مایکروسافت از انهدام یک سرویس مجرمانه موسوم به مدل Malware-Signing-as-a-Service (MSaaS) خبر داد؛ زیرساختی که با سوءاستفاده از سرویس Artifact Signing این شرکت، امکان صدور گواهیهای جعلی برای امضای دیجیتال بدافزارها را فراهم میکرد. این عملیات که توسط یک عامل تهدید سایبری با نام Fox Tempest انجام میشد، به گروههای باجافزاری و سایر مجرمان سایبری اجازه میداد فایلهای مخرب خود را با استفاده از امضای دیجیتال معتبر بهعنوان نرمافزار قانونی در سیستمعامل ویندوز اجرا کنند.
سوءاستفاده از زیرساخت Azure برای جعل گواهیهای «امضای دیجیتال»
طبق گزارش تیم هوش تهدید مایکروسافت (Microsoft Threat Intelligence)، گروه Fox Tempest از سرویس Azure Artifact Signing که پیشتر با نام Trusted Signing شناخته میشد، برای تولید گواهیهای کوتاهمدت سوءاستفاده میکرد. این سرویس ابری که مایکروسافت در سال 2024 با هدف تسهیل فرآیند امضای نرمافزار برای توسعهدهندگان راهاندازی کرده بود، در نهایت به بستری برای صدور گواهیهای جعلی تبدیل شد.
بررسیها نشان میدهد مهاجمان با استفاده از هویتهای سرقتشده متعلق به شهروندان آمریکا و کانادا، موفق شدند مکانیزمهای احراز هویت (Identity Verification) مایکروسافت را دور بزنند و مجوزهای لازم برای امضای دیجیتال فایلهای مخرب را دریافت کنند. این گروه برای کاهش احتمال شناسایی و ابطال گواهیها، از گواهیهای کوتاهمدت با اعتبار 72 ساعته استفاده میکرد.
نقش امضای دیجیتال در حملات باجافزاری و توزیع بدافزار
طبق اعلام مایکروسافت این زیرساخت مجرمانه با کمپینهای بدافزاری و باجافزاری متعددی از جمله Oyster، Lumma Stealer، Vidar، Rhysida، Akira، INC و BlackByte در ارتباط بوده است. همچنین گروههایی مانند Vanilla Tempest، Storm-0501، Storm-2561 و Storm-0249 از فایلهای امضاشده در عملیاتهای خود استفاده کردهاند.
بر اساس اسناد منتشرشده در پرونده قضایی، مهاجمان فایلهای مخرب را در قالب نصبکننده نرمافزارهایی مانند Microsoft Teams، AnyDesk، PuTTY و Webex منتشر میکردند تا فرآیند آلودگی با ظاهری قانونی انجام شود. این فایلها پس از اجرا، یک لودر مخرب را فعال کرده و در ادامه بدافزار Oyster و نهایتاً باجافزار Rhysida را روی سیستم قربانی مستقر میکردند.
به گفته مایکروسافت، از آنجا که بدافزار Oyster با گواهی صادرشده از سرویس Artifact Signing امضا شده بود، سیستمعامل ویندوز در مراحل اولیه آن را بهعنوان یک نرمافزار معتبر شناسایی میکرد. همین موضوع باعث میشد بسیاری از مکانیزمهای امنیتی ویندوز فایل را مشکوک تشخیص ندهند و مانعی در برابر اجرای آن ایجاد نکنند.
توقیف زیرساخت Fox Tempest و ابطال بیش از هزار گواهی
واحد جرایم دیجیتال مایکروسافت (Digital Crimes Unit-DCU) با همکاری چندین شریک صنعتی، دامنه اصلی این سرویس یعنی signspace[.]cloud را توقیف و صدها ماشین مجازی (VM) مرتبط با آن را از دسترس خارج کرد. همچنین مایکروسافت اعلام کرد بیش از هزار گواهی امضای کد (Code Signing) مرتبط با این شبکه را باطل کرده است.
طبق اعلام این شرکت، مهاجمان سایبری از این پلتفرم برای بارگذاری فایلهای مخرب و دریافت نسخههای امضاشده آنها با گواهیهای جعلی استفاده میکردند. این زیرساخت در عمل، فرآیند توزیع بدافزار مبتنی بر امضای دیجیتال را به یک سرویس مجرمانه سازمانیافته تبدیل کرده بود.
مایکروسافت همزمان با مختلکردن زیرساخت فنی این شبکه، پروندهای حقوقی را نیز در دادگاه منطقه جنوبی نیویورک علیه گردانندگان آن مطرح کرد و گروه Vanilla Tempest را بهعنوان یکی از همدستان اصلی این عملیات معرفی کرد.
مدل درآمدی سرویس MSaaS و فروش دسترسی در تلگرام
گردانندگان این شبکه، سرویسهای خود را در کانالهای تلگرامی تحت عنوان EV Certs for Sale by SamCodeSign با قیمتهایی بین 5000 تا 9000 دلار (در قالب بیتکوین) به فروش میرساندند. مجرمان سایبری با استفاده از این سرویس امضای دیجیتال، به ماشینهای مجازی از پیش پیکربندیشده در زیرساخت Cloudzy دسترسی پیدا کرده و فایلهای باینری امضا شده خود را دریافت میکردند.
مایکروسافت اعلام کرده این عملیات میلیونها دلار درآمد ایجاد کرده و توسط گروهی سازمانیافته با توانایی مدیریت زیرساخت، ارتباط با مشتریان و انجام تراکنشهای مالی اداره شده است. این موضوع نشان میدهد بازار سرویسهای سازمانیافته برای تسهیل عملیات بدافزاری و حملات سایبری وارد مرحله جدیدی شده است.
