Microsoft, şirketin Artifact Signing hizmetini kullanarak sahte kod imzalama sertifikaları oluşturan bir kötü amaçlı yazılım imzalama hizmetini (MSaaS) çökerttiğini duyurdu. Microsoft Tehdit İstihbaratı’nın bugün yayınladığı rapora göre, Fox Tempest sertifika dolandırıcılığı yapan tehdit aktörü, Microsoft Artifact Signing platformunu kullanarak kısa ömürlü sertifikalar oluşturdu. Bu sertifikalar sayesinde kötü amaçlı yazılımlar, hem kullanıcılar hem de işletim sistemleri tarafından meşru yazılım olarak güvenilir hale getiriliyordu.

Sahte Sertifikalarla Binlerce Kötü Amaçlı Yazılım İmzalandı

Finansal motivasyonlu tehdit aktörü, operasyonu kapsamında 1.000’den fazla sertifika ve yüzlerce Azure kiracısı ile aboneliği oluşturdu. Artifact Signing kötüye kullanımı sayesinde Microsoft tarafından Fox Tempest’e atfedilen 1.000’den fazla kod imzalama sertifikası iptal edilirken şirket, signspace[.]cloud alan adına da el koydu. Kod imzalama hizmeti ihlali yaşanan bu platform, siber suçlu müşterilerin sahte yollarla elde edilen sertifikaları kullanarak kötü amaçlı dosyaları imzalamasına olanak tanıyordu.

Microsoft, Oyster, Lumma Stealer, Vidar kötü amaçlı yazılımlarının yanı sıra Rhysida fidye yazılımı imzalama faaliyetlerini de içeren çok sayıda kampanyayı bu hizmetle ilişkilendirdi. Vanilla Tempest (INC Ransomware üyeleri), Storm-0501, Storm-2561 ve Storm-0249 gibi tehdit aktörlerinin de saldırılarında imzalanmış kötü amaçlı yazılımları kullandığı belirlendi.

Microsoft Teams ve AnyDesk Taklit Edilerek Saldırılar Düzenlendi

İmzalanmış kötü amaçlı yazılım dosyaları, tehdit aktörleri tarafından Microsoft Teams, AnyDesk, PuTTY ve Webex gibi meşru yazılımları taklit etmek için kullanıldı. signspace.cloud alan adı ele geçirme operasyonu sayesinde bu dosyalar, indirmelere meşruiyet kazandırmak amacıyla tercih edildi. Microsoft’un şikayet belgesine göre, şüphelenmeyen kurbanlar sahte Microsoft Teams kurulum dosyalarını çalıştırdığında, bu dosyalar kötü amaçlı bir yükleyici devreye sokuyordu.

Ardından yükleyici, sahte şekilde imzalanmış Oyster kötü amaçlı yazılımını kuruyor ve son aşamada Rhysida fidye yazılımını dağıtıyordu. Oyster kötü amaçlı yazılımı, Microsoft’un Artifact Signing hizmetinden gelen bir sertifika ile imzalandığı için Windows işletim sistemi, başlangıçta bu yazılımı meşru olarak tanıdı. Normal şartlarda ise güvenlik kontrolleri tarafından şüpheli olarak işaretlenecek veya tamamen engellenecekti.

👉️ İlginizi Çekebilir: VMware Arm İşlemciler İçin ESX Hypervisor Teknoloji Önizlemesini Sessizce Duyurdu

Operasyon Milyonlarca Dolar Kazanç Sağladı

Microsoft, operatörlerin Artifact Signing kimlik doğrulama gereksinimlerini geçmek ve imzalama kimlik bilgilerini elde etmek için büyük olasılıkla Amerika Birleşik Devletleri ve Kanada’dan çalınan kimlikleri kullandığına inanıyor. Sertifikaları alırken tehdit aktörlerinin, tespit edilme riskini azaltmak için yalnızca 72 saat geçerli olan kısa ömürlü sertifikalar kullandığı bildirildi.

Microsoft, Fox Tempest’in operasyonunu bu yılın başlarında, müşterilerine Cloudzy altyapısı üzerinde barındırılan önceden yapılandırılmış sanal makineler sağlayarak nasıl geliştirdiğini de detaylandırdı. Müşteriler, VM ortamlarına kötü amaçlı yazılım yükledi ve Fox Tempest tarafından kontrol edilen sertifikaları kullanarak imzalanmış ikili dosyaları aldı. Kötü amaçlı yazılım imzalama platformu, “EV Certs for Sale by SamCodeSign” adlı bir Telegram kanalında tanıtıldı ve platforma erişim için fiyatlar bitcoin cinsinden 5.000 ila 9.000 dolar arasında değişiyordu. Microsoft, operasyonun milyonlarca dolar kazanç sağladığını ve altyapıyı, müşteri ilişkilerini ve finansal işlemleri yönetebilecek donanıma sahip, iyi kaynaklara sahip bir grup olduğunu belirtiyor.