金銭的な動機を持つ脅威アクター、Fox Tempestは、Microsoftのアーティファクト署名プラットフォームを悪用した大規模なマルウェア署名サービス(MSaaS)操作に関連していることが判明しました。これにより、サイバー犯罪者は信頼できるように見える悪意のあるソフトウェアを配布することができました。
マイクロソフト脅威インテリジェンスによると、同グループは詐欺的ながら有効なコード署名証明書を生成することで、ランサムウェアキャンペーンとマルウェア配布を可能にし、攻撃者がセキュリティコントロールを回避し、感染成功率を高めることができました。
大規模なFox Tempestマルウェア署名の悪用
Fox Tempestは、以前Signspace [.]cloudでホストされていた専用サービスを運営していました。このサービスにより、脅威アクターは悪意のあるファイルをアップロードし、デジタル署名されたバイナリを受け取ることができました。
Microsoftのアーティファクト署名サービスを通じて発行された、これらの証明書は短い期間(通常72時間)有効であり、検出と取り消しをより困難にしていました。
Microsoftが明かしたところによると、 Fox Tempestは1000以上の証明書を生成し、その基盤を支援するために数百のAzureテナントを作成しました。
同社はその後これらの証明書を失効させ、2026年5月には、デジタル犯罪ユニット(DCU)およびResecurityとの協力により、この操作を妨害しました。
このサービスは、Microsoft Teams、AnyDesk、PuTTY、Webexなどの信頼できるソフトウェアを模倣することにより、マルウェアが正規のものに見えるようにし、ターゲット環境での実行の可能性を大幅に増加させました。
従来の脅威アクターとは異なり、Fox Tempestは被害者を直接攻撃しませんでした。代わりに、サイバー犯罪エコシステム内のサービスプロバイダーとして機能し、ランサムウェアアフィリエイトとマルウェアオペレーターをサポートしました。
Microsoftは、Fox Tempestを以下を含むいくつかのアクティブな脅威グループにリンクしました:
- Vanilla Tempest
- Storm-0501
- Storm-2561
- Storm-0249
これらのグループは、Fox Tempest署名マルウェアを使用して、Rhysidaランサムウェア、Oysterバックドア、Lumma Stealer、およびVidar infostealerなどのペイロードを配信しました。
注目すべきキャンペーンの1つは、SEOポイズニングと悪意のある広告を含んでいました。これは正規のソフトウェアを検索しているユーザーを偽のダウンロードページにリダイレクトしました。被害者は無意識のうちにトロイの木馬化されたインストーラーをダウンロードしました。これらはデジタル署名されており、信頼できるように見えました。
Fox Tempestの運用は進化しました。当初、ユーザーはWebベースのポータルにアクセスして署名用のファイルを送信していました。2026年初頭までに、同グループはより高度なモデルに移行し、サードパーティのインフラでホストされた事前設定された仮想マシンを顧客に提供していました。
これらのVMにより、攻撃者はマルウェアを直接アップロードして署名されたバイナリを受け取ることができ、運用の摩擦を減らし、匿名性を向上させました。このサービスは、5,000ドルから9,000ドルの範囲の段階的な価格設定モデルを通じて収益化されており、より高い料金を支払う顧客はより迅速なアクセスを受け取りました。
調査官は、バックエンドインフラに使用されたGitHubリポジトリへのリンク、およびオペレーターが顧客と通信し、トランザクションを調整したTelegramチャネルも発見しました。
Fox Tempestの影響の主要な例はVanilla Tempestを含んでおり、これはサービスを使用して悪意のあるMicrosoft Teamsインストーラー(MSTeamsSetup.exe)に署名しました。署名されたバイナリは悪意のある広告と偽のウェブサイトを通じて配布されました。
実行されると、インストーラーはOysterバックドアをデプロイし、永続的なアクセス、コマンドアンドコントロール通信、およびさらなるペイロード配信を可能にしました。いくつかのケースでは、このアクセスは後で侵害されたネットワーク内にRhysidaランサムウェアをデプロイするために使用されました。
マルウェアは一見有効な証明書で署名されていたため、従来のセキュリティチェックを回避し、企業環境に溶け込む可能性がより高かったです。
Fox Tempestの活動は、米国、ヨーロッパ、インド、中国などの地域にかけて、医療、教育、政府、金融を含む複数のセクターに影響を与えました。
暗号資産分析により、Fox TempestとQilin、Akira、INC、BlackByteなどのファミリーにリンクされたランサムウェアアフィリエイトとの接続が明らかになりました。
Microsoftは、この操作が違法な収入で数百万ドルを生成したと推定していますが、ランサムウェア経済における重要なイネーブラーとしての役割が強調されています。
軽減と検出
Microsoftは、署名されたマルウェアの悪用に関連するリスクを軽減するためのいくつかの防御対策を推奨しています:
- エンドポイントセキュリティツールでクラウド配信保護と機械学習ベースの検出を有効にする
- 安全なリンクと安全な添付ファイルを使用して、電子メール内の悪意のあるコンテンツをブロックする
- セキュリティ制御の無効化を防ぐためにタンパー保護を実施する
- 攻撃面削減ルールを適用して、一般的なランサムウェア技術をブロックする
- SmartScreenなどのブラウザ保護を使用して、悪意のあるウェブサイトを検出する
Microsoft Defenderは、OysterLoader、Lumma Stealer、Vidar、Rhysidaランサムウェアを含む複数の署名の下で関連する脅威を検出します。
セキュリティチームはまた、脅威ハンティング、インシデント分析、および自動応答のためにMicrosoft Security Copilotを活用することが推奨されています。
Fox Tempestの摘発は、サイバー犯罪サプライチェーンへの重大な混乱を示しています。しかし、このインシデントは成長するトレンドを強調しています:攻撃者は、悪意のある操作を正当化するために信頼できるプラットフォームとサービスにますます依存しており、検出をより複雑にし、より強力で層状の防御を必要としています。
侵害の指標
| 指標 | タイプ | 説明 | 最初に確認 | 最後に確認 |
| signspace[.]cloud | ドメイン | MSaaSをホストする攻撃者制御ドメイン | 2025-05-29 | 2026-05-05 |
| dc0acb01e3086ea8a9cb144a5f97810d291020ce | SignerSha-1 | 証明書 | 2026-03-18 | 2026-05-11 |
| 7e6d9dac619c04ae1b3c8c0906123e752ed66d63 | SignerSha-1 | 証明書 | 2026-03-21 | 2026-05-11 |
| f0668ce925f36ff7f3359b0ea47e3fa243af13cd6ad9661dfccc9ff79fb4f1cc | SHA-256 | ファイルハッシュ | 2026-03-19 | 2026-05-04 |
| 11af4566539ad3224e968194c7a9ad7b596460d8f6e423fc62d1ea5fc0724326 | SHA-256 | ファイルハッシュ | 2026-03-21 | 2026-05-07 |
| f0a6b89ec7eee83274cd484cea526b970a3ef28038799b0a5774bb33c5793b55 | SHA-256 | ファイルハッシュ | 2026-03-12 | 2026-04-19 |
注: IPアドレスとドメインは、偶発的な解決またはハイパーリンク化を防ぐために意図的に無効化されています(例:[.])。MISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ再有効化してください。
翻訳元: https://gbhackers.com/fox-tempest-abusing-microsoft-artifact-signing/
