Microsoft массово отзывает сертификаты: один клик на «скачать Teams» мог стоить клиентам всех данных

leer en español

Microsoft Rhysida Vanilla Tempest Oyster DigiCert SEO-подмена вредоносные установщики
Microsoft массово отзывает сертификаты: один клик на «скачать Teams» мог стоить клиентам всех данных
Microsoft Rhysida Vanilla Tempest Oyster DigiCert SEO-подмена вредоносные установщики

Бэкдор маскировался так искусно, что теперь корпорация вынуждена полностью переписать правила безопасности.

image

Компания Microsoft заблокировала более двухсот цифровых сертификатов, использовавшихся в атаках с применением шифровальщика Rhysida. Эти подписи позволяли распространять вредоносные сборки через поддельные установочные файлы Microsoft Teams, внутри которых скрывался бэкдор Oyster. Злоумышленники из группы, отслеживаемой под именем Vanilla Tempest, получали доступ для внедрения вредоносного компонента в систему жертвы, а затем разворачивали полное заражение с последующим запуском вымогательского ПО.

Фальшивые установщики размещались на сайтах, оформленных под видом официального ресурса Microsoft Teams — среди них домены вроде teams-download[.]buzz и teams-install[.]run. Для привлечения жертв применялись методы продвижения в поисковых системах: при вводе запроса пользователь попадал на вредоносный сайт, предлагавший скачать якобы официальный дистрибутив. Именно эта стратегия сработала — пользователи доверяли внешнему виду страницы и заголовкам в поисковой выдаче, что облегчало злоумышленникам получение первоначального доступа.

Цифровые подписи, использованные в этих атаках, были получены через сервис Trusted Signing, а также через крупные центры сертификации, включая SSL[.]com, DigiCert и GlobalSign. После компрометации системы эти сертификаты позволяли запускать вредоносные компоненты без тревожных уведомлений, поскольку их подписи считались легитимными. Среди задействованных инструментов — бэкдор Oyster, известный также под именами Broomstick и CleanUpLoader, и сам шифровальщик Rhysida, ранее распространявшийся группировкой Vice Society, она же Vice Spider.

Команда Microsoft сообщила, что активность была зафиксирована в конце сентября и пресечена в начале октября. Вместе с отзывом сертификатов были обновлены правила детектирования в защитных продуктах, чтобы блокировать сигнатуры, связанные с этим сценарием заражения. Тем не менее в компании подчёркивают, что подобные атаки демонстрируют устойчивую тенденцию к злоупотреблению поисковой оптимизацией и рекламой в поисковых системах с целью распространения вредоносных установщиков под видом популярных приложений.

По данным Blackpoint Cyber, именно этот способ доставки использовался в текущей цепочке атак. Вместо официального клиента Teams пользователю предлагается вредоносный исполняемый файл с идентичным названием. Такая маскировка позволяет вредоносной нагрузке успешно миновать начальные фильтры и антивирусные проверки.

Проблема усугубляется тем, что подделка доверенных компонентов системы и использование легитимных сертификатов делают атаки особенно труднообнаружимыми. Подобные инциденты подчёркивают важность загрузки программ исключительно с официальных источников и осторожного отношения к рекламным ссылкам в поисковых системах.