Microsoft maakte donderdag bekend dat het meer dan 200 certificaten heeft ingetrokken die werden gebruikt door een bedreigingsacteur die het volgt als Vanilla Tempest om op frauduleuze wijze kwaadaardige binaire bestanden te ondertekenen bij ransomware-aanvallen.
De certificaten werden “gebruikt in nep-Teams-installatiebestanden om de Oyster-achterdeur te leveren en uiteindelijk de Rhysida-ransomware te implementeren”, zei het Microsoft Threat Intelligence-team in een bericht gedeeld op X.
De technologiegigant zei dat het de activiteit eerder deze maand verstoorde nadat deze eind september 2025 werd ontdekt. Naast het intrekken van de certificaten zijn de beveiligingsoplossingen bijgewerkt om de handtekeningen te markeren die verband houden met de valse installatiebestanden, de Oyster-backdoor en de Rhysida-ransomware.
Vanilla Tempest (voorheen Storm-0832) is de naam die wordt gegeven aan een financieel gemotiveerde bedreigingsacteur, ook wel Vice Society en Vice Spider genoemd, die naar schatting sinds juli 2022 actief is en door de jaren heen verschillende ransomware-varianten heeft geleverd, zoals BlackCat, Quantum Locker, Zeppelin en Rhysida.
Oyster (ook bekend als Broomstick en CleanUpLoader) is daarentegen een achterdeur die vaak wordt verspreid via trojan-installatieprogramma’s voor populaire software zoals Google Chrome en Microsoft Teams, waarbij gebruik wordt gemaakt van valse websites waar gebruikers op stuiten bij het zoeken naar de programma’s op Google en Bing.
“In deze campagne gebruikte Vanilla Tempest valse MSTeamsSetup.exe-bestanden die werden gehost op kwaadaardige domeinen die Microsoft Teams nabootsten, bijvoorbeeld teams-download(.)buzz, teams-install(.)run of teams-download(.)top”, aldus Microsoft. “Gebruikers worden waarschijnlijk doorgestuurd naar kwaadaardige downloadsites met behulp van zoekmachineoptimalisatie (SEO).”
Om deze installatieprogramma’s en andere post-compromistools te ondertekenen, zou de bedreigingsacteur Trusted Signing hebben gebruikt, evenals SSL(.)com, DigiCert en GlobalSign-diensten voor het ondertekenen van code.
Details van de campagne werden vorige maand voor het eerst bekendgemaakt door Blackpoint Cyber, waarbij werd benadrukt hoe gebruikers die online naar Teams zochten, werden omgeleid naar valse downloadpagina’s, waar ze een kwaadaardige MSTeamsSetup.exe kregen aangeboden in plaats van de legitieme client.
“Deze activiteit benadrukt het voortdurende misbruik van SEO-vergiftiging en kwaadaardige advertenties om achterdeurtjes te leveren onder het mom van vertrouwde software”, aldus het bedrijf. “Bedreigingsactoren maken misbruik van het vertrouwen van gebruikers in zoekresultaten en bekende merken om initiële toegang te verkrijgen.”
Om dergelijke risico’s te beperken, wordt u aangeraden software alleen te downloaden van geverifieerde bronnen en te voorkomen dat u op verdachte links klikt die via zoekmachineadvertenties worden weergegeven.
