Microsoft hôm thứ Năm đã tiết lộ rằng họ đã thu hồi hơn 200 chứng chỉ được sử dụng bởi một tác nhân đe dọa mà họ theo dõi dưới tên Vanilla Tempest để ký giả mạo các tệp nhị phân độc hại trong các cuộc tấn công ransomware.
Nhóm Microsoft Threat Intelligence cho biết trong một bài đăng trên X rằng các chứng chỉ này "được sử dụng trong các tệp cài đặt Teams giả mạo để phát tán Oyster backdoor và cuối cùng là triển khai Rhysida ransomware."
Gã khổng lồ công nghệ này cho biết họ đã làm gián đoạn hoạt động này vào đầu tháng này sau khi nó được phát hiện vào cuối tháng 9 năm 2025. Ngoài việc thu hồi các chứng chỉ, các giải pháp bảo mật của họ cũng đã được cập nhật để gắn cờ các chữ ký liên quan đến các tệp cài đặt giả mạo, Oyster backdoor và Rhysida ransomware.
Vanilla Tempest (trước đây là Storm-0832) là tên gọi của một tác nhân đe dọa có động cơ tài chính, còn được gọi là Vice Society và Vice Spider, được cho là đã hoạt động từ ít nhất tháng 7 năm 2022, phát tán nhiều loại ransomware như BlackCat, Quantum Locker, Zeppelin và Rhysida trong những năm qua.
Mặt khác, Oyster (còn gọi là Broomstick và CleanUpLoader) là một backdoor thường được phân phối thông qua các trình cài đặt trojan hóa cho các phần mềm phổ biến như Google Chrome và Microsoft Teams bằng cách sử dụng các trang web giả mạo mà người dùng gặp phải khi tìm kiếm các chương trình trên Google và Bing.
Trong chiến dịch này, Vanilla Tempest đã sử dụng các tệp MSTeamsSetup.exe giả mạo được lưu trữ trên các tên miền độc hại bắt chước Microsoft Teams, ví dụ: teams-download[.]buzz, teams-install[.]run hoặc teams-download[.]top," Microsoft cho biết. "Người dùng có khả năng bị chuyển hướng đến các trang web tải xuống độc hại bằng cách sử dụng SEO poisoning.
Để ký các trình cài đặt này và các công cụ hậu xâm nhập khác, tác nhân đe dọa được cho là đã sử dụng Trusted Signing, cũng như các dịch vụ ký mã của SSL[.]com, DigiCert và GlobalSign code signing services.
Chi tiết về chiến dịch đã được tiết lộ lần đầu tiên bởi Blackpoint Cyber vào tháng trước, làm nổi bật cách người dùng tìm kiếm Teams trực tuyến đã bị chuyển hướng đến các trang tải xuống giả mạo, nơi họ được cung cấp một MSTeamsSetup.exe độc hại thay vì ứng dụng khách hợp pháp.
"Hoạt động này làm nổi bật sự lạm dụng liên tục của SEO poisoning và các quảng cáo độc hại để phát tán các backdoor thông thường dưới vỏ bọc phần mềm đáng tin cậy," công ty cho biết. "Các tác nhân đe dọa đang lợi dụng niềm tin của người dùng vào kết quả tìm kiếm và các thương hiệu nổi tiếng để giành quyền truy cập ban đầu."
Để giảm thiểu những rủi ro như vậy, nên tải phần mềm chỉ từ các nguồn đã được xác minh và tránh nhấp vào các liên kết đáng ngờ được cung cấp qua quảng cáo công cụ tìm kiếm.
