マイクロソフト脅威インテリジェンスは、脅威アクターによって不正に署名され、偽のMS Teamsセットアップファイルでバックドアやマルウェアの配布に使われた200以上の証明書を失効させました。
このキャンペーンはマイクロソフトによって「Vanilla Tempest」と名付けられ、他では「Vice Spider」や「Vice Society」として追跡されています。9月下旬に特定されました。
この脅威アクターは金銭目的で活動しており、ランサムウェアの展開や恐喝のためのデータ流出に注力しています。
偽のTeamsセットアップファイルはOysterバックドアを配布し、最終的にはRhysidaランサムウェアを展開するために使用されました。
Rhysidaに加え、BlackCat、Quantum Locker、Zeppelinなどの他のランサムウェア亜種もこの脅威アクターによって使用されています。
このキャンペーンでは攻撃者がSEOポイズニングやマルバタイジングの手法を利用し、ユーザーを偽のMSTeamsSetup.exeファイルのダウンロードへ誘導し、Oysterバックドアを配布しました。
「Teams download」と検索した被害者は、偽のMS Teamsインストーラーをホスティングするなりすましウェブサイトに誘導されました。マイクロソフトTeamsを模倣した悪意のあるドメインには、teams-download[.]buzz、teams-install[.]run、teams-download[.]topなどが含まれていました。
マイクロソフトによると、Vanilla Tempestは2025年6月にはすでに攻撃にOysterを組み込んでいました。しかし、これらのバックドアへの不正署名は2025年9月初旬から始まりました。
偽インストーラーや侵害後ツールへの不正署名には、Vanilla TempestがTrusted SigningやSSL[.]com、DigiCert、GlobalSignのコード署名サービスを利用していることが確認されています。
この大手テクノロジー企業は、Microsoft Defender Antivirusを完全に有効化していればこの脅威をブロックできると述べています。検出に加え、Microsoft Defender for Endpointはこの攻撃を緩和・調査するための追加ガイダンスも提供しています。
Vanilla Tempestは少なくとも2021年から非常に活発に活動しています。このグループとRhysidaランサムウェアの関連性は、2023年に米国の医療分野を標的とした一連の事件を受けてセキュリティ研究者によって指摘されました。
2022年には、Vanilla Tempestによる一連のランサムウェアキャンペーンが、英国と米国の教育分野を標的に実施されました。
翻訳元: https://www.infosecurity-magazine.com/news/microsoft-revokes-200-fake/
