Microsoft unieważnia ponad 200 certyfikatów, by zablokować kampanię Rhysida — co to oznacza dla firm? - Security Bez Tabu

Microsoft unieważnia ponad 200 certyfikatów, by zablokować kampanię Rhysida — co to oznacza dla firm?

Wprowadzenie do problemu / definicja luki

Microsoft poinformował, że w początku października 2025 r. zakłócił kampanię prowadzącą do wdrożeń ransomware Rhysida, unieważniając ponad 200 certyfikatów używanych do podpisywania złośliwych plików. Kampanię przypisano grupie Vanilla Tempest (znanej także jako Vice Spider / Vice Society). Złośliwe binaria podpisywano m.in. przy użyciu Trusted Signing oraz usług podpisywania kodu dostawców SSL.com, DigiCert i GlobalSign.

W skrócie

  • Vektor wejścia: fałszywe strony podszywające się pod witrynę pobierania Microsoft Teams (np. teams-download[.]buzz, teams-install[.]run, teams-install[.]top).
  • Payload: podpisany backdoor Oyster (znany też jako Broomstick/CleanUpLoader), wykorzystywany następnie do wdrożenia Rhysida.
  • Działanie obronne: Microsoft unieważnił >200 certyfikatów, aktualizując detekcje dla fałszywych podpisów oraz narzędzi kampanii.
  • Aktor: Vanilla Tempest — finansowo motywowany, znany z ataków na edukację i ochronę zdrowia, wcześniej wykorzystywał różne rodzinny ransomware (m.in. BlackCat, Quantum Locker, Zeppelin).

Kontekst / historia / powiązania

Vanilla Tempest to nowa nazwa taksonomiczna Microsoftu dla wcześniej trackowanego DEV-0832/Vice Society, znanego z ataków oportunistycznych i eklektycznego doboru ładunków szyfrujących.
Rhysida funkcjonuje w modelu RaaS i jest regularnym celem ostrzeżeń rządowych — najnowsza, zaktualizowana w 2025 r. notyfikacja CISA opisuje TTPs i IOC tej rodziny.
Backdoor Oyster był już wcześniej dystrybuowany przez malvertising/SEO-poisoning jako trojanizowane instalatory popularnych narzędzi (PuTTY, WinSCP, a ostatnio — Teams).

Analiza techniczna / szczegóły luki

Łańcuch ataku:

  1. Pozycjonowanie i reklamy kierowały ofiary na domeny łudząco podobne do legitymnych stron Teams.
  2. Pobierany plik MSTeamsSetup.exe był loaderem, który uruchamiał podpisaną wersję backdoora Oyster.
  3. Oyster zapewnia trwały, zdalny dostęp (kradzież plików, wykonywanie poleceń, dogrywanie ładunków), ułatwiając lateral movement i wdrożenie Rhysida.

Nadużycie zaufania:
Aktor wykorzystywał Trusted Signing (krótkoterminowe certyfikaty) oraz usługi podpisywania kodu SSL.com, DigiCert, GlobalSign, aby nadać artefaktom pozory wiarygodności (SmartScreen, AV/EDR trust). Microsoft przerwał kampanię przez hurtową revokację >200 certyfikatów powiązanych z fałszywymi instalatorami i narzędziami post-exploitation.

Praktyczne konsekwencje / ryzyko

  • Podpis ≠ bezpieczeństwo: Sam fakt podpisania binarium nie gwarantuje braku złośliwości. SOC-e powinny korelować podpisy z telemetrią uruchomień, siecią i zachowaniem.
  • Ryzyko supply-chain w userlandzie: Użytkownicy częściej „googlują” instalatory niż pobierają je z portali producenta — atak świetnie skaluje się na helpdeskach i w SMB.
  • Utrzymujące się TTPs: Nawet po revokacji certyfikatów aktor może się przegrupować z nowymi certyfikatami/infrastrukturą.

Rekomendacje operacyjne / co zrobić teraz

  1. Blokady domen/URL: natychmiast dodać do denylist znane domeny kampanii (teams-download[.]buzz, teams-install[.]run, teams-install[.]top, itp.) i monitorować pokrewne typosquaty.
  2. Źródła instalatorów: enforce’ować politykę pobierania oprogramowania wyłącznie z domen producenta; rozważyć blokadę pobrań EXE/MSI z wyszukiwarek.
  3. Kontrole podpisów: w EDR/SIEM budować reguły na anomalia podpisów (wydawca ≠ oczekiwany; chain do niedawno odwołanego certyfikatu; short-lived certs).
  4. Detekcje Oyster/Rhysida: wdrożyć najnowsze IOC/TTP z biuletynów branżowych i CISA; szukać nietypowych połączeń C2 oraz artefaktów loadera.
  5. Hardening przeglądarek/DNS: izolacja przeglądarek dla pobrań, DNS sinkhole dla domen malvertisingowych, blokada reklam na poziomie sieci.
  6. Edukacja użytkowników: krótkie runbooki „Jak bezpiecznie pobierać Teams” + banery w intranecie. (Źródła kampanii dowodzą skuteczności SEO-poisoningu).
  7. IR gotowość: playbook Ryusida/Oyster: containment hostów z podejrzanym MSTeamsSetup.exe, natychmiastowa rotacja poświadczeń, review logonów interaktywnych, hunting po sygnaturach podpisu.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W przeszłości widzieliśmy kradzione lub wyłudzone certyfikaty używane do podpisywania malware. Nowością jest systemowe nadużycie usług podpisywania (w tym Trusted Signing z krótką ważnością certyfikatów), co znacząco zwiększa tempo rotacji certyfikatów po stronie aktora i utrudnia proste bloki „na wydawcę”. Dzisiejsze zdarzenie pokazuje, że hurtowa revokacja i telemetria behawioralna są skuteczniejsze niż poleganie na samym zaufaniu do łańcucha certyfikacji.

Podsumowanie / kluczowe wnioski

  • >200 odwołanych certyfikatów to zdecydowany ruch, który obniża skuteczność kampanii, ale nie eliminuje ryzyka rearmowania się przeciwnika.
  • Fałszywe instalatory Teams + Oyster → Rhysida: łańcuch ataku był wiarygodny dzięki podpisom i SEO-poisoning.
  • Organizacje powinny wzmocnić kontrolę źródeł oprogramowania, reguły detekcji podpisów i higienę przeglądarkową.

Źródła / bibliografia

  1. SecurityWeek — „Microsoft Revokes Over 200 Certificates to Disrupt Ransomware Campaign”, 16 października 2025 r. (SecurityWeek)
  2. BleepingComputer — „Microsoft disrupts ransomware attacks targeting Teams users”, 16 października 2025 r. (BleepingComputer)
  3. CISA — „#StopRansomware: Rhysida Ransomware” (zaktualizowane 30 kwietnia 2025 r.). (CISA)
  4. Microsoft Security Blog — „DEV-0832 (Vice Society)…” (mapowanie do Vanilla Tempest), 25 października 2022 r. (Microsoft)
  5. Broadcom / Symantec — „Oyster backdoor spread via malicious Teams setup”, 29 września 2025 r. (Broadcom)