celou dobu, kdy se pohybovali v síti oběti.

Napadena byla velká americká servisní firma. Útočníci se v síti pohybovali přibližně jeden až dva měsíce před samotným nasazením ransomwaru. Vedle Backdoor.Turn použili techniku BYOVD, tedy zneužití legitimního, ale zranitelného ovladače operačního systému k obejití bezpečnostních kontrol, a DLL sideloading, tedy nenápadné spuštění škodlivého kódu prostřednictvím důvěryhodné systémové součásti. Hrozbu odhalil a 16. 6. 2026 zveřejnil tým Symantec.

DragonForce je RaaS (Ransomware-as-a-Service) kartel aktivní od roku 2023 a je propojený se skupinou Scattered Spider, která je známá sofistikovanými technikami sociálního inženýrství a cílením na velké korporace.

Proč je to jiné než dřívější útoky

Dosud útočníci ke skrytí komunikace nejčastěji zneužívali vlastní infrastrukturu nebo volně dostupné servery. Toto je první zdokumentovaný případ, kdy k tomu byly využity přímo relay servery zavedené cloudové platformy Microsoftu.

Pro firmy to má zásadní důsledek: provoz pocházející od Microsoftu mnoho bezpečnostních systémů automaticky považuje za bezpečný a nekontroluje ho podrobněji. Právě toho DragonForce využila.

Dopad pro české a evropské organizace

Microsoft Teams je v českých firmách, úřadech a organizacích kritické infrastruktury velmi rozšířený. Jeho síťový provoz obvykle prochází bez hlubší inspekce. Útočníci pobývali v síti oběti jeden až dva měsíce, aniž by je tradiční perimetrové bezpečnostní nástroje odhalily.

Doporučení

• Zavést monitoring anomálního provozu přes protokol QUIC a neobvyklých spojení přes Teams TURN relay servery, zejména na zařízeních, kde Teams není primárním komunikačním nástrojem.
• Nasadit EDR (Endpoint Detection and Response; nástroj pro detekci hrozeb přímo na počítačích) schopný odhalit techniky BYOVD, tedy zneužití zranitelných systémových ovladačů, a pravidelně auditovat seznam načtených ovladačů.
• Implementovat síťovou segmentaci, která omezí pohyb útočníka i v případě, že jeden počítač nebo server bude kompromitován.
• Nastavit detekci dlouhého setrvání útočníka prostřednictvím behaviorálních analytik a pravidelné revize neobvyklých přístupů k interním systémům.
• Nepovažovat provoz pocházející od cloudových poskytovatelů za automaticky důvěryhodný; aplikovat princip Zero Trust (nikdy nedůvěřuj, vždy ověřuj) i na etablované platformy jako Microsoft.

Co z toho plyne

Útočníci přizpůsobují své metody tak, aby splynuli s prostředím, kterému firmy důvěřují. Zneužití Microsoft Teams k maskování ransomware komunikace je varováním, že reputace cloudové platformy nezaručuje bezpečnost provozu. Organizace, které monitorují síť jen na základě toho, od koho provoz pochází, jsou vůči tomuto vektoru útoku zranitelné.

Zdroje:

• BleepingComputer
• The Register
• SecurityWeek