微软威胁情报中心发现并吊销了超过200个被威胁行动者伪造签名的数字证书。这些证书被用于签署伪造的微软Teams安装文件，目的是传播名为“Oyster”的后门程序，并最终部署“Rhysida”勒索软件。该恶意活动被称为“Vanilla Tempest”，其他机构也将其追踪为“Vice Spider”或“Vice Society”，最早于9月下旬被发现。该组织以经济利益为驱动，惯常通过部署勒索软件和窃取数据进行勒索。攻击者利用SEO投毒和恶意广告等手段，诱骗用户下载仿冒的MSTeamsSetup.exe文件，这些文件会释放恶意载荷。微软强调，启用微软Defender防病毒软件可以有效拦截此类威胁。

🔑 微软威胁情报团队识别并撤销了200多个被恶意行为者伪造的数字签名证书，这些证书被用于签署虚假的微软Teams安装程序。

🎣 攻击者通过SEO投毒和恶意广告等社会工程学手段，诱导用户访问仿冒网站并下载伪造的MSTeamsSetup.exe安装文件，这些文件实际上会释放名为“Oyster”的后门程序。

💰 该恶意活动，被微软命名为“Vanilla Tempest”，以经济利益为主要驱动力，其最终目标是部署“Rhysida”勒索软件，并曾使用过包括BlackCat、Quantum Locker和Zeppelin在内的其他勒索软件变种。

🛡️ 微软建议用户确保启用微软Defender防病毒软件，该软件能够检测并阻止此类威胁。此外，微软Defender for Endpoint还为应对和调查此类攻击提供了额外的指导。

📅 “Vanilla Tempest”组织至少从2021年起就已活跃，并与2023年一系列影响美国医疗行业的Rhysida勒索软件事件有关联，2022年还曾针对英国和美国的教育行业发起勒索软件攻击。

HackerNews 编译，转载请注明出处：

微软威胁情报团队已吊销 200 多个由威胁 actor 伪造签名的证书，这些证书被用于伪造的微软 Teams 安装文件，以分发后门程序和恶意软件。

微软将这场攻击活动命名为 “Vanilla Tempest”，其他机构则将其追踪为 “Vice Spider” 和 “Vice Society”。该活动于 9 月下旬被发现。

该威胁 actor 以经济利益为动机，主要通过部署勒索软件和窃取数据进行勒索。

伪造的 Teams 安装文件被用于分发 “Oyster” 后门程序，并最终部署 “Rhysida” 勒索软件。

除 Rhysida 外，该威胁 actor 还使用过其他勒索软件变种，包括 BlackCat、Quantum Locker 和 Zeppelin。

在这场活动中，攻击者利用 SEO 投毒和恶意广告技术，诱骗用户下载伪造的 MSTeamsSetup.exe 文件，这些文件会释放 Oyster 后门。

搜索 “Teams 下载” 的用户会被引诱至仿冒网站，这些网站托管着伪造的微软 Teams 安装程序。模仿微软 Teams 的恶意域名包括 teams-download [.] buzz、teams-install [.] run 和 teams-download [.] top 等。

微软表示，Vanilla Tempest 早在 2025 年 6 月就将 Oyster 后门纳入攻击流程，但在 2025 年 9 月初才开始对这些后门程序进行伪造签名。

观察发现，Vanilla Tempest 通过 “Trusted Signing” 服务以及 SSL [.] com、DigiCert 和 GlobalSign 等代码签名服务，为伪造的安装程序和攻击后工具伪造签名。

这家科技巨头称，完全启用的微软 Defender 防病毒软件可拦截此威胁。除检测功能外，微软 Defender for Endpoint 还提供了缓解和调查此类攻击的额外指导。

Vanilla Tempest 至少从 2021 年起就异常活跃。2023 年，在一系列影响美国医疗行业的事件发生后，安全研究人员发现该组织与 Rhysida 勒索软件存在关联。

2022 年，Vanilla Tempest 发起的一系列勒索软件攻击活动曾针对英国和美国的教育行业。

 

---

消息来源：infosecurity-magazine；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文