マイクロソフトは水曜日、Rhysidaランサムウェアの展開を目的としたVanilla Tempestキャンペーンを撹乱したと発表しました。
Vanilla Tempestは、Vice SpiderやVice Societyとしても知られており、少なくとも2021年から存在し、主に教育および医療分野へのランサムウェア攻撃で知られています。
Vice Societyは2023年まで独自のリークサイトを持っていましたが、悪名高いRhysidaランサムウェアが登場した頃に姿を消しました。この脅威グループは、BlackCat、Quantum Locker、Zeppelinなど様々なファイル暗号化ツールを攻撃に使用してきましたが、最近では主にRhysidaランサムウェアを使っています。
マイクロソフトは、サイバー犯罪者がマルウェアに署名するために使用していた200以上の証明書を失効させることで、10月初旬にVanilla Tempestキャンペーンを撹乱したと述べています。
テクノロジー大手によると、ハッカーはOysterというバックドアをインストールするために設計された偽のMicrosoft Teamsセットアップファイルに署名しており、これによりRhysidaランサムウェアを展開できるようになっていました。
偽のTeamsインストーラーは、「teams-download.buzz」や「teams-install.run」などのドメインでホストされたウェブサイトを通じて配布されていました。被害者はSEOポイズニングによってこれらのサイトに誘導された可能性が高いです。
被害者が偽のTeamsセットアップファイルを実行すると、Oysterバックドアの署名付きバージョンをダウンロードするローダーが実行されました。Oysterバックドアは少なくとも2025年6月からVanilla Tempestによって使用されています。サイバー犯罪者は9月初旬からバックドアに署名し始めました。
「偽のインストーラーや侵害後のツールに不正に署名するために、Vanilla TempestはTrusted Signingのほか、SSL[.]com、DigiCert、GlobalSignのコード署名サービスを使用していたことが確認されています」とマイクロソフトは述べています。
マイクロソフトの対応により、Vanilla Tempestが配布するマルウェアは検出およびブロックが容易になり、サイバー犯罪活動への即時的な影響は大きい可能性がありますが、脅威アクターは新たな証明書や若干修正した手法で再び活動を再開する可能性があります。
翻訳元: https://www.securityweek.com/microsoft-revokes-over-200-certificates-to-disrupt-ransomware-campaign/
