Microsoft, Vanilla Tempest adlı tehdit aktörünün Rhysida fidye yazılımı dağıtmak için kullandığı 200’den fazla sahte kod imzalama sertifikasını iptal ettiğini duyurdu. Bu sertifikalar, özellikle sahte Microsoft Teams kurulum dosyalarında Oyster arka kapısını gizlemek için kullanıldı. Vanilla Tempest, Temmuz 2022’den beri BlackCat, Quantum Locker, Zeppelin ve Rhysida gibi fidye yazılımlarını dağıtan, finansal amaçlı gelişmiş bir tehdit grubu olarak biliniyor.
Oyster Arka Kapısı ve Sahte Kurulum Dosyaları
Oyster (CleanUpLoader olarak da anılıyor), Google Chrome ve Microsoft Teams gibi popüler uygulamalar için trojanlanmış yükleyiciler kullanarak arka kapı erişimi sağlıyor. Kullanıcılar, arama motorlarında karşılaştıkları sahte web siteleri üzerinden bu kötü amaçlı yükleyicilere yönlendiriliyor. Microsoft, teams-download[.]buzz, teams-install[.]run ve teams-download[.]top gibi alan adlarının kötü amaçlı MSTeamsSetup.exe dosyasını barındırdığını belirtti. Bu saldırılar, SEO zehirlenmesi ve kötü amaçlı reklamlar yoluyla kullanıcıların güvenini suistimal ediyor.
Teknik Detaylar ve İmza Hizmetleri
Tehdit aktörleri, Trusted Signing, SSL.com, DigiCert ve GlobalSign gibi saygın kod imzalama hizmetlerini kötüye kullanarak sahte sertifikalar oluşturdu. Bu sertifikalar, MCP istemcisi ve AsyncRAT benzeri araçların yanı sıra, Pydantic AI destekli analizlerle tespit edildi. Ayrıca, saldırganların konteyner tabanlı altyapılarında rastgele SSH portları kullanarak erişimlerini gizledikleri gözlemlendi. Microsoft’un güvenlik çözümleri, bu sahte kurulum dosyalarını ve ilişkili arka kapıları tespit edecek şekilde güncellendi.
Önleme ve Tavsiyeler
Kullanıcıların yalnızca resmi ve doğrulanmış kaynaklardan yazılım indirmeleri, arama motoru reklamları ve şüpheli bağlantılara karşı dikkatli olmaları öneriliyor. Bu kampanya, fidye yazılımı saldırılarında SEO zehirlenmesi ve güvenilir marka taklitlerinin ne kadar etkili olduğunu bir kez daha gösterdi. Siber güvenlik ekiplerinin, kod imzalama sertifikalarının doğruluğunu sürekli kontrol etmeleri ve arka kapı tespit mekanizmalarını güncel tutmaları kritik önem taşıyor.