Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Podpisywanie kodu od lat stanowi jeden z fundamentów cyfrowego zaufania. Mechanizm ten pozwala systemom operacyjnym, narzędziom bezpieczeństwa oraz użytkownikom ocenić, czy dany plik wykonywalny pochodzi od określonego wydawcy i czy nie został zmodyfikowany po jego publikacji. Problem pojawia się wtedy, gdy model ten zostaje wykorzystany przez cyberprzestępców do zwiększania wiarygodności złośliwego oprogramowania.
Najnowsze działania Microsoftu pokazują, że rynek usługowego podpisywania malware stał się istotnym elementem współczesnego ekosystemu cyberprzestępczego. Według firmy infrastruktura powiązana z podmiotem śledzonym jako Fox Tempest była wykorzystywana do generowania certyfikatów służących do podpisywania złośliwych plików podszywających się pod legalne oprogramowanie.
W skrócie
Microsoft poinformował o zakłóceniu działalności usługi cyberprzestępczej, która nadużywała mechanizmów Microsoft Artifact Signing do tworzenia krótkotrwałych certyfikatów podpisu kodu. Tego typu certyfikaty miały następnie wspierać dystrybucję malware używanego przez różne grupy przestępcze.
Z informacji ujawnionych przez firmę wynika, że operatorzy utworzyli ponad tysiąc certyfikatów oraz setki tenantów i subskrypcji Azure wspierających tę działalność. Microsoft unieważnił powiązane certyfikaty, przejął kluczowe elementy infrastruktury, usunął fałszywe konta i zaostrzył procesy weryfikacyjne w usługach, które były nadużywane.
Kontekst / historia
Microsoft wskazuje, że obserwował aktywność Fox Tempest od września 2025 roku. Usługa miała być wykorzystywana przez różne grupy cyberprzestępcze, w tym operatorów ransomware, którzy potrzebowali sposobu na zwiększenie wiarygodności swoich plików i utrudnienie wykrywania przez rozwiązania ochronne.
Wśród rodzin ransomware powiązanych z tym zapleczem wymieniono Rhysida, Inc, Qilin oraz Akira. Infrastruktura podpisywania miała także wspierać dystrybucję innych zagrożeń, takich jak Lumma Stealer, Oyster oraz Vidar. Pokazuje to, że nie chodziło o pojedynczą kampanię, lecz o usługowy model wspierający wiele różnych operacji przestępczych.
To ważna zmiana w krajobrazie zagrożeń. Podpisywanie złośliwego oprogramowania nie jest już wyłącznie zdolnością zaawansowanych grup, lecz usługą, którą można outsourcować. W praktyce obniża to próg wejścia dla kolejnych aktorów i wzmacnia efektywność całego cyberprzestępczego łańcucha dostaw.
Analiza techniczna
Sednem operacji było nadużywanie usługi Microsoft Artifact Signing do uzyskiwania krótkotrwałych certyfikatów podpisu kodu. Z perspektywy obrony to szczególnie problematyczne, ponieważ cyfrowy podpis może przejściowo zwiększać wiarygodność pliku w oczach użytkownika, systemu operacyjnego czy mechanizmów reputacyjnych.
Podpisany plik wykonywalny może łatwiej ominąć część heurystyk opartych na niskiej reputacji lub braku podpisu. Malware podszywające się pod instalatory, aktualizatory albo narzędzia administracyjne może wyglądać bardziej wiarygodnie podczas kampanii phishingowych, dystrybucji przez loadery czy innych metod dostarczania. Krótkotrwałość certyfikatów oraz duża skala ich generowania dodatkowo utrudniają obrońcom szybkie tworzenie skutecznych blokad opartych wyłącznie na wskaźnikach kompromitacji.
Microsoft podał również, że operatorzy tworzyli setki tenantów i subskrypcji Azure wspierających działalność usługi. Taki rozproszony model wskazuje na próbę zapewnienia odporności operacyjnej, szybkiej rotacji zasobów i utrudnienia korelacji między kontami, certyfikatami oraz konkretnymi kampaniami malware.
Istotnym elementem odpowiedzi była nie tylko blokada techniczna, ale także ścieżka prawna. Microsoft poinformował o działaniach wymierzonych w Fox Tempest i Vanilla Tempest, co pokazuje, że zwalczanie podobnych usług coraz częściej wymaga połączenia instrumentów technicznych, operacyjnych i formalnoprawnych.
Konsekwencje / ryzyko
Najpoważniejsze ryzyko polega na tym, że podpisane malware może wzbudzać mniejsze podejrzenia zarówno u użytkowników końcowych, jak i części narzędzi bezpieczeństwa. W efekcie rośnie prawdopodobieństwo skutecznej infekcji początkowej, a następnie eskalacji do incydentów ransomware, kradzieży danych czy przejęcia tożsamości.
Zagrożenie ma charakter międzysektorowy. Skutki takich operacji mogą dotyczyć ochrony zdrowia, edukacji, administracji oraz sektora finansowego, a sam model działania ma zastosowanie globalne. Problem nie ogranicza się więc do jednego regionu ani jednej branży, lecz dotyczy wszystkich organizacji, które nadmiernie ufają podpisowi cyfrowemu jako samodzielnemu wskaźnikowi legalności.
Dodatkowym wyzwaniem jest ekonomia skali. Jeżeli usługa podpisywania malware wspiera liczne kampanie ransomware i infostealerów, to nawet częściowa skuteczność może generować bardzo wysokie przychody dla operatorów. To z kolei sprzyja szybkiemu odtwarzaniu infrastruktury po każdej operacji zakłócającej.
Rekomendacje
Organizacje nie powinny traktować ważnego podpisu cyfrowego jako wystarczającego dowodu bezpieczeństwa pliku. Podpis musi być analizowany w połączeniu z reputacją wydawcy, źródłem pobrania, kontekstem użytkownika, telemetrią procesu oraz informacjami threat intelligence.
- weryfikować pochodzenie plików wykonywalnych i bibliotek przed ich uruchomieniem,
- monitorować uruchamianie nowo podpisanych binariów o niskiej reputacji,
- wdrażać polityki allowlistingu oparte nie tylko na podpisie, ale również na zaufanych wydawcach i ścieżkach dystrybucji,
- regularnie aktualizować listy cofniętych certyfikatów i integrować je z kontrolami punktów końcowych,
- analizować nietypowe instalatory, loadery i archiwa dostarczane pocztą elektroniczną lub komunikatorami,
- wzmacniać detekcję zachowań charakterystycznych dla ransomware i infostealerów,
- egzekwować silne procesy onboardingu i weryfikacji tożsamości w usługach chmurowych oraz monitorować nadużycia kont i subskrypcji.
Dla zespołów SOC i DFIR szczególnie ważne jest rozwijanie procedur reagowania na próbki, które posiadają formalnie poprawny podpis, ale wykazują złośliwe cechy behawioralne. Takie przypadki powinny być traktowane priorytetowo, ponieważ wskazują na nadużycie łańcucha zaufania.
Podsumowanie
Operacja przeciwko Fox Tempest pokazuje, że podpis cyfrowy coraz częściej staje się narzędziem nadużywanym przez cyberprzestępców, a nie wyłącznie mechanizmem budowania zaufania. Unieważnienie ponad tysiąca certyfikatów, przejęcie infrastruktury oraz działania prawne Microsoftu stanowią istotny cios w model malware-signing-as-a-service, ale nie eliminują problemu systemowo.
Dla obrońców najważniejszy wniosek pozostaje jasny: zaufanie do podpisanego kodu musi być warunkowe i osadzone w szerszym kontekście telemetrycznym. W realiach nowoczesnych kampanii ransomware i infostealerów sam podpis nie może już być traktowany jako wystarczający sygnał legalności.
Źródła
- SecurityWeek — https://www.securityweek.com/microsoft-disrupts-malware-signing-service-run-by-fox-tempest/
- Microsoft Security Blog — https://www.microsoft.com/en-us/security/blog/
- Notice of Pleadings — https://www.noticeofpleadings.net/