Microsoft thu hồi 200 chứng chỉ gian lận được sử dụng trong Ransomware Rhysida

[Starlink]

Hôm thứ Năm, Microsoft tiết lộ rằng họ đã thu hồi hơn 200 chứng chỉ được một tác nhân đe dọa mà họ theo dõi là Vanilla Tempest sử dụng để ký các tệp nhị phân độc hại trong các cuộc tấn công ransomware.

Nhóm Microsoft Threat Intelligence cho biết trong bài đăng chia sẻ trên X rằng các chứng chỉ này "đã được sử dụng trong các tệp thiết lập Teams giả để phân phối cửa hậu Oyster và cuối cùng triển khai phần mềm tống tiền Rhysida".

Gã khổng lồ công nghệ cho biết họ đã ngăn chặn hoạt động này vào đầu tháng này sau khi bị phát hiện vào cuối tháng 9 năm 2025. Ngoài việc thu hồi chứng chỉ, các giải pháp bảo mật của họ đã được cập nhật để đánh dấu các chữ ký liên quan đến tệp thiết lập giả mạo, cửa hậu Oyster và phần mềm tống tiền Rhysida.

Vanilla Tempest (trước đây là Storm-0832) là tên gọi của một tác nhân đe dọa có động cơ tài chính còn được gọi là Vice Society và Vice Spider, được đánh giá là hoạt động ít nhất từ tháng 7 năm 2022, phát tán nhiều loại ransomware khác nhau như BlackCat, Quantum Locker, Zeppelin và Rhysida trong nhiều năm qua.

Mặt khác, Oyster (hay còn gọi là Broomstick và CleanUpLoader) là một cửa hậu thường được phân phối thông qua các trình cài đặt trojan cho các phần mềm phổ biến như Google Chrome và Microsoft Teams bằng cách sử dụng các trang web giả mạo mà người dùng tình cờ tìm thấy khi tìm kiếm các chương trình trên Google và Bing.

Microsoft cho biết: "Trong chiến dịch này, Vanilla Tempest đã sử dụng các tệp MSTeamsSetup.exe giả mạo được lưu trữ trên các tên miền độc hại mô phỏng Microsoft Teams, ví dụ: teams-download[.]buzz, teams-install[.]run hoặc teams-download[.]top. Người dùng có thể bị chuyển hướng đến các trang web tải xuống độc hại bằng cách sử dụng thủ thuật đầu độc tối ưu hóa công cụ tìm kiếm (SEO)."

Để ký các trình cài đặt này và các công cụ sau khi xâm phạm khác, tác nhân đe dọa được cho là đã sử dụng Trusted Signing cũng như các dịch vụ ký mã SSL[.]com, DigiCert và GlobalSign.

Chi tiết về chiến dịch này lần đầu tiên được Blackpoint Cyber tiết lộ vào tháng trước, nêu bật cách người dùng tìm kiếm Teams trực tuyến bị chuyển hướng đến các trang tải xuống giả mạo, nơi họ được cung cấp tệp MSTeamsSetup.exe độc hại thay vì tệp ứng dụng hợp pháp.

"Hoạt động này cho thấy sự lạm dụng liên tục của SEO và quảng cáo độc hại để cung cấp các cửa hậu thương mại dưới vỏ bọc phần mềm đáng tin cậy", công ty cho biết. "Các tác nhân đe dọa đang lợi dụng lòng tin của người dùng vào kết quả tìm kiếm và các thương hiệu nổi tiếng để giành quyền truy cập ban đầu."

Để giảm thiểu những rủi ro này, bạn chỉ nên tải phần mềm từ những nguồn đã được xác minh và tránh nhấp vào các liên kết đáng ngờ được cung cấp thông qua quảng cáo trên công cụ tìm kiếm.