Microsoft mengatakan pihaknya telah mengganggu operasi penandatanganan malware sebagai layanan (MSaaS) yang menyalahgunakan layanan Artifact Signing milik perusahaan untuk menghasilkan sertifikat penandatanganan kode palsu yang digunakan oleh geng ransomware dan penjahat dunia maya lainnya.
Menurut laporan yang diterbitkan hari ini oleh Microsoft Threat Intelligence, pelaku ancaman yang dilacak sebagai Fox Tempest menggunakan platform Microsoft Artifact Signing untuk membuat sertifikat berumur pendek yang memungkinkan malware ditandatangani secara digital dan dipercaya sebagai perangkat lunak yang sah baik oleh pengguna maupun sistem operasi.
Penandatanganan Artefak Azure (sebelumnya Penandatanganan Tepercaya) adalah layanan berbasis cloud yang diluncurkan oleh Microsoft pada tahun 2024 yang memungkinkan pengembang dengan mudah menandatangani program mereka oleh Microsoft.
Microsoft mengatakan pelaku ancaman yang bermotivasi finansial menciptakan lebih dari 1.000 sertifikat dan ratusan penyewa dan langganan Azure sebagai bagian dari operasi tersebut. Saat ini, Microsoft juga membuka segel kasus hukum di Pengadilan Distrik AS untuk Distrik Selatan New York yang menargetkan operasi kejahatan dunia maya.
“Fox Tempest telah membuat lebih dari seribu sertifikat dan mendirikan ratusan penyewa dan langganan Azure untuk mendukung operasinya. Microsoft telah mencabut lebih dari seribu sertifikat penandatanganan kode yang dikaitkan dengan Fox Tempest,” kata Microsoft.
“Pada bulan Mei 2026, Unit Kejahatan Digital (DCU) Microsoft, dengan dukungan dari mitra industri, mengganggu penawaran MSaaS Fox Tempest, menargetkan infrastruktur dan model akses yang memungkinkan penggunaan kriminal yang lebih luas.”
Microsoft mengatakan mereka menyita ruang tanda tersebut[.]domain cloud yang digunakan oleh layanan tersebut, membuat ratusan mesin virtual yang terkait dengan operasi menjadi offline, dan memblokir akses ke infrastruktur yang menampung platform kejahatan dunia maya.
Situs sekarang mengarahkan pengunjung ke a Situs yang dioperasikan Microsoft hal ini menjelaskan bahwa perusahaan menyita domain tersebut sebagai bagian dari tuntutan hukum terhadap skema penandatanganan malware sebagai layanan.
Operasi tersebut dikaitkan dengan berbagai kampanye malware dan ransomware yang melibatkan operasi ransomware Oyster, Lumma Stealer, Vidar, serta operasi ransomware Rhysida, Akira, INC, Qilin, dan BlackByte. Microsoft mengatakan pelaku ancaman, termasuk Vanilla Tempest (anggota INC Ransomware), Storm-0501, Storm-2561, dan Storm-0249, menggunakan malware yang ditandatangani dalam serangan mereka.
Microsoft juga menyebut operasi ransomware Vanilla Tempest sebagai salah satu konspirator dalam tindakan hukum tersebut, dengan menyatakan bahwa kelompok tersebut menggunakan layanan tersebut untuk mendistribusikan malware dan ransomware dalam serangan yang menargetkan organisasi di seluruh dunia.
Microsoft mengatakan MaaS dioperasikan melalui signspace[.]cloud dan mengizinkan pelanggan penjahat dunia maya mengunggah file berbahaya untuk penandatanganan kode menggunakan sertifikat yang diperoleh secara curang.
Sumber: Keluhan Microsoft
File malware yang ditandatangani ini kemudian digunakan oleh pelaku ancaman untuk meniru perangkat lunak yang sah seperti Microsoft Teams, AnyDesk, PuTTY, dan Webex, dan digunakan untuk menambah legitimasi pada unduhan.
“Saat korban yang tidak curiga mengeksekusi file penginstal Microsoft Teams dengan nama palsu, file tersebut mengirimkan pemuat berbahaya, yang pada gilirannya menginstal Oyster yang ditandatangani secara palsu
malware dan pada akhirnya menyebarkan ransomware Rhysida,” membaca keluhan Microsoft.
“Karena malware Oyster ditandatangani dengan sertifikat dari layanan Artifact Signing Microsoft, sistem operasi Windows pada awalnya mengenali malware tersebut sebagai perangkat lunak yang sah, padahal malware tersebut akan ditandai sebagai mencurigakan atau diblokir seluruhnya oleh kontrol keamanan di sistem operasi Windows.”
Microsoft yakin operator tersebut kemungkinan besar menggunakan identitas curian dari Amerika Serikat dan Kanada untuk memenuhi persyaratan verifikasi identitas Penandatanganan Artefak dan mendapatkan kredensial penandatanganan.
Saat memperoleh sertifikat, pelaku ancaman dilaporkan hanya menggunakan sertifikat berumur pendek yang berlaku selama 72 jam untuk mengurangi risiko deteksi.
BleepingComputer dilaporkan sebelumnya pada bulan Maret 2025 tentang pelaku ancaman yang menyalahgunakan layanan Penandatanganan Tepercaya Microsoft untuk menandatangani malware yang digunakan di a Pedagang Jahat Gila kampanye pencurian kripto[[Total Virus]dan Pencuri Lumma[[Total Virus]kampanye.
Meskipun malware tersebut juga ditandatangani dengan sertifikat 3 hari, tidak jelas apakah malware tersebut ditandatangani oleh platform kejahatan dunia maya Fox Tempest.
Microsoft juga merinci bagaimana Fox Tempest mengembangkan operasinya awal tahun ini dengan menyediakan mesin virtual pra-konfigurasi yang dihosting melalui infrastruktur Cloudzy kepada pelanggan. Pelanggan mengunggah malware ke lingkungan VM dan menerima biner yang ditandatangani menggunakan sertifikat yang dikontrol Fox Tempest.
Platform penandatanganan malware dipromosikan di saluran Telegram bernama “EV Certs for Sale by SamCodeSign,” dengan harga berkisar antara $5.000 hingga $9.000 dalam bentuk bitcoin untuk akses ke platform.
Microsoft mengatakan operasi tersebut menghasilkan keuntungan jutaan dolar dan merupakan kelompok yang memiliki sumber daya yang baik yang mampu mengelola infrastruktur, hubungan pelanggan, dan transaksi keuangan.
Kesenjangan Validasi: Pentesting Otomatis Menjawab Satu Pertanyaan. Anda Membutuhkan Enam.
Alat pentesting otomatis memberikan nilai nyata, namun alat tersebut dibuat untuk menjawab satu pertanyaan: dapatkah penyerang bergerak melalui jaringan? Mereka tidak dibuat untuk menguji apakah kontrol Anda memblokir ancaman, aturan deteksi Anda diaktifkan, atau konfigurasi cloud Anda dipertahankan.
Panduan ini mencakup 6 permukaan yang sebenarnya perlu Anda validasi.
