読了時間:3分
出典:Andriy Popov(Alamyストックフォト経由)
Microsoftは、偽のTeamsバイナリを使い、Microsoft自身のサービスを含むデジタル証明書で署名されたRhysidaランサムウェアキャンペーンを阻止しました。
Microsoft Threat Intelligenceは水曜日、X(旧Twitter)で、AzureのTrusted Signingサービスによって発行された200以上のコード署名証明書を失効させたと発表しました。これらの証明書は時折、脅威アクターによって悪用され、マルウェアを正規で信頼できるソフトウェアであるかのように見せかけるために利用されます。
投稿によると、MicrosoftがVanilla Tempestと呼ぶサイバー犯罪グループは、”Oyster”として知られるバックドアを仕込むために偽のTeamsファイルを作成し、最終的にRhysidaランサムウェアを被害者のネットワークに配信できるようにしました。
Vanilla Tempest(Vice Societyとしても知られる)は、医療機関や公立学校を標的にしてきた実績がありますが、今回のキャンペーンでどの組織を狙っていたかは不明です。
「このキャンペーンでは、Vanilla Tempestは、teams-download[.]buzz、teams-install[.]run、teams-download[.]topなど、Microsoft Teamsを模倣した悪意あるドメインにホストされた偽のMSTeamsSetup.exeファイルを使用しました」とMicrosoft Threat IntelligenceはXの投稿で述べています。「ユーザーは検索エンジン最適化(SEO)ポイズニングを利用して悪意あるダウンロードサイトに誘導される可能性があります。」
攻撃者がデジタル証明書でマルウェアに署名
クリックすると、偽のTeamsファイルは広く使われている統合コミュニケーションアプリケーションの代わりにマルウェアダウンローダーを実行しました。そのダウンローダーはデジタル署名されたOysterバックドアをインストールし、MicrosoftによればVanilla Tempestは6月以降の攻撃でこれを使用してきました。
Microsoftによると、Vanilla Tempestは過去にBlackCatなど他のランサムウェアも展開してきましたが、最近は主にRhysidaに移行しています。AzureのTrusted Signingサービスの利用に加え、攻撃者はSSL.com、DigiCert、GlobalSignからもコード署名証明書を取得し、偽のインストーラーや悪意あるツールの認証に利用していたとMicrosoftは投稿で述べています。
有効なコード署名証明書で悪意あるファイルに署名することは、脅威アクターにとって大きな優位性を企業のセキュリティチームに対してもたらします。こうした証明書はアプリケーションの信頼性を保証するために使われ、多くの検出システムは有効な署名がないバイナリを警告またはブロックします。そのため、問題となった証明書によって偽のTeamsバイナリは本物のように見えました。
Vanilla TempestがどのようにTrusted Signingから証明書を取得したのかは不明です。MicrosoftはTrusted Signingを、パートナー開発者がアプリケーションを展開するための完全管理型エンドツーエンドサービスと説明しています。クイックスタートガイドによると、Trusted Signingの利用者はMicrosoft EntraテナントIDとAzureサブスクリプションが必要です。
このサービスは現在、米国およびヨーロッパのAzureリージョンで利用可能ですが、2023年10月7日に最終更新されたガイドには「現時点でTrusted Signingは、米国およびカナダに拠点を置き、3年以上の実績が確認できる組織およびDBAに提供されています」との注意書きがあります。
Dark Readingはコメントを求めてMicrosoftに連絡しましたが、同社の広報担当者はこれ以上付け加えることはないと述べました。
Microsoftは投稿で言及した他の認証局に悪意ある活動を報告していないようです。DigiCertの広報担当者はDark Readingに以下の声明を提供しました。
「DigiCertは、MicrosoftによるRhysidaランサムウェアキャンペーンに関する報告を認識しています。現時点で、この報告に関連するDigiCert発行証明書の失効を求められていません。証明書の不正使用の可能性は真剣に受け止めており、信頼できる情報や適切な関係者からの正式な要請を受け取った場合、直ちに調査し、必要に応じて証明書を失効させます。」
GlobalSignもCISOのArvid VermoteからDark Readingに同様の声明を提供しました。「GlobalSignは、発行するすべての証明書が正当かつ検証済み(第三者)の組織に発行されていることを保証しています」とVermote氏は述べました。「GlobalSignが証明書の侵害や不正使用の通知を受け取るか、検出した場合、24時間365日体制の専門チームが調査します。悪用、鍵の侵害、マルウェア署名が確認された場合、証明書は業界の規制や要件に従い速やかに失効されます。」
Dark ReadingはSSL.comにも連絡しましたが、記事執筆時点では回答を得られていません。
