Fox Tempest malware hitelesítési szolgáltatás
A Microsoft szerint a Fox Tempest csoport malware-signing-as-a-service platformot működtetett, amely más támadók számára biztosított digitális aláírással ellátott malware-eket. A szolgáltatás a Microsoft Artifact Signing infrastruktúráját használta visszaélésszerűen rövid élettartamú, legitimnek tűnő kódszignáló tanúsítványok előállítására. Ezekkel a támadók ransomware-t, infostealereket és backdoorokat tudtak hiteles szoftvernek álcázni, így könnyebben megkerülhették az EDR- és antivírus-védelmeket.
A Fox Tempest infrastruktúrája signspace[.]cloud néven működött, és gyakorlatilag bérszolgáltatásként kínálta a malware-ek aláírását más bűnözői csoportok számára. A Microsoft szerint a szolgáltatást többek között Rhysida ransomware-operátorok, valamint Oyster, Lumma Stealer és Vidar malware-ek terjesztésére is használták. Az aláírt payloadok gyakran Microsoft Teams, AnyDesk vagy Cisco Webex telepítőknek álcázták magukat.
A vállalat szerint a támadók különösen rövid, 72 órás tanúsítványokat használtak, ami csökkentette a detekciós időablakot és nehezítette a visszavonási folyamatokat. A szolgáltatás ára 5–9 ezer dollár között mozgott, a gyorsaságtól és az infrastruktúra típusától függően. A Microsoft szerint a modell azért volt veszélyes, mert iparosította a trusted malware terjesztést, technikailag kevésbé fejlett bűnözők is legitimnek látszó malware-eket használhattak.
A Microsoft jogi és technikai művelettel lépett fel a hálózat ellen, lefoglalták a kapcsolódó domaineket, több száz virtuális gépet lekapcsoltak, és több mint ezer kompromittált vagy csalárd tanúsítványt vontak vissza. A vállalat szerint azonban a Fox Tempest operátorai már új infrastruktúrákra próbálnak átállni, ami jól mutatja, hogy a digitális aláírásokkal való visszaélés továbbra is az egyik legfontosabb modern malware-terjesztési technika marad.
