Backdoor.Turnはどのような手口を使いますか？

A. Teamsの通信を隠れ蓑にして活動します。

Microsoft Teamsの正規の通信機能を利用し、不正な遠隔操作通信を通常のTeams通信に紛れ込ませます。これはTeamsの脆弱性を悪用するものではなく、正規の仕組みを利用した手法です。

攻撃者はまず、社内の別システムに存在する既知の脆弱性を利用して侵入します。その後、Backdoor.Turnを内部に設置して実行します。

さらに、脆弱性を含む正規ドライバーを持ち込み、セキュリティ製品の機能を停止させる手法も併用します。

設置後は、ドメイン環境の調査やネットワーク探索、保存された認証情報の収集などを行います。

特徴は、Teamsそのものではなく、他システムから侵入したうえでTeamsの通信基盤を利用して潜伏する点にあると言えます。

「安全なTeams通信」を隠れ蓑にする潜伏型マルウェア：Backdoor.Turnの脅威 https://constella-sec.jp/blog/hobokomo-securitynews/tips-1225/