eSecurity Planet のコンテンツと製品推奨事項は編集上独立しています。パートナーへのリンクをクリックすると、収益が発生する場合があります。 詳細情報
マイクロソフトは、ランサムウェアとマルウェア攻撃に使用される不正な証明書を作成するためにAzure Artifact Signingを悪用したマルウェア署名サービスを破壊したと述べています。
Fox Tempest作戦は、サイバー犯罪者が信頼できるソフトウェアに偽装したマルウェアを配布し、Windowsの防御を回避してユーザーを欺くのを支援したと言われています。
「Fox Tempestは直接被害者をターゲットにするのではなく、代わりに他の脅威行為者によるランサムウェア作戦を可能にするサポートサービスを提供しています」と、マイクロソフトは助言で述べました。
Fox Tempest作戦からの重要なポイント
- マイクロソフトは、不正なコード署名証明書を作成するためにAzure Artifact Signingを悪用したFox Tempestマルウェア署名サービスを破壊しました。
- この作戦は、ランサムウェアグループがMicrosoft TeamsやAnyDeskなどの信頼できるソフトウェアに偽装したマルウェアを配布するのを支援したと言われています。
- マイクロソフトは、このグループが盗まれたアイデンティティと短期間有効な証明書を使用して、検証制御を回避し、検出を逃れたと述べています。
- このサービスはホストされたマルウェア署名インフラストラクチャに拡張され、顧客はマルウェアをアップロードして署名されたバイナリを直接受け取ることができました。
- マイクロソフトは、信頼できるデジタル署名だけでは、ソフトウェアの正当性の信頼できる指標ではなくなったと警告しました。
Fox Tempestマルウェア作戦の内部
マイクロソフトは、攻撃者がそのAzure Artifact Signingサービスを悪用して、Fox Tempestとして知られている大規模なマルウェア署名サービス(MSaaS)作戦を通じてマルウェアを配布するために使用される正当に見える証明書を生成したと述べています。
このキャンペーンは、Oyster、Lumma Stealer、Vidarなどのマルウェアファミリーに関連していました。また、Rhysida、Akira、INC、Qilin、BlackByteなどのランサムウェアグループにも関連していました。
Vanilla Tempest、Storm-0501、Storm-2561、およびStorm-0249に関連する脅威行為者は、世界中の組織を標的とした攻撃で署名されたマルウェアを使用したと報告されています。
信頼できるソフトウェアに偽装した署名付きマルウェア
プラットフォームの顧客は悪意のあるバイナリをアップロードでき、Azure Artifact Signingで生成された不正に入手された証明書を使用してデジタル署名されたマルウェアを受け取ることができました。
マルウェア自体は、疑いを減らし、配信成功率を改善するために、Microsoft Teams、AnyDesk、PuTTY、Webexなどの信頼できるエンタープライズソフトウェアに偽装されることが多かった。
一つの例では、偽のMicrosoft Teamsインストーラーがカスターマルウェアをデプロイしてから、最終的にRhysidaランサムウェアを被害者システムに配信しました。
盗まれたアイデンティティと短期間有効な証明書
研究者は、オペレータがマイクロソフトの身元確認要件をバイパスして署名サービスへのアクセスを取得するために、アメリカとカナダから盗まれたアイデンティティに依存していた可能性があると考えています。
マイクロソフトはまた、Fox Tempestが72時間間のみ有効な短期間有効な証明書を頻繁に使用し、グループが証明書を迅速に交換し、従来の失効努力の有効性を減らすことができたと述べています。
マルウェア署名サービスが事業を拡大
今年初め、この作戦は、Cloudzyインフラストラクチャを通じてホストされている事前設定済みの仮想マシン環境を提供することで、証明書発行を超えて拡大したと報告されています。
顧客はマルウェアをホストされたシステムに直接アップロードでき、署名されたバイナリを受け取ることができました。これにより、ランサムウェアオペレータやその他のサイバー犯罪顧客のマルウェアデプロイメントが合理化されました。
このサービスは「SamCodeSignによる販売用EV証明書」というTelegramチャネルを通じて公然と宣伝されており、アクセスは5,000ドルから9,000ドルのビットコインで価格設定されていたと報告されています。
マイクロソフトは、この作戦は数百万ドルの利益を生み出し、インフラストラクチャ、財務取引、運用セキュリティ、顧客サポートを規模で管理する成熟したサイバー犯罪企業の特性を示したと述べています。
信頼できるソフトウェアの悪用からのリスクを軽減
信頼できるデジタル署名は、ソフトウェアが安全であることの保証ではなくなりました。
攻撃者がクラウド署名サービスと信頼できるアプリケーションを悪用して検出を回避するにつれて、組織はソフトウェア検証、身元管理、およびインフラストラクチャセグメンテーションの周囲のより強力な制御が必要です。
- アプリケーションのホワイトリスト登録とエンドポイント検出ポリシーを強化し、署名されたバイナリ、インストーラー、信頼できるソフトウェアのなりすまし試行から疑わしい動作を特定します。
- 強力なアイデンティティ検証、多要素認証(MFA)、証明書発行システム、Azureテナント、およびクラウド署名環境全体での最小権限アクセス制御を実施します。
- ビルド、署名、本番環境インフラストラクチャをセグメント化し、横方向の移動の機会を制限し、署名環境または証明書が侵害された場合の公開を減らします。
- Azureテナント作成、仮想マシンプロビジョニング、および証明書活動を監視し、過度な短期間有効な証明書発行や疑わしいインフラストラクチャデプロイメントパターンを含む異常な動作を特定します。
- 証明書の評判の監視、動作サンドボックス、および新しく署名された実行可能ファイルの二次検証チェックを実装して、エンタープライズ環境での実行を許可する前に確認します。
- 未使用の署名認証情報、APIトークン、およびクラウドアイデンティティを継続的にレビューして失効させ、特権アクセス管理およびハードウェアバックアップキー保護を通じて署名システムへのアクセスを制限します。
- インシデント対応と信頼できるソフトウェアの悪用プレイブックを定期的にテストし、チームが署名されたマルウェアを迅速に隔離し、侵害された証明書を失効させ、悪意あるインフラストラクチャを抑制し、影響を受けたシステムを復旧できることを確認します。
これらのステップを組み合わせることで、組織は信頼できるソフトウェアの悪用に対する耐性を構築し、侵害された証明書、悪意あるインフラストラクチャ、および署名されたマルウェア攻撃への全体的な曝露を減らすことができます。
信頼できる署名はもはや安全を意味しません
この例は、サイバー犯罪作戦が、他の脅威行為者にセキュリティ制御をより効率的にバイパスするために設計されたツールを提供するサービスベースのビジネスモデルをどのように採用しているかを示しています。
ランサムウェアアズアサービスと初期アクセスブローカーのように、マルウェア署名サービスは、セキュリティツールとオペレーティングシステムに正当に見えるマルウェアを配布するための技術的障壁を低下させます。
このインシデントは、攻撃者が正当な署名インフラストラクチャを継続して悪用するにつれて、デジタル署名だけではもはや信頼の信頼できる指標ではないことを強化しています。
信頼できるデジタル署名が攻撃者にとって悪用しやすくなるにつれて、組織はユーザー、デバイス、アプリケーションを継続的に検証するのに役立つゼロトラストソリューションに目を向けています。
