Microsoft пресекла работу крупнейшего сервиса подписи вредоносного кода Fox Tempest, который помогал вымогателям скрывать вредоносные программы в Windows. Злоумышленники использовали украденные данные для получения более 1000 сертификатов. — csoonline.com
Корпорация Microsoft пресекла деятельность инфраструктуры, лежавшей в основе крупнейшего сервиса подписи вредоносного кода, который использовался группами, занимающимися программами-вымогателями, и другими киберпреступниками для того, чтобы вредоносные программы было сложнее обнаружить в среде Windows. Злоумышленники, стоявшие за этим сервисом, использовали украденные удостоверения личности и выдавали себя за законные организации, чтобы получить более 1000 сертификатов подписи кода.
Microsoft изъяла веб-сайт группы, signspace[.]cloud, отозвала злоупотребленные сертификаты, полученные через ее сервис подписи артефактов (Artifact Signing), и отключила сотни виртуальных машин, развернутых злоумышленниками в Azure. Киберпреступники платили от 5000 до 9000 долларов за использование подписи вредоносного ПО как услуги (MSaaS), что подчеркивает ее эффективность.
Исследователи Microsoft установили прямые связи между группой, управляющей этой операцией, которую они назвали Fox Tempest, и аффилированными лицами, работавшими с бандами, такими как INC, Qilin, Akira и Rhysida.
Одна из групп программ-вымогателей, отслеживаемая как Vanilla Tempest, использовала сервис подписи кода для создания вредоносных установщиков для распространенного корпоративного программного обеспечения, такого как AnyDesk, Microsoft Teams, Putty и Webex. Эти поддельные, но имеющие цифровую подпись установщики распространялись посредством отравления SEO и вредоносной рекламы и использовались для развертывания различных бэкдоров, программ-похитителей данных и программ-вымогателей.
«Этот случай указывает на то, как меняется киберпреступность», — заявил Стивен Масада, помощник генерального юрисконсульта подразделения по борьбе с цифровыми преступлениями Microsoft, в записи в блоге. «То, что раньше требовало от одной группы проведения атаки от начала до конца, теперь разбито на модульную экосистему, где услуги покупаются и продаются и взаимозаменяемо работают друг с другом. Некоторые услуги недороги и широко используются. Другие, как Fox Tempest, являются высокоспециализированными и дорогими, поскольку они устраняют трение или обходят препятствия, из-за которых атаки терпят неудачу, что делает их более надежными и трудными для обнаружения».
Подпись кода в масштабе
Ценность цифровой подписи исполняемых файлов заключается в том, что Microsoft Defender SmartScreen будет отображать менее строгие предупреждения для загруженных файлов или не будет отображать предупреждений вовсе, если файл со временем накопил чистую репутацию. Для атак, основанных на том, что пользователи запускают вредоносные установщики, маскирующиеся под популярные приложения, отсутствие пугающих предупреждений является большим преимуществом.
Чтобы цифровая подпись была действительной, она должна быть создана с помощью сертификата подписи кода, выданного одним из доверенных центров сертификации в хранилище доверенных корневых центров сертификации Windows (Windows Trust Store). Microsoft предлагает такую услугу в Azure под названием Artifact Signing, через которую разработчики могут получать краткосрочные сертификаты для своих приложений, но этот процесс требует верификации личности.
Fox Tempest, вероятно, использовала украденные удостоверения личности для прохождения процесса верификации и создала сотни учетных записей и клиентов Azure для использования в своей операции. Затем группа построила свой сервис на основе этих подписок и предоставляла услуги подписи кода экосистеме киберпреступности как минимум с мая 2025 года.
Недавно группа начала предоставлять предварительно настроенные виртуальные машины, размещенные у VPS-провайдера, которые позволяли злоумышленникам напрямую загружать вредоносные файлы и получать взамен подписанные бинарные файлы.
«Незаконные сертификаты подписи кода продаются и распространяются уже более десяти лет», — сказал Масада. «Это включает их использование субъектами, действующими от имени государств, для нанесения ударов по организациям критической инфраструктуры в Европе. Изменилось то, как эта деятельность рекламируется, упаковывается и продается как услуга, а также масштаб, в котором она теперь используется в кампаниях программ-вымогателей. Вместо того чтобы покупать сертификаты по одному, преступники загружают свое вредоносное ПО на сервис, который подписывает его за них».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lucian Constantin