TokyoBlackHatNews

theregister.com 4分で読了

Microsoftが身代金要求型マルウェア犯罪者がマルウェアを偽装するために使用した違法なコード署名操作を閉鎖

セキュリティ

米国の「数千人」の被害者、Redmondが所有・運用する12台以上のマシンを含む

Microsoftは、身代金要求型マルウェアギャングにコード署名証明書を販売したとされるサイバー犯罪サービスを運用していた数百の仮想マシンを押収し、ウェブサイトを停止しました。これにより、彼らのマルウェアは正規ソフトウェアのように見え、犯罪者は米国内の数千台のマシンに感染させることができました。Windows大手企業が所有・運用する少なくとも12台を含みます。

Fox Tempestと呼ばれるマルウェア署名サービス操作は2025年5月から存在しており、Microsoftのアーティファクト署名コード署名サービスを悪用しています。このサービスにより、開発者はソフトウェアアプリケーションにデジタル署名し、Windowsオペレーティングシステムとエンドユーザーにそのソフトウェアが本物で、改ざんされていないことを示すことができます。

2025年5月以来、火曜日に公開された裁判所文書でJohn Doe 1および2として言及されているFox Tempestクルーは、偽造された身元を使用し、実在の組織になりすまし、580以上の詐欺的なMicrosoftアカウントを作成することができました。

その後、彼らはこれらのアカウントを使用してMicrosoftのアーティファクト署名サービスを悪用し、実際のコード署名認証情報を取得し、その後、コード署名証明書を他の犯罪者に数千ドルで販売しました。

Microsoftによると、Fox Tempestの顧客には、RedmondがVanilla Tempest(別称Vice Spider、Vice Society、Rhysida)として追跡する身代金要求型マルウェアグループが含まれており、同グループはこれらの証明書を使用してマルウェアにデジタル署名し、Windowsとユーザーに正規に見えるようにしたと主張されています。

これにより、裁判所文書[PDF]によると、身代金要求型マルウェア犯は「被害者の同意なしに、疑いを持たない被害者のコンピュータにマルウェアをより容易に展開する」ことができました。マルウェアには、Windowsバックドア Oyster、情報窃盗マルウェア Lumma と Vidar、およびRhysida身代金要求型マルウェアが含まれていました。

民事訴状は、Vanilla Tempestが「被害者のコンピュータおよびデバイスへの違法なアクセス、被害者の個人情報および機密情報の流出および窃取、被害者のファイルおよびシステムを暗号化するために設計された身代金要求型マルウェアの配置、およびアクセス復元または彼らのデータの抑制と引き換えに支払いを要求することによる被害者への脅迫」を行ったと述べており、犯罪活動は継続中であると付け加えています。

その後のブログ投稿で、Microsoft Digital Crimes Unitの弁護士Steven Masadaは、同社の調査が「Fox Tempestを様々な追加の身代金要求型マルウェア関連企業およびファミリーをさらにリンクさせた。INC、Qilin、Akiraおよびその他を含む」と述べました。

2月から3月の間、Digital Crimes Unit(DCU)は「協力する情報源」と協力して、John Doe 2(別称SamCodeSign)からコード署名サービスを匿名で購入およびテストしました。

「これらのテスト購入により、DCU捜査官はFox Tempest被告人がサービスをどのように運用するか、購入者に提供される情報、およびMicrosoftが作成したテストソフトウェアに接続し署名するためにSamCodeSignによって与えられる指示を直接観察することができました」と裁判所文書に述べられており、「さらに、テスト購入によりDCUはFox Tempest被告人が使用する暗号資産ウォレットを特定することができました。」と述べられています。

最初のテスト購入中、情報源は証明書をどのくらい迅速に必要とするかを選択するよう求めるGoogleフォームに記入しました。標準は5,000ドル、優先は7,500ドル、迅速配送は9,500ドルの高い価格となっています。

SamCodeSignはその後、情報源に直接メッセージを送信し、7,500ドルの支払いをビットコインウォレットに送信するよう要求しました。裁判所文書内のスクリーンショット(ロシア語から翻訳)によるものです。

情報源が支払った後、SamCodeSignは仮想マシンにアクセスしてコード署名プロセスを完了する方法に関する指示を送信しました。

「Microsoftは、米国内で、Fox Tempest被告人によって作成されたテナントから出された証明書で署名されたマルウェアの影響を受けた、Microsoftが所有・運用する1ダース以上のマシンを含む、数千のカスタマーマシンを特定しました」と訴状に述べられています。®


ロゴ

ITに栄養を与える手をかむ

翻訳元: https://www.theregister.com/security/2026/05/19/microsoft-disrupts-alleged-malware-signing-operation-used-by-ransomware-gangs/5243013

ソース: theregister.com
#Fox Tempest #Microsoft #Vanilla Tempest #Windows #コード署名 #サイバー犯罪 #デジタル署名悪用 #マルウェア #マルウェア配布 #ランサムウェア

関連記事

Claudeも認める:そのサンドボックスの穴は実在し、危険だった

GitHubが毒性のあるVS Code拡張機能による攻撃で内部リポジトリが流出したと発表

スケジュールを空けてください、Drupalユーザーへ:極めて緊急なパッチをインストールする必要があります