详细内容或原文请订阅后点击阅览
微软拆除了恶意软件签名网络 Fox Tempest
Microsoft 破坏了 Fox Tempest,这是一种恶意软件签名即服务 (MSaaS),允许攻击者使用虚假的受信任证书对恶意软件进行签名。微软表示,它破坏了一个名为 Fox Tempest 的威胁行为者运行的网络犯罪行动,该行动帮助威胁行为者使用短期证书签署恶意软件,使恶意软件看起来合法。该服务滥用 Microsoft Artifact Signing 并支持 [...]
来源:Security Affairs _恶意软件微软拆除了恶意软件签名网络 Fox Tempest
Microsoft 破坏了 Fox Tempest,这是一种恶意软件签名即服务 (MSaaS),允许攻击者使用虚假的受信任证书对恶意软件进行签名。
微软表示,它破坏了一个名为 Fox Tempest 的威胁行为者运行的网络犯罪行动,该行动帮助威胁行为者使用短期证书签署恶意软件,使恶意软件看起来合法。该服务滥用 Microsoft Artifact Signing 并支持勒索软件和恶意软件活动。
微软夺取了该组织运行的基础设施,撤回了欺诈账户,并加强了被滥用的验证流程。它还对 Fox Tempest 和 Vanilla Tempest 提起诉讼,这一法律举措在此类操作中确实发挥了实际作用:它为微软提供了夺取域名、拆除服务器基础设施并迫使第三方提供商停止运行的任何内容的理由。
微软表示,Fox Tempest 创建了 1,000 多个证书,并设置了数百个 Azure 租户和订阅,以支持其恶意软件签名即服务操作。这家 IT 巨头撤销了 1000 多个与该组织相关的代码签名证书。
2026 年 5 月,微软数字犯罪部门与行业合作伙伴拆除了 Fox Tempest 的基础设施。该服务已被用来签署和分发恶意软件,包括 Rhysida 勒索软件、Oyster、Lumma Stealer 和 Vidar,使恶意软件看起来合法且更容易大规模传播。
微软威胁情报研究人员指出,Fox Tempest并不直接攻击受害者,而是提供支持勒索软件组织的基础设施和服务。自 2025 年 9 月以来,它已与 Vanilla Tempest、Storm-0501、Storm-2561 和 Storm-0249 等运营商有联系,这些运营商在通过恶意广告、SEO 中毒和虚假广告进行的实际攻击中使用了 Fox Tempest 签名的恶意软件。
在 Twitter 上关注我:@securityaffairs 以及 Facebook 和 Mastodon