Microsoft, Vanilla Tempest olarak bilinen fidye yazılımı grubunun, Microsoft Teams’i taklit eden sahtekarlıkla imzalanmış yükleyicileri silahlandırmaya yönelik koordineli bir çaba gösterdiğini keşfettikten sonra Ekim ayında yüksek hacimli bir kampanyayı kesintiye uğrattığını söyledi.
Şirket, grubun kötü amaçlı ikili dosyaları meşru göstermek için kullandığı 200’den fazla kod imzalama sertifikasını iptal etti ve Defender ürünleri artık sahte yükleyicileri, Oyster arka kapısını ve aktörün kurbanlara şantaj yapmak için kullandığı Rhysida fidye yazılımını tespit ediyor.
Microsoft’un telemetrisi, aynı zamanda VICE SPIDER ve Vice Society olarak da takip edilen Vanilla Tempest kampanyasını ilk kez Eylül 2025’in sonlarında, güvenilir imzalama altyapısının aylarca kötüye kullanıldığını gördükten sonra işaretledi.
Müfettişler, saldırganların benzer alan adlarında sahte Teams yükleyicilerini barındırdığını gözlemledi (örneğin, ekiplerin indirmesi)[.]vızıltı, ekip kurulumu[.]koş ve takımlar indir[.]top – ve bu sayfaları şüphelenmeyen kullanıcılara göstermek için arama motoru zehirlemesini kullanmak. Sahte bir MSTeamsSetup.exe dosyasını çalıştırmak, sahtekarlıkla imzalanmış Oyster arka kapısını hazırlayan bir yükleyici sağladı; Oyster, veri toplamayı, yanal hareketi ve Rhysida fidye yazılımının son dağıtımını sağladı.
Güvenlik ekipleri, operasyonel zincirin güven altyapısına odaklanmasıyla dikkat çekici buldu. Microsoft’un bildirdiğine göre, aktörler imzaları, güvenliği ihlal edilmiş veya kötüye kullanılan imzalama hizmetleri ve üçüncü taraf sağlayıcıların bir karışımı yoluyla elde etti.
Kampanyada Güvenilir İmzalama ve SSL dahil meşru sertifika yetkilileri kullanıldı[.]com, DigiCert ve GlobalSign, Eylül ayının başlarından itibaren hem sahte yükleyicileri hem de uzlaşma sonrası araçları imzalayacak. İkili dosyalar meşru imzalar taşıdığından, dosyalar bazı saf izin verilenler listelerini atladı ve kullanıcı yürütme çıtasını düşürdü.
Microsoft, AV’nin sahte kurulum dosyalarını, Oyster yapıtlarını ve Rhysida şifreleme faaliyetlerini tespit ettiğini, uç nokta çözümünün ise saldırılar sırasında kullanılan taktikleri, teknikleri ve prosedürleri (TTP’ler) Vanilla Tempest’i işaretlediğini söyledi. Şirket, kötüye kullanılan sertifikaları iptal etti ve tespit kurallarını müşterilere aktardı; Microsoft, operasyonu hızlı bir şekilde köreltmek için gerekli olarak nitelendirdiği eylemlerdi.
Vanilla Tempest’in Arsenalindeki Fidye Yazılımı Ana Aracı
Vanilla Tempest’in fidye yazılımı faaliyetleri ve gasp operasyonlarından oluşan uzun bir kataloğu var. Siber güvenlik firması Cyble), grubun faaliyetlerini en az Haziran 2021’e kadar takip etti. Operatörler, kesinti ve veri hırsızlığının müzakere için acil baskı oluşturduğu sektörler olan eğitim, sağlık ve üretimi hedef aldı ve daha önce BlackCat, Quantum Locker ve Zeppelin gibi aileleri görevlendirdiler.
Ayrıca okuyun: Vice Society: Okullara Yönelik Büyüyen Bir Tehdit, FBI’ı uyardı
Son aylarda sürdürülebilir bir Rhysida kampanyasına yöneldiler; Microsoft’un bulguları, grubun izinsiz giriş vektörlerini tohumlamak için sosyal mühendislik, SEO zehirlenmesi ve kod imzalama sahtekarlığını nasıl katmanlandırdığını gösteriyor.
Microsoft’un özetlediği saldırı zinciri, modern fidye yazılımı operasyonları için ortak bir modelle eşleşiyordu. Güvenilir bir uygulamayı tehlikeye atın veya taklit edin, imzalı bir yükleyiciyle gizli bir dayanak oluşturun, ayrıcalıkları artırın ve uzak araçlar aracılığıyla dağıtın, ardından şifreleyin ve sızdırın.
Daha önce gözlemlenen olaylarda, tehdit aktörü, keşif ve uygulamalı anahtarlamayı desteklemek için SimpleHelp ve MeshAgent gibi uzaktan yönetim araçlarını kullanmış, ardından yanal hareket için PsExec ve Impacket gibi arazide yaşama tekniklerini ve yardımcı programlarını kullanmıştır. Daha önceki kampanyalarda keşif (Gelişmiş Bağlantı Noktası Tarayıcı, PowerSploit komut dosyaları) ve sızma veya hazırlama (Rclone) için başka araçların da kullanıldığı görüldü.
Microsoft’un paylaştığı tespit kılavuzu, imzasız veya alışılmadık şekilde imzalanmış kitaplıkları çağıran anormal yükleyicilerin aranmasını, olağandışı Teams indirme etki alanlarına beklenmedik ağ bağlantılarını, yeni hizmet kurulumlarını ve kodlanmış komut satırlarıyla PowerShell’i oluşturan veya Rclone aktarımlarını başlatan işlem ağaçlarını içeriyordu. Microsoft ayrıca kuruluştaki olağandışı sertifika etkinliklerinin (örneğin, bilinmeyen varlıklara verilen yeni kod imzalama sertifikaları veya sık kullanılan yükleyiciler için ani imzalayan değişiklikleri) denetlenmesini de önerdi.
Cyble araştırmacıları, operasyonun iki daha geniş eğilimi gösterdiğini belirtti. Birincisi, saldırganlar giderek daha fazla güven zincirini (sertifikalar, yasal yükleyiciler ve satıcı markası) hedef alıyor çünkü güvenin kırılması, ilk uzlaşmadaki sürtüşmeleri azaltıyor. İkincisi, savunucuların görünürlüğü ağ ve uç nokta telemetrisinin ötesine genişletmesi ve sertifika şeffaflığı günlükleri, içerik dağıtım kaynağı kayıtları ve arama sonucu zehirlenme göstergeleri gibi tedarik zinciri sinyallerini içermesi gerekiyor.