Microsoft обяви, че е прекъснала дейността на мащабна Malware-signing-as-a-Service (MSaaS) операция, която е използвала облачната услуга Azure Artifact Signing за генериране на фалшиви code-signing сертификати, използвани от ransomware групи и оператори на инфостийлъри.
Според разследването на Microsoft Threat Intelligence, заплахата е проследявана под името Fox Tempest. Групата е злоупотребявала с платформата Azure Artifact Signing, известна преди като Trusted Signing, за да подписва зловреден софтуер така, че той да изглежда като легитимно приложение пред Windows и системите за сигурност.
Над 1000 сертификата и стотици Azure среди
По данни на Microsoft престъпната инфраструктура е включвала:
- над 1000 fraudulently signed сертификата;
- стотици Azure tenants и subscriptions;
- виртуални машини за подписване на malware;
- инфраструктура за автоматизирано обслужване на киберпрестъпници.
Компанията е иззела домейна signspace[.]cloud, използван за услугата, свалила е офлайн множество виртуални машини и е блокирала достъпа до инфраструктурата.
Паралелно с това Microsoft е завела дело в Окръжния съд на Южния район на Ню Йорк срещу операторите на схемата.
Как е работила схемата
Услугата е позволявала на клиенти – киберпрестъпници – да качват свои зловредни файлове, които след това са били подписвани с валидни сертификати, получени чрез компрометирани или фалшиви идентичности.
Microsoft смята, че операторите са използвали откраднати самоличности отСАЩ и Канада, за да преминават проверките за идентификация.
Особено внимание привлича фактът, че са използвани краткосрочни сертификати с валидност едва 72 часа, което значително намалява риска от откриване и блокиране.
Зловреден софтуер, подписван като легитимен
Подписаният malware е използван в кампании на известни ransomware и infostealer групи, включително:
- Lumma Stealer
- Vidar
- Oyster
- Rhysida
- Akira
- Qilin
- BlackByte
- INC Ransomware
Според Microsoft подписаните файлове са били маскирани като популярни приложения като:
- Microsoft Teams
- AnyDesk
- PuTTY
- Cisco Webex
Това е позволявало на malware файловете да изглеждат легитимни пред операционната система и крайните потребители.
От malware loader до ransomware атака
Microsoft описва конкретен сценарий, при който фалшив инсталатор на Microsoft Teams е използван за доставка на Oyster loader, който впоследствие е инсталирал ransomware на Rhysida.
Поради факта, че malware файлът е бил подписан чрез услугата на Microsoft, Windows първоначално го е разпознал като доверен софтуер.
Този случай показва колко опасна става злоупотребата с легитимни cloud услуги и валидни цифрови подписи. Все по-често атакуващите не разчитат на експлойти или очевиден malware, а използват доверени инфраструктури, легитимни сертификати и облачни платформи, за да заобикалят защитите.
Telegram, Bitcoin и „подписване като услуга“
Разследването разкрива, че платформата е била рекламирана чрез Telegram канал с името “EV Certs for Sale by SamCodeSign”.
Достъпът до услугата е струвал между 5000 и 9000 долара в Bitcoin, а според Microsoft операцията е генерирала милиони долари приходи.
По-късно Fox Tempest дори започва да предлага предварително конфигурирани виртуални машини чрез инфраструктура на Cloudzy, където клиентите могат директно да качват malware и да получават подписани бинарни файлове.
Нова фаза в злоупотребата с доверени услуги
Случаят е поредното доказателство за еволюцията на киберпрестъпността към модели „as-a-service“, при които дори сложни операции като code signing вече се предлагат като комерсиална услуга.
Това допълнително усложнява работата на защитните системи, тъй като signed malware често изглежда напълно легитимен за традиционните антивирусни и endpoint решения.
Именно затова организациите все по-често се нуждаят от поведенчески анализ, XDR платформи и MDR/MSSP услуги, които могат да откриват аномалии отвъд самия цифров подпис на файла.
