Vanilla Tempest kampány
A Microsoft megzavart egy Vanilla Tempest – Vice Spider / Vice Society – kampányt azzal, hogy több mint 200 olyan tanúsítványt vont vissza, amelyeket a fenyegető csalárd módon írt alá és használt hamis Teams telepítőfájlokban az Oyster backdoor ajtó kézbesítéséhez és végül a Rhysida zsarolóvírus telepítéséhez. A Microsoft beavatkozása során több mint 200 tanúsítványt vontak vissza annak érdekében, hogy meghiúsítsanak egy olyan kampányt, amelynek célja a Rhysida zsarolóprogram telepítése volt, a cég a támadást műveleteihez kötötte.
A támadók hamis Microsoft Teams telepítőfájlokat készítettek, amelyeket SEO-mérgezéssel juttattak áldozatokhoz; ezek a hamis telepítők egy Oyster nevű backdoort töltöttek le, amelyet a szereplők június óta használnak, és amelyen keresztül később a Rhysida titkosító modul települhetett.
Microsoft szerint a csoport az úgynevezett Trusted Signing szolgáltatást és olyan ismert tanúsítókat is igénybe vette, mint az SSL[.]com, DigiCert és GlobalSign, hogy a kártékony binárisokat látszólag jogosan aláírva terjessze — ezért a tanúsítványok visszavonása közvetlenül csökkenti a rosszindulatú telepítők elfogadtathatóságát és megkönnyíti azok blokkolását.
Bár a visszavonások azonnali hatással lehetnek a kampányra és megnehezítik a kártevő észrevétlen telepítését, a rövid távú siker nem jelent végleges győzelmet, a fenyegető szereplők valószínűleg új tanúsítványokat és enyhe taktikai módosításokat fognak alkalmazni, ezért a védelemnek több rétegen egyszerre kell dolgoznia.
