マイクロソフトは、Rhysidaランサムウェア攻撃を助長し、Oyster、Lumma Stealer、Vidarなどの主要マルウェア株のツールを開発したサイバー脅威者「Fox Tempest」に対する取り締まりを実施しました。
5月19日、大手テクノロジー企業はこのグループに焦点を当てた米ニューヨーク南部地区連邦地方裁判所での法的事件を明かしました。
同時に、マイクロソフトのデジタル犯罪ユニット(DCU)エージェントがFox Tempestのオペレータと偽のペルソナを使用して関わり、グループのインフラストラクチャを特定し、このインフラストラクチャをホストしている組織と協力し、グループの操作を中断した方法の詳細も共有しました。
マイクロソフトは現在、FBIおよびEuropol’s European Cybercrime Centre(EC3)と協力して、グループの背後にいる人々の身元を明かしています。
Fox Tempest:多数のサイバー犯罪を支援するグループ
Fox Tempestは、少なくとも2025年5月以来活動している経済的動機を持つ脅威者です。
マイクロソフトのデジタル犯罪ユニットの主任サイバー犯罪調査官Maurice Masonは、5月18日に開催されたプレスブリーフィングで、「グループはマルウェアおよびランサムウェアサプライチェーンの上流で、有効化手段として操業している」と説明しました。
つまり、Fox Tempestが自分たちで悪意のある操作を実行する代わりに、他のサイバー脅威者がそうすることを可能にするツールとサービスを提供しています。
具体的には、グループはマイクロソフトが「マルウェア署名サービス」(MSaaS)と呼ぶものを販売しており、サイバー犯罪者がマルウェアを正当なソフトウェアとして偽装し、従来のセキュリティ防御を回避することをさらに可能にします。
マイクロソフトは、Fox Tempestが複数のランサムウェアグループと密接に協力していると評価しました。
これらにはStorm-2501、Storm-0249、およびマイクロソフトによってVanilla Tempestとして追跡されるグループであるRhysidaが含まれます。
特にRhysidaは訴訟でFox Tempestの共謀者として指名されました。このグループは、2023年から2026年4月までの間に、世界中の学校、病院、医療機関、その他の重要インフラ組織を含む複数のサイバー攻撃に関連しています。
Rhysidaはまた、2023年10月のイギリス図書館を対象としたハックと、2024年9月のシアトル・タコマ国際空港に対するデータ恐喝攻撃の背後にいると考えられています。
さらに、Fox Tempestによって開発された不正なコード署名ツールは、Aurora、Lumma Stealer、Malcert、Oyster、Vidar、その他多くのマルウェア株の展開でマイクロソフトによって特定されました。
また、複数の専門家によってイラン情報セキュリティ省(MOIS)に帰されるサイバースパイ活動グループであるMuddyWaterによって展開されたいくつかのキャンペーンでも発見されました。
Fox Tempestによって最も標的にされた国の中には、米国、フランス、インドが含まれ、その後に中国、ブラジル、ドイツ、日本、英国、イタリア、スペインが続きます。
「これは、これらの国がマルウェアまたはランサムウェアの標的にされたことを意味するのではなく、これらの国のいずれかのマシン上に、Fox Tempestが作成したコード署名サービスを使用して作成された証明書によって署名されたファイルがあったことを意味します」とDCUのMasonは述べました。
Fox Tempestのコード署名悪用説明
MSaaSツールを構築するために、Fox Tempestはマイクロソフトのアーティファクト署名などのコード署名ツールを悪用しました。これは2024年にTrusted Signingとして導入され、ソフトウェア開発者がソフトウェアが正当であり、改ざんされていないことを確認するために設計されたシステムです。
「この不正なコード署名は、サイバー犯罪者が正面玄関から直進してシステムに侵入することを可能にする偽のIDとして機能します」と、マイクロソフトDCUのグローバルヘッドであるSteven Masadaが説明しました。
「最も非技術的な人でも、これは非常にスケーラブルで誰でも簡単に使用できます。ファイルをポータルにドラッグアンドドロップするだけで、ソフトウェアがArtifact Signingで署名されます。」
少なくとも2020年以来のコード署名証明書の販売者であり、Fox Tempestのアクセスブローカーとして機能したSamCodeSignと接触した後、DCUチームは、彼らが通常3つのオプションでサービスを販売していることを観察しました:
- 購入キュー付きスタンダード版は$5000
- 優先販売で$7500
- 迅速販売で$9500
マイクロソフトはまた、サイバーセキュリティ企業Resecurityと協力して、Fox Tempestがどのように操作されるかを探索しました。
Fox Tempestインフラストラクチャのマイクロソフト削除
DCUはその後、Fox Tempestのインフラストラクチャを調査しました。これは初期段階ではSignspace[dot]cloudと呼ばれるウェブサイトを含み、英国を拠点とするFreak Hostingおよびエストニアを拠点とするWavecomなどの正当なホスティングプロバイダーをサービスの仮想プライベートサーバー(VPS)サプライヤーとして使用していました。
DCUチームは2026年1月にインフラストラクチャをシフトし、アラブ首長国連邦のドバイを拠点とする別の正当なVPSプロバイダーであるCloudzyの使用を開始しました。
5月5日、マイクロソフトはニューヨーク南部地区裁判所に民事訴訟を提起し、3日後に裁判所命令を受けました。
DCUはグループの悪意のあるドメインをマイクロソフト所有のシンクホールに転送し、プロバイダーの支援を得てCloudzyでホストされた数百の仮想マシンを無効にし、約1000のアカウントを削除し、脅威者のリポジトリを停止しました。
DCUチームはその後、サービスの運用で経験していた問題を共有したSamCodeSignと関わりました。「彼はパニックになっています、彼は怒っています、彼はもう私たちに証明書を売ってくれません」とDCUのMasonは言いました。
マイクロソフトはまた、Fox Tempestが作成した証明書の大幅な減少を観察しました。
「毎日、私たちは「検証済み」、「安全」、「インストール可能」などのシンプルなラベルに導かれて、数秒でどのソフトウェアを信頼するかを決定しています。問題は、それらのサインを操作できるということです」とMasadaは述べました。
「初めて、マイクロソフトはサイバー犯罪エコシステム内の強力ですが、しばしば見えない有効化手段に対する公開行動を取っており、サイバー犯罪者がテクニックを準備および採用してその成功率を最適化する方法を標的にしています。」
翻訳元: https://www.infosecurity-magazine.com/news/microsoft-takes-down-fox-tempest/
