Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Microsoft го урна сервисот за потпишување малициозен софтвер што стои зад ransomware нападите

Објавено: 21.05.2026

Microsoft во вторник соопшти дека прекинала операција за „malware-signing-as-a-service“ (MSaaS) која го злоупотребувала системот Artifact Signing на компанијата за испорака на малициозен код и изведување ransomware и други напади, компромитирајќи илјадници машини и мрежи низ целиот свет.

Технолошкиот гигант ја припиша активноста на заканувачки актер наречен Fox Tempest, за кој рече дека нудел MSaaS шема што им овозможувала на сајбер-криминалците да го прикриваат малициозниот софтвер како легитимен софтвер. Актерот е активен од мај 2025 година. Акцијата за запленување е кодно именувана како OpFauxSign.

„За да ја прекинеме услугата, ја запленивме веб-страницата signspace[.]cloud на Fox Tempest, исклучивме стотици виртуелни машини што ја извршуваа операцијата и го блокиравме пристапот до страницата што го хостираше основниот код“, изјави Стивен Масада, помошник генерален правен советник во Digital Crimes Unit на Microsoft.

Microsoft истакна дека операцијата овозможувала распоредување на ransomware-от Rhysida од заканувачки актери како Vanilla Tempest, заедно со други семејства на малициозен софтвер како Oyster, Lumma Stealer и Vidar, што ја покажува клучната улога на Fox Tempest во сајбер-криминалниот екосистем.

Дополнително, откриени се врски помеѓу заканувачкиот актер и партнери поврзани со неколку познати ransomware варијанти, вклучувајќи ги INC, Qilin, BlackByte и Akira. Нападите од овие операции биле насочени кон здравствениот сектор, образованието, владините институции и финансиските услуги во САД, Франција, Индија и Кина.

Artifact Signing (поранешен Azure Trusted Signing) е целосно управувано решение на Microsoft за дигитално потпишување, кое им овозможува на програмерите лесно да градат и дистрибуираат апликации, додека гарантира дека софтверот е легитимен и не е изменет од неовластени лица.

Fox Tempest, наводно, го користел овој механизам за да генерира краткотрајни, лажни сертификати за потпишување код и да ги користи за испорака на доверлив, потпишан малициозен софтвер што може да ги заобиколи безбедносните контроли. Сертификатите биле валидни само 72 часа.

„За да се добијат легитимно потпишани сертификати преку Artifact Signing, барателот мора да помине детални процеси за проверка на идентитет во согласност со индустриските стандарди за проверливи акредитиви (VC), што укажува дека заканувачкиот актер најверојатно користел украдени идентитети од САД и Канада за да се претстави како легитимен ентитет и да ги добие потребните дигитални акредитиви за потпишување“, објасни Microsoft.

„Веб-страницата SignSpace беше изградена врз Artifact Signing и овозможуваше безбедно потпишување датотеки преку административен панел и корисничка страница, користејќи Azure претплати, сертификати и структурирана база на податоци за управување со корисници и датотеки.“

Услугата им овозможувала на сајбер-криминалците што плаќале да прикачуваат малициозни датотеки за потпишување со сертификати што Fox Tempest ги добивал на измамен начин. Ова им овозможувало на malware и ransomware програмите да се претставуваат како легитимен софтвер како AnyDesk, Microsoft Teams, PuTTY и Cisco Webex. Услугата чинела помеѓу 5.000 и 9.000 долари.

Почнувајќи од февруари 2026 година, заканувачкиот актер почнал да им обезбедува на клиентите претходно конфигурирани виртуелни машини (VMs) хостирани на Cloudzy, што им овозможувало директно да ги прикачуваат потребните артефакти во инфраструктурата контролирана од напаѓачите и да добиваат потпишани бинарни датотеки.

„Оваа еволуција на инфраструктурата го намали триењето за клиентите, ја подобри оперативната безбедност за Fox Tempest и дополнително ја поедностави испораката на малициозен, но доверлив и потпишан malware во голем обем“, соопшти Microsoft.

Заканувачки актери како Vanilla Tempest биле откриени како дистрибуираат бинарни датотеки потпишани преку оваа услуга преку легално купени реклами што ги пренасочувале корисниците кои барале Microsoft Teams кон лажни страници за преземање, отворајќи пат за распоредување на Oyster (познат и како Broomstick или CleanUpLoader), модуларен имплант и loader одговорен за испорака на Rhysida ransomware.

Microsoft изјави дека Fox Tempest постојано ја приспособувал својата тактика додека компанијата воведувала контрамерки, како оневозможување на лажни сметки и поништување на незаконски добиените сертификати, при што заканувачкиот актер дури се обидел да премине на друга услуга за потпишување код. Судските документи откриваат дека Microsoft работел со „кооперативен извор“ за да ја купи и тестира услугата помеѓу февруари и март 2026 година.

„Кога напаѓачите можат да направат малициозниот софтвер да изгледа легитимно, тоа го поткопува начинот на кој луѓето и системите одлучуваат што е безбедно“, соопшти компанијата од Редмонд. „Прекинувањето на таа способност е клучно за зголемување на цената на сајбер-криминалот.“

Извори:

  • The Hacker News – Microsoft Takes Down Malware-Signing Service Behind Ransomware Attacks The Hacker News