Microsoft, 200 yazılım imzalama sertifikasını iptal ederek, Microsoft Teams gibi görünen kötü amaçlı yazılımlarla kuruluşları hedefleyen fidye yazılımı kullanan bir tehdit aktörü olan Vanilla Tempest’in faaliyetlerini engelledi.
“Bu kampanyada Vanilla Tempest sahte MSTeamsSetup.exe Microsoft Teams’i taklit eden kötü amaçlı etki alanlarında barındırılan dosyalar; örneğin, takımlar-indir[.]vızıltı, ekip kurulumu[.]koşmakveya takımlar-indir[.]tepe. Şirketin tehdit istihbarat ekibi, kullanıcıların muhtemelen SEO zehirlenmesi kullanan kötü amaçlı indirme sitelerine yönlendirildiğini belirtti.
kampanya
Microsoft araştırmacıları tarafından Eylül 2025’in sonlarında tespit edilen bu son kampanyada Vanilla Tempest, resmi Teams yükleyicisine benzeyen imzalı dosyalar kullandı.
Dosyalar aslında imzalı bir Oyster arka kapısını indiren yükleyici kötü amaçlı yazılımlardı.
Tehdit analistlerine göre Vanilla Tempest, Oyster’ı Haziran 2025 gibi erken bir tarihte saldırılarına dahil etmeye başladı, ancak Eylül 2025’in başlarında bu arka kapıları sahtekarlıkla imzalamaya başladı.
“Sahte yükleyicileri ve uzlaşma sonrası araçları sahtekarlıkla imzalamak için Vanilla Tempest’in Güvenilir İmzalama kullanılarak gözlemlendiği ve ayrıca SSL[.]iletişimDigiCert ve GlobalSign” diye paylaştılar.
Vanilla Tempest (diğer adıyla VICE SPIDER veya Vice Society) 2021’den beri aktif ve nihai hedefi kuruluşlara fidye yazılımı dağıtmak ve gasp amacıyla verileri sızdırdıktan sonra dağıtmaktır.
Grup yıllar içinde BlackCat, Quantum Locker ve Zeppelin fidye yazılımlarını kullandı ancak son zamanlarda öncelikli olarak Rhysida türünü kullanmaya başladı.
Microsoft’un ek eylemi
Şirket, Microsoft Defender Antivirus’ün artık sahte MS Teams kurulum dosyalarını, Oyster arka kapısını ve Rhysida fidye yazılımını tespit ettiğini, Uç Nokta için Microsoft Defender’ın ise kuruluşların saldırıyı hafifletmesine ve araştırmasına yardımcı olmak için Vanilla Tempest taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) tespit ettiğini söyledi.
“Bu korumalar müşterilerimizin güvenliğini sağlamaya yardımcı olurken, biz de bu istihbaratı tüm siber güvenlik topluluğu genelinde savunmaları güçlendirmeye ve dayanıklılığı artırmaya yardımcı olmak için geniş çapta paylaşıyoruz” diye eklediler.
Bu ayın başlarında Microsoft analistleri, Microsoft Teams aracılığıyla veya Microsoft Teams kullanılarak yapılan saldırı riskinin azaltılması konusunda BT ve güvenlik ekiplerine yönelik bir kılavuz yayınladı.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmamak için son dakika haber e-posta uyarımıza abone olun. Buradan abone olun!