สรุปสั้น

กลุ่ม DragonForce ransomware ใช้มัลแวร์ที่พัฒนาขึ้นเองชื่อ Backdoor.Turn เพื่อซ่อนการสื่อสาร command-and-control (C2) ภายในโครงสร้าง TURN relay ของ Microsoft Teams ซึ่งเป็นครั้งแรกที่พบมัลแวร์ใช้เทคนิคนี้ในการโจมตีจริง (in the wild) ตามรายงานของนักวิจัยจากบริษัท Symantec มัลแวร์ดังกล่าวขอ anonymous visitor token จาก Teams จากนั้นใช้ TURN relay ของ Microsoft ที่ถูกต้องตามกฎหมายระหว่างการตั้งค่าการเชื่อมต่อ ทำให้ defender เห็นทราฟฟิกเป็นการสื่อสาร Microsoft Teams ปกติ

การโจมตีที่สังเกตได้ในเดือนธันวาคม 2568 มุ่งเป้าไปที่บริษัทบริการรายใหญ่ในสหรัฐฯ ผู้โจมตียังใช้เทคนิค Bring Your Own Vulnerable Driver (BYOVD) ผ่าน driver หลายตัว ได้แก่ Huawei HWAuidoOs2Ec.sys, Topaz Antifraud wsftprm.sys, Tower of Fantasy GameDriverx64.sys และ K7 Security K7RKScan.sys เพื่อยกระดับสิทธิ์เป็น kernel-level และปิดเครื่องมือรักษาความปลอดภัยบนเครื่องเป้าหมาย ก่อนจะขโมยข้อมูลทั้งหมดและเข้ารหัสระบบด้วย DragonForce ransomware

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 16 มิถุนายน พ.ศ. 2569 ว่านักวิจัยจากบริษัท Symantec ได้เปิดเผยว่ากลุ่ม DragonForce ransomware ซึ่งเป็นกลุ่มที่ดำเนินการมาตั้งแต่อย่างน้อยปี 2023 และใช้โครงสร้างองค์กรแบบ cartel รวมถึงมีความเชื่อมโยงกับกลุ่ม Scattered Spider ได้ใช้มัลแวร์ที่พัฒนาด้วยภาษา Go ชื่อ Backdoor.Turn ในการโจมตีบริษัทบริการรายใหญ่ในสหรัฐอเมริกา

Backdoor.Turn ใช้ประโยชน์จากโปรโตคอล TURN (Traversal Using Relays around NAT) ที่ Microsoft Teams ใช้สำหรับส่งข้อความเมื่อไม่สามารถเชื่อมต่อกับ client โดยตรงได้ (เช่น client อยู่บนเครือข่ายส่วนตัว) มัลแวร์ทำงานโดยขอ anonymous Teams visitor token จากนั้นใช้ TURN relay ของ Microsoft ที่ถูกต้องตามกฎหมายระหว่างการตั้งค่าการเชื่อมต่อ แล้วจึงเชื่อมต่อไปยังเซิร์ฟเวอร์ C2 ของผู้โจมตี ผลลัพธ์คือ defender จะเห็นทราฟฟิกที่เชื่อมโยงกับโครงสร้าง Microsoft Teams ทำให้มัลแวร์สามารถซ่อนการสื่อสารภายในเครือข่ายที่เชื่อถือได้

บริษัท Symantec ระบุว่า Backdoor.Turn เป็นมัลแวร์ตัวแรกที่ทราบว่าใช้ TURN relay ของ Microsoft Teams สำหรับการสื่อสาร C2 ในการโจมตีจริง แม้ว่าในปี 2025 ทีมจากบริษัท Praetorian เคยพัฒนาเทคนิคชื่อ Ghost Calls ที่แสดงให้เห็นว่า temporary TURN credential สำหรับ Teams และ Zoom สามารถถูกนำไปใช้สร้างช่องทางสื่อสารแบบซ่อนตัวผ่านโครงสร้าง conferencing ที่เชื่อถือได้

การโจมตีที่สังเกตได้ในเดือนธันวาคม 2568 เริ่มจากการใช้ช่องโหว่ที่ไม่ทราบแน่ชัดใน SQL หรือ MSSQL server เมื่อได้ foothold แล้ว ผู้โจมตีดาวน์โหลดไฟล์ ZIP ที่มี executable ของ VirtualBox/DbgView ที่ถูกต้องตามกฎหมาย พร้อม DLL อันตรายสำหรับ sideloading จากนั้นสร้างบัญชีผู้ใช้ปลอม ใช้ประโยชน์จากนโยบาย LimitBlankPassword ของ Windows และแก้ไขกฎ firewall เพื่อเสริมสร้าง persistence

ผู้โจมตีใช้เทคนิค BYOVD ผ่าน driver หลายตัว ได้แก่ Huawei HWAuidoOs2Ec.sys, Topaz Antifraud wsftprm.sys (CVE-2023-52271), Tower of Fantasy GameDriverx64.sys (CVE-2025-61155) และ K7 Security K7RKScan.sys (CVE-2025-1055) เพื่อยกระดับสิทธิ์เป็น kernel-level และปิดเครื่องมือรักษาความปลอดภัย นอกจากนี้ยังใช้ ABYSSWORKER ซึ่งเป็น driver อันตรายที่ปลอมเป็น driver ของบริษัท Palo Alto

Backdoor.Turn ถูก inject เข้าไปใน DbgView64.exe หลังจาก deploy ransomware แล้ว ซึ่งบ่งชี้ว่าอาจตั้งใจใช้สำหรับ persistence หรือการเข้าถึงในอนาคต ความสามารถของมัลแวร์ครอบคลุมการรันคำสั่ง สร้างกระบวนการ สแกนเครือข่าย ดักจับ TLS certificate ค้นหา LDAP/Active Directory รวบรวม title ของเว็บไซต์ และขโมย credential จากเบราว์เซอร์ หลังจากทำ reconnaissance และหลบหลีกการป้องกันเสร็จ ผู้โจมตีขโมยข้อมูลทั้งหมดและเข้ารหัสระบบด้วย DragonForce ransomware

วิธีการโจมตี

chain การโจมตีของ DragonForce ในครั้งนี้มีหลายขั้นตอนที่ซับซ้อน:

Initial Access: ใช้ช่องโหว่ที่ไม่ทราบแน่ชัดใน SQL/MSSQL server เพื่อเข้าถึงระบบครั้งแรก

Persistence & Privilege Escalation: ดาวน์โหลด ZIP ที่มี legitimate executable + malicious DLL สำหรับ sideloading สร้างบัญชีผู้ใช้ปลอม ใช้ประโยชน์จาก LimitBlankPassword policy และแก้ไข firewall rules

Defense Evasion (BYOVD): ใช้ vulnerable driver หลายตัวเพื่อยกระดับเป็น kernel-level แล้วปิดเครื่องมือรักษาความปลอดภัย ได้แก่ Huawei HWAuidoOs2Ec.sys, Topaz wsftprm.sys (CVE-2023-52271), GameDriverx64.sys (CVE-2025-61155), K7 K7RKScan.sys (CVE-2025-1055) และ ABYSSWORKER ที่ปลอมเป็น Palo Alto driver

C2 Communication: Backdoor.Turn ขอ anonymous Teams visitor token → ใช้ TURN relay ของ Microsoft Teams → เชื่อมต่อ C2 ผ่านทราฟฟิกที่ดูเหมือน Teams ปกติ

Exfiltration & Encryption: ขโมยข้อมูลทั้งหมดแล้ว deploy DragonForce ransomware เข้ารหัสระบบ

ผลกระทบต่อไทย

Microsoft Teams เป็นเครื่องมือสื่อสารหลักขององค์กรไทยจำนวนมาก โดยเฉพาะในภาคธุรกิจขนาดใหญ่และหน่วยงานรัฐ การที่ DragonForce สามารถซ่อนทราฟฟิก C2 ภายในโครงสร้าง Teams relay ได้ทำให้การตรวจจับยากขึ้นอย่างมาก เนื่องจากองค์กรส่วนใหญ่ whitelist ทราฟฟิก Microsoft เป็นค่าเริ่มต้น นอกจากนี้เทคนิค BYOVD ที่ใช้ driver จากหลายผู้ผลิต (รวมถึง Huawei ที่มีการใช้งานในไทย) ยังเป็นภัยคุกคามต่อเครื่องมือ endpoint security ที่องค์กรไทยพึ่งพา กลุ่ม DragonForce มีความเชื่อมโยงกับ Scattered Spider ซึ่งเคยโจมตีองค์กรในเอเชียตะวันออกเฉียงใต้มาก่อน

คำแนะนำ

องค์กรควรตรวจสอบทราฟฟิก Microsoft Teams อย่างละเอียดมากขึ้น โดยเฉพาะ TURN relay traffic ที่ผิดปกติ ไม่ควรอนุญาต anonymous visitor token ใน Teams หากไม่จำเป็น ด้าน BYOVD ควรใช้ Windows Defender Application Control (WDAC) หรือ driver blocklist เพื่อป้องกันการโหลด vulnerable driver ที่ทราบแล้ว ตรวจสอบว่า SQL/MSSQL server ที่เปิดให้เข้าถึงจากภายนอกได้รับการแพตช์และ hardening อย่างเหมาะสม ใช้ IoCs ที่ Symantec เผยแพร่ในการ hunt หา Backdoor.Turn และ ABYSSWORKER ในระบบ และตรวจสอบการสร้างบัญชีผู้ใช้ใหม่และการเปลี่ยนแปลง firewall rules ที่ผิดปกติ

แหล่งอ้างอิง