微軟揭露駭客組織 Vanilla Tempest 利用憑證簽署惡意程式,在勒索軟體攻擊中偽裝成合法軟體,並因此撤銷了超過 200 張數位憑證(Digital Certificate)。
微軟威脅情報團隊指出,
駭客利用這些憑證簽署假冒的 Teams 安裝檔案,藉此散布 Oyster 後門程式,最終部署 Rhysida 勒索軟體。微軟在 9 月底偵測到攻擊活動後,已於 10 月初採取干預措施。
假冒Teams安裝程式散布惡意軟體
Vanilla Tempest(又稱 Storm-0832、Vice Society 或 Vice Spider)是一個以金錢為目標的威脅組織,自 2022 年 7 月開始活躍。該組織散布過多種勒索軟體,包括 BlackCat、Quantum Locker、Zeppelin 和 Rhysida 等變種。
在這次攻擊中,Vanilla Tempest 使用假冒的 MSTeamsSetup.exe 檔案,並將其託管在模仿 Microsoft Teams 的惡意網域上,例如 teams-download[.]buzz、teams-install[.]run 或 teams-download[.]top。
微軟表示,使用者很可能是透過搜尋引擎最佳化毒化(SEO Poisoning)手法,被導向這些惡意下載網站。
Oyster 後門程式(又稱 Broomstick 或 CleanUpLoader)經常透過偽裝成熱門軟體(如 Google Chrome 和 Microsoft Teams)的木馬化安裝程式散布。使用者在 Google 或 Bing 搜尋這些程式時,可能因搜尋結果遭到操縱而連到惡意網站。
濫用多家憑證授權機構服務
為了簽署這些假冒安裝程式和其他入侵後工具,Vanilla Tempest 使用了微軟的 Trusted Signing 服務,以及 SSL[.]com、DigiCert 和 GlobalSign 等憑證授權機構(Certificate Authority)的程式碼簽署服務。
微軟威脅分析師表示,Vanilla Tempest 早在 2025 年 6 月就開始將 Oyster 整合到攻擊中,但直到 2025 年 9 月初才開始以詐欺方式簽署這些後門程式。透過使用合法的程式碼簽署憑證,攻擊者能夠繞過許多資安防護機制,因為簽署過的檔案通常會被視為可信任的軟體。
這種攻擊手法凸顯駭客持續濫用 SEO 毒化和惡意廣告,在知名品牌掩護下散布後門程式。攻擊者利用使用者對搜尋結果和知名品牌的信任,取得系統初始存取權限。
微軟強化防護措施
微軟已採取多項措施因應此威脅:
Microsoft Defender 防毒軟體現可偵測假冒的 MS Teams 安裝檔案、Oyster 後門程式及 Rhysida 勒索軟體;
Microsoft Defender for Endpoint 則能偵測 Vanilla Tempest 的攻擊手法(TTPs),協助組織減輕威脅並調查攻擊事件。
為降低類似攻擊的風險,資安專家建議採取以下措施:
- 僅從經過驗證的官方來源下載軟體,避免透過搜尋引擎廣告連結下載
- 提高對搜尋結果的警覺性,特別留意排名靠前的贊助連結
- 確認下載網站的網域名稱是否為官方網域
- 部署端點偵測與回應(EDR)解決方案,監控可疑的檔案簽署活動
- 定期更新防毒軟體和資安防護工具
- 對員工進行資安意識訓練,教導辨識假冒軟體和釣魚網站
本文轉載自 HelpNetSecurity、TheHackerNews。