Tehnološki gigant pripisao napade grupi Vanilla Tempest, poznatoj i kao Vice Spider i Vice Society.
Microsoft je u srijedu saopštio da je prekinuo kampanju grupe Vanilla Tempest čiji je cilj bio da se implementira ransomware Rhysida.
Vanilla Tempest, poznata i pod imenima Vice Spider i Vice Society, aktivna je najmanje od 2021. godine, uglavnom poznata po ransomware napadima na obrazovne i zdravstvene institucije.
Grupa Vice Society imala je svoj sajt za objavu ukradenih podataka sve do 2023. godine, kada je nestala otprilike u vrijeme kada se pojavio ozloglašeni ransomware Rhysida. Ova hakerska grupa bila je poznata po korišćenju različitih fajl-enkriptora u napadima, uključujući BlackCat, Quantum Locker i Zeppelin, ali je u posljednje vrijeme najviše koristila Rhysida ransomware.
Microsoft je naveo da je početkom oktobra prekinuo kampanju Vanilla Tempesta opozivom više od 200 sertifikata koje su sajber kriminalci koristili za potpisivanje svog malvera.
Prema podacima kompanije, hakeri su potpisivali lažne instalacione fajlove za Microsoft Teams koji su zapravo instalirali backdoor pod nazivom Oyster, omogućavajući im naknadno pokretanje Rhysida ransomwarea.
Lažni Teams instalacioni fajlovi distribuirani su putem sajtova sa domenima poput „teams-download.buzz“ i „teams-install.run“. Žrtve su najvjerovatnije dovedene na te stranice tehnikom poznatom kao SEO poisoning (trovanje optimizacije pretrage).
Kada bi korisnici pokrenuli lažne instalacije, aktivirao bi se loader koji bi preuzeo potpisanu verziju Oyster backdoora, koji Vanilla Tempest koristi najmanje od juna 2025. godine. Sajber kriminalci su počeli da potpisuju ovaj backdoor početkom septembra.
„Da bi lažno potpisali instalacione fajlove i alate koji se koriste nakon kompromitovanja, Vanilla Tempest je koristio uslugu Trusted Signing, kao i SSL[.]com, DigiCert i GlobalSign servise za potpisivanje koda“, saopštio je Microsoft.
Ove mjere kompanije Microsoft čine malver koji distribuira Vanilla Tempest lakšim za detekciju i blokiranje, a neposredni efekat na njihovu operaciju mogao bi biti značajan. Ipak, očekuje se da će hakeri ponovo pribaviti nove sertifikate i blago izmijeniti svoje taktike.
Izvor: SecurityWeek