マイクロソフトは、1,000以上のコード署名証明書を作成・販売していたサイバー犯罪サービスのインフラを押収し、これを中止しました。これらの証明書は、他のサイバー犯罪者がランサムウェアを含むサイバー攻撃の実行を目的として、マルウェアに汚染されたソフトウェアを信頼できる正規のものとして見せかけるために使用していたと同社は火曜日に発表しました。
マイクロソフトがFox Tempestとして追跡している金銭目的の脅威グループは、少なくとも1年間、Rhysida、Vanilla Tempest、Storm-0501、Storm-2561、Storm-0249を含む複数のランサムウェアグループに対して、マルウェア署名サービスを提供していました。その後、マイクロソフトはこの作戦を解体するための裁判所命令を取得しました。
2025年9月以降マイクロソフトが追跡してきたFox Tempestは、マイクロソフトのArtifact Signing システムを悪用し、偽造身分を使用して正規企業になりすまし、マイクロソフトのコード署名サービスにアクセスしていたと、マイクロソフトのデジタル犯罪部門のアシスタント・ジェネラル・カウンセルであるSteven Masadaは月曜日のメディアブリーフィングで述べました。
サイバー犯罪者はFox Tempestに最高9,500ドルを支払い、悪意のあるコードに署名してもらい、ソフトウェアを防御を迂回させ、プログラムが信頼できるソースから本物でリンクされていることを確認するために設計されたコントロールを回避することができました。
「これは路上で見つけるような明らかな偽造品ではありません。専門家でさえ本物と区別するのが難しいほど精密な偽造品に似ています」とMasadaは述べました。「それは偽造身分証明書のようなもので、サイバー犯罪者が正面玄関を通ってシステムに侵入することができます。」
攻撃者と防御者は歴史的には攻撃の入口に焦点を当ててきましたが、Fox Tempestの作戦は、攻撃がどのように最初に構築されるかについて、より広範なアップストリームへの動きの例となっています。彼は追加で述べました。
「もはやユーザーをリンククリックに騙すことだけではなく、何が安全であり、何がそうでないかを決定するために私たちが頼っているシステムそのものを悪用することになっています」とMasadaは述べました。
サイバー犯罪者は少なくとも10年間、コード署名証明書を転売してきましたが、Fox Tempestの作戦は、詐欺、フィッシング、SEO中毒、またはマルウェア入りの広告のための大規模にスケーラブルなサービスを提供する点で独自のものでした。マイクロソフトのDCUでサイバー犯罪調査の主任調査官としてFox Tempestの調査を主導したMaurice Masonは述べました。
Masonは、ランサムウェアオペレーターおよび他の脅威グループが主にこれらの不正な証明書を広告またはSEO中毒に配置し、悪意のあるソフトウェアとインフォスティーラーを検索ランキングの上位に持ってくると述べました。これにより、正規のアプリケーションをダウンロードして実行していると思い込んでいた無意識のユーザーが被害を受けました。
認証されたポータルとドラッグアンドドロップ機能を含むFox Tempestの作戦により、顧客はコードに署名させることができました。これはOyster、Lumma Stealer、MuddyWater、Vidarを含む数十のマルウェアファミリーの配置に直接リンクされていました。彼は追加で述べました。
マイクロソフトは、脅威グループがINC、Qilin、Akira等のランサムウェアアフィリエイトにもリンクされていると述べました。この作戦はグローバルな影響を及ぼし、ヘルスケア、教育、政府、金融サービス部門への攻撃をもたらし、米国、フランス、インド、中国の組織と人々を最も大きく標的にしました。
「脅威アクターとして、恐喝やランサムウェアで百万ドルの価値を得ているのであれば、数千ドルを支払わないのはなぜですか?これはあなたにとって少額です」とMasonは述べました。
マイクロソフトは、Fox Tempestがサービスを提供するために使用した1,000以上のアカウントとサブスクリプションを削除または削除しました。同社はまた、脅威グループのウェブサイトを押収し、数百の仮想マシンをオフラインにし、基盤となるコードをホストしているサイトへのアクセスをブロックしました。
「この中断は攻撃者のコストを引き上げる可能性があり、彼らがこれらのサービスの使用から移行することを望んでいます」とMasonは述べました。「明らかにそれは単なる中断であり、他にも彼らがおそらく移行するものや、次に誰かが別の方法でこれを試みるかもしれません。」
Fox TempestはMasadaが述べたように、防御者が現在直面している完全に発展したサイバー犯罪経済の例です。
「多くの場合、アクターはもはや攻撃をゼロから構築する必要はありません。あるベンダーからのフィッシングキット、別のベンダーからのマルウェア、さらに別のベンダーからのインフラと最適化ツール等、単にそのコンポーネントを購入することでアセンブルすることができます」と彼は述べました。
「マーケットプレイスとサービスプロバイダーに対する最近の中断に焦点を当てると、経済がどのように機能しているかについてより明確な全体像が得られます。そして現れているのは階層化されたエコシステムです」とMasadaは追加で述べました。
「一方の端には、大規模に製造および構築されたコモディティ化されたツールがあります。ターンキーフィッシングキットや認証情報収集サービスのようなものです」と彼は述べました。「しかしそれ以上に、回避、耐久性、最適化に焦点を当てた、より洗練された層のオペレーターと高度に特化されたサービスが見えています。これらは単に攻撃を可能にしているだけではなく、現代の防御に対する成功を実現するよう開発されています。」
翻訳元: https://cyberscoop.com/microsoft-digital-crimes-unit-disrupts-fox-tempest/
