TokyoBlackHatNews

therecord.media 5分で読了

マイクロソフト、ランサムウェアギャングに関連するFox Tempestマルウェア署名サービスプラットフォームを中断

マイクロソフトは、マルウェアを正当なソフトウェアのように見せることで、サイバー犯罪者が防御をすり抜けるのを助けた重要なサービスを停止したと述べました。

同社は火曜日に米国地方裁判所で法的事件を公開し、2025年5月から運営されている人気のサービスであり、サイバー犯罪者にコード署名ツールを提供していたFox Tempestの破壊について詳細に述べました。 

グループは、ソフトウェアが正当であり改ざんされていないことを確認するために設計されたマイクロソフトのArtifact Signingを悪用しました。 

マイクロソフトのDigital Crimes Unitの副総務弁護士であるSteven Masadaは、サイバー犯罪者がこのサービスを使用してマルウェアを配信し、ランサムウェアを有効にし、数千台のマシンに感染し、世界中のネットワークを侵害したと述べました。

「アンチウイルスおよび他のセーフガードによってブロックまたはフラグが付けられるべき悪意のあるソフトウェアは、開かれたり、実行されたり、またはセキュリティチェックに合格したりする可能性がはるかに高かった – 本質的にはマルウェアが明らかな場所に隠れることを可能にしていた」と彼は述べました。 

「力ずくで侵入する代わりに、攻撃者は歓迎されたゲストのふりをして、正面玄関からすり抜けることができました。」

Masadaは、正当なコード署名サービスが兵器化されると、すべてのダウンストリームがより簡単になることを説明しました:マルウェアは正当に見え、セキュリティ警告がトリガーされる可能性が低く、攻撃が成功する可能性が高くなります。 

Rhysida、INC、Qilin、Akiraなどの大きなグループに関連するランサムウェアアフィリエイトは、マルウェアをFox Tempestサイトにアップロードし、それを正当化してから、安全なソフトウェアをダウンロードするための実際のプラットフォームのふりをしている偽のウェブサイトを作成しました。 

信頼できるソースからの短命証明書のこの使用により、マルウェアとランサムウェアはAnyDesk、Teams、Putty、Webexなどの正当なソフトウェアに似ており、セキュリティコントロールをバイパスし、実行と成功した配信の可能性を大幅に増加させました。

Masadaは、Fox Tempestのウェブサイトを押収し、数百の仮想マシンをオフラインにし、基礎となるコードをホストしているサイトへのアクセスをブロックしたと述べました。彼は、マイクロソフトが行動について不平を言っているサイバー犯罪者を示す証拠を取得したと述べました。 

「攻撃者が悪意のあるソフトウェアを正当に見えさせることができるとき、それは人々とシステムが何が安全かを決定する方法を損なわせます。その能力を破壊することはサイバー犯罪のコストを上げるための鍵です。」

Fox TempestのMSaaS

マイクロソフトはこの計画をマルウェア署名サービス(MSaaS)と呼び、Fox Tempestはインフラストラクチャの作成、顧客関係、および財務取引を処理する部門を持つ十分なリソースを持つ操作であると述べました。

Fox TempestはマイクロソフトのArtifact Signingを使用して、短命の詐欺的なコード署名証明書を作成しました。

グループは1000以上の証明書を作成し、その運用をサポートするために数百のAzureテナントとサブスクリプションを確立しました。マイクロソフトは、Fox Tempestに起因する1000以上のコード署名証明書を取り消したと述べました。 

マイクロソフトのセキュリティ関係者は、ランサムウェアの俳優がこのサービスを使用してOyster、Lumma Stealer、Vidarを含むマルウェアファミリーを配布するのを見ました。ハッカーは購入した広告と正当なウェブサイトのように見えるリンクを通じて署名されたマルウェアを配信しました。 

マイクロソフトは、Fox Tempestがランサムウェアアフィリエイトによって数百万ドル支払われ、このツールが米国、中国、フランス、インドの組織の範囲をターゲットにした攻撃で使用されたことを示す暗号通貨の支払いを分析しました。 

ユーザーに数千ドルを請求した計画は、破壊作戦が続く中で、サイバー犯罪者のエコシステムがどのように進化しているかの証拠であると、Masadaは述べました。サイバー犯罪者は現在、攻撃をスケーリングし、防御をすり抜けることを可能にするサービスの配列に依存しています。 

サイバー犯罪者は長い間違法なコード署名証明書を販売してきたが、Fox Tempestはこの活動がどのようにサービスとしての規模で販売されているかを示しました。 

「証明書を1つずつ購入する代わりに、犯罪者はマルウェアをそれに署名するサービスにアップロードします。このモデルをまた注目すべきものにするのは投資のレベルです」とMasadaは述べました。 

「月額わずか24ドルで費用がかかり、マイクロソフトが今年の初めに破壊したサイバー犯罪インフラストラクチャプロバイダーであるRedVDSのような低コストサービスとは異なり、Fox Tempestは、より洗練されたアクターが攻撃をより簡単に実行でき、検出がより難しく、成功する可能性がより高くなる高度な機能に数千ドルを支払う意思があることを示しています。」

翻訳元: https://therecord.media/microsoft-disrupts-fox-tempest-malware-signing-service

ソース: therecord.media
#Artifact Signing #Fox Tempest #コード署名証明書 #サイバー攻撃対策 #サイバー犯罪 #デジタルセキュリティ #マイクロソフト #マルウェア署名サービス #マルウェア配布 #ランサムウェア

関連記事

英国の規制当局、技術企業にディープフェイクと非合意的な親密な画像への対応を要求

AIファームが金融口座への接続を検討する中、専門家がプライバシーリスクについて警告

中東詐欺ネットワークを狙ったサイバー作戦で200人以上を逮捕