
Microsoft Perşembe günü, Vanilla Tempest olarak takip ettiği bir tehdit aktörünün, fidye yazılımı saldırılarında kötü amaçlı ikili dosyaları sahtekarlıkla imzalamak için kullandığı 200’den fazla sertifikayı iptal ettiğini açıkladı.
Microsoft Tehdit İstihbaratı ekibi, X’te paylaşılan bir gönderide, sertifikaların “Oyster arka kapısını sunmak ve sonuçta Rhysida fidye yazılımını dağıtmak için sahte Teams kurulum dosyalarında kullanıldığını” söyledi.
Teknoloji devi, Eylül 2025’in sonlarında tespit edilmesinin ardından bu ayın başlarında etkinliği kesintiye uğrattığını söyledi. Sertifikaları iptal etmenin yanı sıra, güvenlik çözümleri de sahte kurulum dosyaları, Oyster arka kapısı ve Rhysida fidye yazılımıyla ilişkili imzaları işaretleyecek şekilde güncellendi.
Vanilla Tempest (eski adıyla Storm-0832), Vice Society ve Vice Spider olarak da adlandırılan, en az Temmuz 2022’den bu yana aktif olduğu değerlendirilen ve yıllar içinde BlackCat, Quantum Locker, Zeppelin ve Rhysida gibi çeşitli fidye yazılımı türlerini dağıtan, finansal motivasyona sahip bir tehdit aktörüne verilen addır.

Öte yandan Oyster (diğer adıyla Broomstick ve CleanUpLoader), Google Chrome ve Microsoft Teams gibi popüler yazılımlar için genellikle truva atı haline getirilmiş yükleyiciler aracılığıyla, kullanıcıların Google ve Bing’de program ararken karşılaştıkları sahte web sitelerini kullanan bir arka kapıdır.
“Bu kampanyada Vanilla Tempest, Microsoft Teams’i taklit eden kötü amaçlı etki alanlarında barındırılan sahte MSTeamsSetup.exe dosyalarını (örneğin ekiplerin indirmesi) kullandı[.]vızıltı, ekip kurulumu[.]koş veya takımları indir[.]Microsoft, “Kullanıcılar muhtemelen arama motoru optimizasyonu (SEO) zehirlenmesi kullanan kötü amaçlı indirme sitelerine yönlendiriliyor.”
Tehdit aktörünün bu yükleyicileri ve diğer güvenlik ihlali sonrası araçları imzalamak için SSL’nin yanı sıra Güvenilir İmzalama’yı kullandığı söyleniyor[.]com, DigiCert ve GlobalSign kod imzalama hizmetleri.
Kampanyanın ayrıntıları ilk olarak geçen ay Blackpoint Cyber tarafından açıklandı ve Teams’i çevrimiçi arayan kullanıcıların, meşru istemci yerine kötü amaçlı MSTeamsSetup.exe dosyasının sunulduğu sahte indirme sayfalarına nasıl yönlendirildikleri vurgulandı.

Şirket, “Bu aktivite, SEO zehirlenmesinin devam eden suiistimalini ve güvenilir yazılım kisvesi altında emtia arka kapıları sunmak için kötü niyetli reklamları vurgulamaktadır” dedi. “Tehdit aktörleri, ilk erişim elde etmek için kullanıcıların arama sonuçlarına ve tanınmış markalara olan güvenini istismar ediyor.”
Bu tür riskleri azaltmak için yazılımı yalnızca doğrulanmış kaynaklardan indirmeniz ve arama motoru reklamları aracılığıyla sunulan şüpheli bağlantılara tıklamaktan kaçınmanız önerilir.