Microsoft сообщила, что отозвала более 200 цифровых сертификатов, которые использовались известной хакерской группой Vanilla Tempest.
Это действие эффективно нарушило продолжающуюся кампанию, в ходе которой атакующие распространяли установочные файлы Microsoft Teams, чтобы проникнуть в корпоративные сети и развернуть программное обеспечение-вымогатель.
Операция, раскрытая в конце сентября, подчеркивает развитие тактики операторов программ-вымогателей, которые используют легитимно выглядящее ПО для обхода средств защиты.
Vanilla Tempest, также отслеживаемая кибербезопасностными компаниями как VICE SPIDER и Vice Society. Эта финансово ориентированная группа специализируется на эксфильтрации данных для вымогательства, часто сочетая кражу данных с атаками шифрования для максимизации выплат.
За последние годы группа использовала различные штаммы программ-вымогателей, включая BlackCat, Quantum Locker и Zeppelin. Однако в последние месяцы их оружием выбора стал вирус Rhysida, нацеленный на такие сектора, как здравоохранение, образование и производство для проведения атак.
Поддельные загрузки Teams через поисковые системы
Последняя кампания нацелена на пользователей, которые искали легитимные обновления для Microsoft Teams. Атакующие размещали поддельные файлы MSTeamsSetup.exe на обманчивых доменах, таких как teams-download[.]buzz, teams-install[.]run и teams-download[.]top.
Эти сайты, вероятно, получили популярность благодаря SEO-поисковому отравлению, когда манипулированные поисковые результаты направляют жертв к вредоносным загрузкам вместо официальных ресурсов Microsoft.
После выполнения эти поддельные установщики запускали многослойную нагрузку. Начальная загрузочная программа прокладывала путь для задней двери Oyster, универсального инструмента вредоносного ПО, который Vanilla Tempest начала использовать в своих операциях еще в июне 2025 года.
К началу сентября группа усилила свою скрытность, подделывая подписи этих задних дверей и загрузчиков с помощью украденных или неправомерно использованных сертификатов от таких авторитетных поставщиков, как Trusted Signing, SSL.com, DigiCert и GlobalSign.
Этот процесс подписания придавал файлам вид подлинности, обманывая антивирусное ПО и пользователей. Далее цепочка инфекции приводила к развертыванию вируса Rhysida, который блокировал файлы и требовал выкуп, одновременно эксфильтруя конфиденциальные данные для получения рычагов давления жертву.
Ответ Microsoft: помимо отзыва сертификатов, компания усилила свою защиту с помощью Microsoft Defender Antivirus, который теперь идентифицирует и блокирует поддельные установочные файлы, бэкдор Oyster и варианты вируса Rhysida.
Для корпоративных пользователей Microsoft Defender for Endpoint предлагает поведенческую детекцию, настроенную на тактику, техники и процедуры (TTPs) Vanilla Tempest, включая аномальную сетевую активность и эскалацию привилегий.
Этот инцидент подчеркивает риски атак типа supply chain в повседневных обновлениях программного обеспечения. Поскольку удаленные инструменты, такие как Teams, остаются важными, атакующие продолжают эксплуатировать доверие к знакомым брендам.
Проактивный отзыв сертификатов Microsoft предотвратил дальнейшее испрользование скомпрометированных сертификатов, но эксперты предупреждают, что подобные тактики могут возобновиться с новыми подписывающими органами.
- Источник: https://cybersecuritynews.com/vanilla-tempest-fake-teams-file/
Это действие эффективно нарушило продолжающуюся кампанию, в ходе которой атакующие распространяли установочные файлы Microsoft Teams, чтобы проникнуть в корпоративные сети и развернуть программное обеспечение-вымогатель.
Операция, раскрытая в конце сентября, подчеркивает развитие тактики операторов программ-вымогателей, которые используют легитимно выглядящее ПО для обхода средств защиты.
Vanilla Tempest, также отслеживаемая кибербезопасностными компаниями как VICE SPIDER и Vice Society. Эта финансово ориентированная группа специализируется на эксфильтрации данных для вымогательства, часто сочетая кражу данных с атаками шифрования для максимизации выплат.
За последние годы группа использовала различные штаммы программ-вымогателей, включая BlackCat, Quantum Locker и Zeppelin. Однако в последние месяцы их оружием выбора стал вирус Rhysida, нацеленный на такие сектора, как здравоохранение, образование и производство для проведения атак.
Поддельные загрузки Teams через поисковые системы
Последняя кампания нацелена на пользователей, которые искали легитимные обновления для Microsoft Teams. Атакующие размещали поддельные файлы MSTeamsSetup.exe на обманчивых доменах, таких как teams-download[.]buzz, teams-install[.]run и teams-download[.]top.
Эти сайты, вероятно, получили популярность благодаря SEO-поисковому отравлению, когда манипулированные поисковые результаты направляют жертв к вредоносным загрузкам вместо официальных ресурсов Microsoft.
После выполнения эти поддельные установщики запускали многослойную нагрузку. Начальная загрузочная программа прокладывала путь для задней двери Oyster, универсального инструмента вредоносного ПО, который Vanilla Tempest начала использовать в своих операциях еще в июне 2025 года.
К началу сентября группа усилила свою скрытность, подделывая подписи этих задних дверей и загрузчиков с помощью украденных или неправомерно использованных сертификатов от таких авторитетных поставщиков, как Trusted Signing, SSL.com, DigiCert и GlobalSign.
Этот процесс подписания придавал файлам вид подлинности, обманывая антивирусное ПО и пользователей. Далее цепочка инфекции приводила к развертыванию вируса Rhysida, который блокировал файлы и требовал выкуп, одновременно эксфильтруя конфиденциальные данные для получения рычагов давления жертву.
Ответ Microsoft: помимо отзыва сертификатов, компания усилила свою защиту с помощью Microsoft Defender Antivirus, который теперь идентифицирует и блокирует поддельные установочные файлы, бэкдор Oyster и варианты вируса Rhysida.
Для корпоративных пользователей Microsoft Defender for Endpoint предлагает поведенческую детекцию, настроенную на тактику, техники и процедуры (TTPs) Vanilla Tempest, включая аномальную сетевую активность и эскалацию привилегий.
Этот инцидент подчеркивает риски атак типа supply chain в повседневных обновлениях программного обеспечения. Поскольку удаленные инструменты, такие как Teams, остаются важными, атакующие продолжают эксплуатировать доверие к знакомым брендам.
Проактивный отзыв сертификатов Microsoft предотвратил дальнейшее испрользование скомпрометированных сертификатов, но эксперты предупреждают, что подобные тактики могут возобновиться с новыми подписывающими органами.
- Источник: https://cybersecuritynews.com/vanilla-tempest-fake-teams-file/