サイバー犯罪者はマルウェアをWindowsで検出しにくくするために5,000~9,000ドルを支払っており、このサービスの有効性とサイバー犯罪市場の運営方法の転換を示しています。
Microsoftはランサムウェアグループおよび他のサイバー犯罪者が悪意のあるプログラムをWindowsで検出しにくくするために使用される最大のマルウェアコード署名サービスを提供するインフラを破壊しました。このサービスの背後にある脅威行為者は盗まれたアイデンティティを使用し、正当な組織になりすまして1,000以上のコード署名証明書を取得しました。
Microsoftはグループのウェブサイト「signspace[.]cloud」を押収し、そのArtifact Signingサービスを通じて取得された悪用された証明書を失効させ、攻撃者がAzure上に設定した数百台の仮想マシンをオフラインにしました。サイバー犯罪者はマルウェア署名サービス(MSaaS)を使用するために5,000~9,000ドルを支払っており、このサービスの有効性を強調しています。
Microsoftの研究者は、このオペレーションを実行しているグループ(MicrosoftはこれをFox Tempestと呼んでいます)と、INC、Qilin、Akira、Rhysidaなどのギャングと協力したランサムウェアアフィリエイト間の明確なリンクを確立しました。
Vanilla Tempestとして追跡されるあるランサムウェアグループは、コード署名サービスを使用してAnyDesk、Microsoft Teams、Putty、Webexなどの一般的なエンタープライズソフトウェアの悪意のあるインストーラを作成しました。これらの偽のデジタル署名付きインストーラはSEO中毒とマルバタイジングを通じて配布され、さまざまなバックドア、情報盗取ツール、ランサムウェアプログラムをデプロイするために使用されました。
「このケースはサイバー犯罪がどのように変化しているかを示しています」と、MicrosoftのDigital Crimes Unitのアシスタント最高法律顧問Steven Masadaはブログ投稿で述べました。「かつて単一のグループが攻撃を開始から終了まで実行するために必要だったものが、現在はサービスが売買されて相互に機能するモジュラーエコシステムに分割されています。いくつかのサービスは安価で広く使用されています。Fox Tempestのような他のサービスは、攻撃が失敗する原因となる摩擦を除去または障害を回避するため、高度に特化し、高価です。そのため、より信頼性が高く、検出しにくくなっています。」
大規模なコード署名
実行可能ファイルにデジタル署名をすることの価値は、Microsoft Defender SmartScreenがダウンロードされたファイルに対してより弱い警告を表示するか、またはファイルが時間とともに清潔な評判を築き上げた場合はまったく警告を表示しないことです。一般的なアプリケーションになりすまし、ユーザーがそれらを実行することに依存している攻撃の場合、怖い警告がないことは大きな利点です。
デジタル署名が有効であるためには、Windows Trust Storeの信頼できる認証局の1つによって発行されたコード署名証明書によって作成される必要があります。Microsoftはazureの下でArtifact Signingと呼ばれるサービスを提供しており、開発者はそれを通じてアプリケーション用の短期間の証明書を取得できますが、このプロセスはアイデンティティ検証が必要です。
Fox Tempestは検証プロセスをパスするために盗まれたアイデンティティを使用し、その操作で使用するために数百のAzureアカウントとテナントを作成した可能性があります。グループはこれらのサブスクリプションの上にサービスを構築し、少なくとも2025年5月以降、サイバー犯罪エコシステムにコード署名サービスを提供していました。
最近、グループはVPSプロバイダーでホストされた事前設定されたVMの提供を開始し、脅威行為者が悪意のあるファイルを直接アップロードして、署名されたバイナリを返すことができるようにしました。
「違法なコード署名証明書は10年以上にわたって売買されてきました」とMasadaは述べました。「それには、ヨーロッパの重要インフラ機関を標的にするための国家行為者による使用が含まれます。変わったのは、このアクティビティがどのようにマーケティング、パッケージ化、サービスとして販売されるか、およびランサムウェアキャンペーン全体で使用されている規模です。犯罪者は1つずつ証明書を購入する代わりに、悪意のあるファイルを彼らのためにそれを署名するサービスにアップロードします。」
