Fox Tempest missbraucht Microsoft-Zertifikate zur Unterzeichnung von Malware

Missbrauch: Fox Tempest nutzte den Microsoft Artifact Signing-Dienst (ehemals Azure Trusted Signing), um kurzlebige Code-Signing-Zertifikate mit einer Gültigkeitsdauer zu erhalten.

Diese Zertifikate ermöglichten es den Angreifern, Malware-Binaries so zu signieren, dass sie als vertrauenswürdige Anwendungen erschienen, darunter gefälschte Versionen beliebter Software wie Microsoft Teams, AnyDesk, PuTTY und Webex.

Um diese Zertifikate zu erhalten, nutzte der Bedrohungsakteur wahrscheinlich gestohlene oder synthetische Identitäten aus den Vereinigten Staaten und Kanada, um die Identitätsprüfungen Operation wurde über eine mittlerweile nicht mehr existierende Plattform, signspace[.]cloud, ermöglicht, die eine Benutzeroberfläche bereitstellte, über die Kunden bösartige Dateien hochladen und digital signierte Binärdateien erhalten konnten.

Sicherheitslage und Risiko

Das Microsoft Threat Intelligence-Team verfolgt Fox Tempest seit September 2025 und identifiziert es als einen Schlüsselspieler innerhalb des Ransomware-Ökosystems, nicht als direkten Angreifer. Die Gruppe erstellte Hunderte, um ihre Aktivitäten zu unterstützen, und emittierte Tausende ßen Maßstab.

Anfang 2026 entwickelte Fox Tempest seine Infrastruktur weiter, indem es vorab konfigurierte virtuelle Maschinen (VMs) ermöglichten Kunden das direkte Hochladen, in denen automatisierte Skripte und Konfigurationsdateien (z.

B. metadata.json und PowerShell-Skripte) zur effizienten Signierung Wandel verbesserte die Betriebssicherheit und vereinfachte den Signierungsprozess. Die MSaaS-Plattform mehreren hochprofiligen Bedrohungsakteuren und Ransomware-Familien in Verbindung gebracht.

Sicherheitslage und Risiko

Gruppen wie Vanilla Tempest, Storm-0501, Storm-2561 und Storm-0249 nutzten in realen Eindringungen. Zu den damit verbundenen Malware-Stämmen gehören die Rhysida-Ransomware, Lumma Stealer, der Vidar-Infostealer sowie der Oyster (Broomstick)-Backdoor.

Eine beobachtete Angriffs-Kette umfasste trojanisierte Microsoft Teams-Installationsprogramme, die über Malvertising verbreitet wurden.

Opfer, die den gefälschten Installer herunterluden, ausführten ein signiertes Binärprogramm, das den Oyster-Backdoor bereitstellte, wodurch Persistenz, Kommunikation mit der Command-and-Control-Infrastruktur (C2) und schließlich die Bereitstellung öglicht wurden.

Sicherheitslage und Risiko

Die Kryptowährungsanalyse zeigt, dass Fox Tempest eng mit Ransomware-Verbänden hinter Familien wie Qilin, Akira und INC verbunden ist, wobei die Einnahmen mehrere Millionen Dollar erreichen. Fox Tempest fungierte als kommerzieller Dienst und verlangte 5.000 und 9.000 US-Dollar für Malware-Signierungsdienste.

Der Zugang erfolgte über Telegram-Kanäle und Online-Formulare, wobei zahlungskräftigere Kunden Priorität erhielten. Der Dienst senkte die Einstiegshürde für weniger erfahrene Bedrohungsakteure, indem er auf Abruf vertrauenswürdige Code-Signierungsfunktionen bereitstellte.

Indikatoren für Kompromittierungen (IOCs) Zu Fox Tempest-Aktivitäten gehörende Indikatoren für Kompromittierungen (IOCs) umfassen die Domain signspace[.]cloud.

Die Ermittler haben zudem folgende SHA-1-Zertifikatsfingerprinten identifiziert: dc0acb01e3086ea8a9cb144a5f97810d291020ce 7e6d9dac619c04ae1b3c8c0906123e752ed66d63 Darüber hinaus wurden den folgenden SHA-256-Dateihashes im Zusammenhang mit der Kampagne zugeordnet: f0668ce925f36ff7f3359b0ea47e3fa243af13cd6ad9661dfccc9ff79fb4f1cc 11af4566539ad3224e968194c7a9ad7b596460d8f6e423fc62d1ea5fc0724326 Empfehlungen zur Eindämmung und Verteidigung Microsoft hat in einem Bericht, der mit