Microsoft, Ekim 2025’in başlarında Vanilla Tempest tehdit grubu tarafından düzenlenen büyük bir siber saldırı kampanyasını başarıyla bozdu.
Teknoloji devi, siber suçluların, Oyster arka kapısını sunmak ve Rhysida fidye yazılımını kurban sistemlerine dağıtmak için tasarlanmış sahte Microsoft Teams kurulum dosyalarını imzalamak için kullandıkları 200’den fazla sahte sertifikayı iptal etti.
Tehdidin Keşfi ve Tehdide Müdahale
Microsoft güvenlik araştırmacıları, bu Vanilla Tempest kampanyasını, sahte imzalı ikili dosyalar içeren birkaç ay süren şüpheli etkinliği izledikten sonra Eylül 2025’in sonlarında keşfetti.
Şirket, yalnızca kötü amaçlı sertifikaları iptal etmekle kalmayıp, aynı zamanda Microsoft Defender Antivirus’ün sahte kurulum dosyalarını, Oyster arka kapısını ve Rhysida fidye yazılımını tespit edebilmesini sağlayarak hızlı bir şekilde harekete geçti.
Ek olarak, Uç Nokta için Microsoft Defender artık Vanilla Tempest’in saldırılarında kullandığı belirli taktikleri, teknikleri ve prosedürleri tanımlıyor.
Vanilla Tempest, finansal motivasyona sahip bir siber suç grubu olarak faaliyet gösteriyor ve aynı zamanda VICE SPIDER ve Vice Society adları altında çeşitli güvenlik sağlayıcıları tarafından da takip ediliyor.
Tehdit aktörü, fidye yazılımı dağıtma ve gasp amacıyla hassas verileri çalma konusunda uzmanlaşmıştır.
Operasyon geçmişleri boyunca aralarında BlackCat, Quantum Locker ve Zeppelin’in de bulunduğu çok sayıda fidye yazılımı çeşidi kullanmışlar ancak son zamanlarda öncelikli olarak Rhysida fidye yazılımını dağıtmaya odaklanmışlar.
Saldırı kampanyası, kullanıcıları kötü amaçlı yazılım indirmeleri için kandırmak amacıyla gelişmiş sosyal mühendislik tekniklerine dayanıyordu.
Vanilla Tempest, sahte MSTeamsSetup.exe dosyaları oluşturdu ve bunları, ekiplerin indirmesi gibi meşru Microsoft Teams web sitelerini yakından taklit eden sahte etki alanlarında barındırdı.[.]vızıltı, ekip kurulumu[.]çalıştırın ve takımları indirin[.]tepe.
Güvenlik araştırmacıları, potansiyel kurbanların, arama motoru optimizasyonu zehirlenmesi yoluyla bu kötü amaçlı indirme sitelerine yönlendirildiğine inanıyor; bu teknik, kötü amaçlı bağlantıları belirgin bir şekilde görüntülemek için arama motoru sonuçlarını manipüle eden bir tekniktir.
Kurbanlar sahte Microsoft Teams kurulum dosyalarını çalıştırdıklarında, kötü amaçlı yazılım, daha sonra sahtekarlıkla imzalanmış bir Oyster arka kapısını sistemlerine yükleyen bir yükleyici gönderdi.
Soruşturma, Vanilla Tempest’in Oyster’ı Haziran 2025 gibi erken bir tarihte saldırı kampanyalarına dahil etmeye başladığını, ancak bu arka kapıları ancak Eylül 2025’in başlarında sahtekarlıkla imzalamaya başladığını ortaya çıkardı.
Vanilla Tempest, kötü amaçlı yazılımlarının meşru görünmesini sağlamak için birden fazla güvenilir kod imzalama hizmetinden yararlandı.
Tehdit aktörleri, Microsoft’un Güvenilir İmzalama hizmetinin yanı sıra SSL sertifikaları kullanılarak da gözlemlendi[.]com, DigiCert ve GlobalSign’ın hem sahte yükleyicileri hem de uzlaşma sonrası araçları sahtekarlıkla imzalamasına neden oluyor.
Microsoft, tam etkin Microsoft Defender Antivirus’ün bu tehdidi başarıyla engellediğini vurguladı.
Şirket ayrıca kuruluşların bu saldırıyı azaltmasına ve araştırmasına yardımcı olmak amacıyla Uç Nokta için Microsoft Defender aracılığıyla ek rehberlik de sağladı.
Microsoft, bu korumaların müşterilerini güvence altına aldığını paylaşırken, daha geniş güvenlik topluluğu genelinde siber güvenlik savunmalarının güçlendirilmesine yardımcı olmak için bu tehdit istihbaratını kamuya açıkladı.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.