Microsoftは、悪意のあるTeamsインストーラーの署名に使用されていた200以上の証明書を失効させることで、10月初旬に発生したRhysidaランサムウェア攻撃の波を阻止しました。
この攻撃の背後にいる脅威グループ「Vanilla Tempest」は、teams-install[.]top、teams-download[.]buzz、teams-download[.]top、teams-install[.]runなど、Microsoft Teamsを模倣したドメインを使用し、被害者にOysterバックドアを感染させる偽のMSTeamsSetup.exeファイルを配布していました。
これらの攻撃は、9月下旬のマルバタイジングキャンペーンの一部であり、検索エンジン広告やSEOポイズニングを利用して、Oysterマルウェア(BroomstickやCleanUpLoaderとも呼ばれる)でWindowsデバイスにバックドアを仕込む偽のMicrosoft Teamsインストーラーを拡散していました。
これらの広告やドメインは、Microsoft Teamsのダウンロードサイトを装ったウェブサイトへ誘導します。目立つ位置に表示されたダウンロードリンクをクリックすると、公式のTeamsインストーラーと同じファイル名「MSTeamsSetup.exe」がダウンロードされます。
実行すると、悪意のあるTeamsインストーラーがローダーを起動し、署名済みのOysterマルウェアを展開。これにより脅威アクターは感染したシステムへのリモートアクセスを獲得し、ファイルの窃取、コマンドの実行、さらなる悪意のあるペイロードの投下が可能となります。
Vanilla Tempestは2025年6月以降、Oysterバックドアを使用しており、2025年9月からはTrusted SigningやSSL.com、DigiCert、GlobalSignのコード署名サービスも活用しています。
このマルウェアは2023年半ばに初めて発見され、過去のRhysida攻撃でも企業ネットワークへの侵入に使われており、マルバタイジングによって、PuTTYやWinSCPなどのITツールを装って拡散されることが一般的です。
「Vanilla Tempestは、他のセキュリティベンダーからVICE SPIDERやVice Societyとして追跡されている、金銭目的のアクターであり、ランサムウェアの展開やデータの流出による恐喝に注力しています」とMicrosoftは述べています。
「この脅威アクターはBlackCat、Quantum Locker、Zeppelinなど様々なランサムウェアペイロードを使用してきましたが、最近では主にRhysidaランサムウェアを展開しています。」
少なくとも2021年6月以降活動しているVanilla Tempestは、教育、医療、IT、製造業界の組織を頻繁に攻撃しています。Vice Societyとして活動していた際は、Hello Kitty/Five HandsやZeppelinランサムウェアなど、複数のランサムウェアを使用していたことで知られています。
3年前の2022年9月、FBIとCISAは共同勧告を発表し、Vice Societyが米国の教育分野を不均衡に標的としていると警告しました。これは、同サイバー犯罪グループが米国で2番目に大きい学区であるロサンゼルス統一学区(LAUSD)を侵害した後のことです。
