Microsoftのデジタル犯罪部隊(DCU)は、高度なマルウェア署名サービス(MSaaS)プラットフォームを運営していた、経済的動機を持つ脅威アクター「Fox Tempest」のインフラを解体しました。このプラットフォームは、世界中のランサムウェアグループとサイバー犯罪者を支援していました。
2025年9月からMicrosoft脅威インテリジェンスによって追跡されているFox Tempestは、被害者を直接攻撃することはありません。
代わりに、このグループはサイバー犯罪サプライチェーンの上流で活動し、最も効果的なセキュリティ障壁の1つであるコード署名検証を除去する署名サービスを提供しています。
「このケースはサイバー犯罪の変化を示しています」とMicrosoftのデジタル犯罪部隊の補佐官Steven Masadaは述べています。「かつて単一のグループが攻撃を開始から終了まで実行する必要があったのに対し、現在はサービスが売買されるモジュール型エコシステムに分割されています。」
Fox Tempestは、Microsoftの成果物署名(旧称Azure Trusted Signing)を悪用して、詐欺的な有効期間72時間のコード署名証明書を生成していました。
このグループは、盗まれた米国およびカナダベースの身元を使用して正当なエンティティになりすまし、プラットフォームの身元確認プロセスを通過した後、その操作を維持するために数百のAzureテナントとサブスクリプションを作成した可能性があります。
サービスはsignspace[.]cloudでホストされており、顧客はここに悪意のあるファイルをアップロードして、デジタル署名されたバイナリを返すことができました。
サイバー犯罪者はアクセスのために5,000ドルから9,500ドルの間で支払い、料金階層によって優先キューの配置が決定され、顧客とのコミュニケーションは専用のTelegramチャネルを通じて管理されていました。
2026年2月、Fox Tempestは米国ベースのVPSプロバイダーであるCloudzyでホストされた事前設定された仮想マシンをプロビジョニングすることにより、インフラストラクチャをアップグレードし、マルウェア署名パイプラインをさらに合理化しました。Microsoftが発表。
詐欺的な証明書により、マルウェアはMicrosoft Teams、AnyDesk、PuTTY、Webexなどの信頼できるソフトウェアブランドになりすましたため、Microsoft Defender SmartScreenは、ダウンロード時により弱い警告を表示したり、警告を表示しなかったりしました。
暗号通貨追跡により、このグループはRhysidaを含むランサムウェアファミリーINC、Qilin、Akira、BlackByteに関連付けられ、収益は数百万に達しています。
注目に値するケーススタディでは、Vanilla TempestはFox Tempestの署名サービスを使用してMicrosoft Teamsインストーラーをトロイの木馬化し、悪意のある広告キャンペーンを通じて配布し、最終的にOysterバックドアと、場合によってはRhysidaランサムウェアを提供しました。
Fox Tempestで署名されたバイナリを通じて配布されたマルウェアファミリーには、Lumma Stealer、Vidar、Auroraも含まれています。被害組織は、米国、フランス、インド、中国のヘルスケア、教育、政府、金融サービスにまたがっています。
脅威インテリジェンスパートナーResecurityのサポートを受けたMicrosoftのDCUは、signspace[.]cloudドメインを押収し、数百の仮想マシンをオフラインにし、1,000以上の不正に取得されたコード署名証明書を失効させ、Fox Tempestに関連付けられた1,000以上のAzureアカウントを削除しました。
Microsoftは、グループの操作をサポートする残存インフラを破壊するためにCloudzyとの協力を続けています。
翻訳元: https://cyberpress.org/fox-tempest-abused-microsoft-artifact-signing/