- MicrosoftがFox Tempest作戦を破壊 – Azure Artifact Signingを悪用して不正なコード署名証明書を発行
- このグループは1,000以上の証明書と数百のAzureテナントを作成し、マルウェアキャンペーンがセキュリティ制御を回避できるようにした
- Fox TempestとVanilla Tempestに対して法的措置が開始された。これらのサービスは主要なマルウェアおよびランサムウェア配布をサポートしていた
Microsoftは、ハッカーにデジタル署名された証明書を提供していた悪質なサービスを削除し、その運営者に対して法的措置を開始しました。
同社は報告書で、Fox Tempestとして知られる脅威行為者がAzure Artifact Signingを使用して一時的な証明書を作成したと述べました。これらの証明書により、マルウェアは正当なソフトウェアとして署名でき、アンチウイルス保護をバイパスして被害者デバイスを危険にさらしました。
このサービスにアクセスするために、犯人たちはアメリカとカナダの人々から盗んだ異なるアイデンティティを使用したとされています。目撃される可能性を最小化するため、彼らは72時間だけ有効な証明書を作成しました。しかし、作業中に攻撃者は1,000以上の証明書と数百のAzureテナントとサブスクリプションを作成しました。
著名な顧客
「Fox Tempestは1,000以上の証明書を作成し、その運営をサポートするために数百のAzureテナントとサブスクリプションを確立しました。Microsoftは、Fox Tempestに起因する1,000以上のコード署名証明書を失効させました」とMicrosoftは報告書で述べました。
「2026年5月、Microsoftのデジタル犯罪ユニット(DCU)は業界パートナーのサポートを受けて、Fox TempestのMSaaSサービスを中断し、より広範な犯罪使用を可能にするインフラストラクチャとアクセスモデルをターゲットにしました。」
テイクダウン活動の一環として、Microsoftはsignspace[dot]comドメイン、および数百の仮想マシンを差し押さえました。また、サービス全体をホストしていたインフラストラクチャへのアクセスもブロックしました。
BleepingComputerは、LummaStealer、Vidar、Qilin、BlackByte、Akiraを含む最大規模のマルウェアおよびランサムウェアキャンペーンの一部がFox Tempestのサービスを使用していたことを指摘しています。Vanilla TempestはこうCom告訴でも共謀者として名指しされ、マルウェアとランサムウェアの両方を配布していたとされています。
このようにして配布されていた偽のアプリには、Teams、AnyDesk、Webexが含まれていました。
「疑いを持たない被害者が誤った名称のMicrosoft Teamsインストーラーファイルを実行すると、それらのファイルは悪意のあるローダーを配信し、その後、詐欺的に署名されたOysterマルウェアをインストールし、最終的にRhysidaランサムウェアをデプロイしました」とMicrosoftは説明しました。
「Oysterマルウェアはマイクロソフトのアーティファクト署名サービスからの証明書によって署名されたため、Windowsオペレーティングシステムは最初はマルウェアを正当なソフトウェアとして認識しましたが、そうでなければWindowsオペレーティングシステムのセキュリティ制御によって疑わしいものとしてフラグが付けられるか、完全にブロックされていたでしょう。」
