드래곤포스 해커, 팀즈 릴레이 악용해 백도어와 C2 트래픽 은폐

출처: The Hacker News

Ravie Lakshmanan 2026년 6월 18일 원격 액세스 트로ян / 랜섬웨어

DragonForce 랜섬웨어와 연계된 위협 행위자들은 커스텀 Go 기반 원격 액세스 트로ян(악성코드)인 Backdoor.Turn을 사용해 Microsoft Teams 릴레이 인프라 내부에 명령 및 제어(C2) 트래픽을 은폐하는 것으로 관찰되었습니다.

Broadcom이 소유한 Symantec과 Carbon Black의 조사 결과에 따르면, 이 백도어는 주요 미국 서비스 기업을 대상으로 배포되었습니다. 해당 회사의 이름은 공개되지 않았습니다.

“Backdoor.Turn은 Microsoft Skype 기반 신원 서비스에서 익명 Teams 방문자 토큰을 획득하고, 합법적인 Microsoft TURN 릴레이를 사용해 연결을 구성한 뒤 공격자의 실제 C2 서버로 QUIC 세션을 실행합니다,” 위협 탐색 팀이 전했습니다 The Hacker News와 공유한 보고서에서 말했습니다.

“네트워크 방어자들에게는 오직 합법적인 Microsoft Teams 서버로의 아웃바운드 연결만 보였다. 공격자는 피해 네트워크에 1~2개월 동안 침투했습니다.”

이 사례는 DragonForce가 Microsoft의 NAT를 우회하는 트래버설 Using Relays(TURN) 릴레이 인프라를 악용한 첫 번째 공개 문서화된 사례로, 이는 Microsoft Traversal Using Relays around NAT (TURN) 릴레이 인프라 남용의 최초 공개 사례입니다.

이 공격에서 주목할 점은 Backdoor.Turn가 DragonForce 랜섬웨어 배포 후 legitimate “DbgView64.exe” 프로세스에 주입되어 지속적인 접근을 유지하려는 시도라는 점이다. 이는 이후 추가 공격이나 이익을 위해 compromise된 호스트를 재판매하기 위한 것이다.

Backdoor.Turn의 기본 TURN 기반 메커니즘은 Praetorian이 2024년 8월에 문서화한 은밀한 C2 통신 기술인 Ghost Calls를 활용한다.

“백도어는 Microsoft Teams/Skype 백엔드에서 방문자 토큰을 요청하고, 해당 토큰을 사용해 Teams 관련 인프라(TURN 릴레이)를 인터랙션한 뒤 아웃바운드 연결을 구축합니다,” Symantec과 Carbon Black가 설명했습니다.

“이는 Skype 신원 서비스에 백링크된 Teams 방문자(익명) 인증 토큰을 획득하고, 연결 설정 중에 합법적인 Microsoft 서버를 TURN 릴레이로 사용합니다. 릴레이 지원을 받은 후 악성코드는 직접 QUIC 세션을 C&C 서버로 구축합니다.”

이 결과는 해킹 그룹이 고도화된 사이버 전술을 활용해 고위험 타깃 공격을 수행하면서 피해자들에게 은밀한 데이터 유출을 숨기는 모습을 보여줍니다. 특히 Hackledorb가 DragonForce를 dietro서 이끄는 위협 행위자는 전통적인 RaaS(랜섬웨어-as-아사 서비스) 모델에서 altamente 조직화된 정교한 카르텔 구조로 전환했다는 점이 주목할 만합니다.

“운영 시간표는 지속적인 기능 개발 패턴을 보여주며, 2025년 이후에는 고도로 진보된 기술 채택이 특징적인 요소로 부각됩니다,” 해당 회사는 말했습니다. “Backdoor.Turn의 배포와 다중 벡터 BYOVD 우회 기술을 결합한 것이 오늘날 운영 중인 랜섬웨어 그룹들 중 가장 강력하고 지속적인 그룹임을 의미합니다.”

이 기사가 흥미로웠다면 Google News, Twitter 및 LinkedIn을 팔로우해 독점 콘텐츠를 더 읽어보세요.