Ransomware napadi ciljali Microsoft Teams korisnike
Microsoft je početkom oktobra prekinuo novi talas Rhysida ransomware napada tako što je opozvao više od 200 sertifikata korišćenih za potpisivanje lažnih instalacionih fajlova Microsoft Teams aplikacije.
Hakerska grupa poznata kao Vanilla Tempest stajala je iza ovih napada. Koristili su lažne internet domene koji su oponašali zvanične Teams adrese – poput teams-install[.]top, teams-download[.]buzz, teams-download[.]top i teams-install[.]run – kako bi distribuirali falsifikovane instalacije MSTeamsSetup.exe, koje su zapravo inficirale računare Oyster malverom.
Ovi napadi su bili deo šire kampanje malvertisinga (zlonamernog oglašavanja) koja je započela krajem septembra. Napadači su koristili oglase na pretraživačima i SEO manipulaciju da bi promovisali lažne instalacije Microsoft Teams-a, koje su zapravo instalirale Oyster – poznat i pod imenima Broomstick i CleanUpLoader – i otvorile „zadnja vrata“ na Windows uređajima.
Reklame i domeni vodili su na sajtove koji su verno kopirali zvaničnu stranicu za preuzimanje Microsoft Teams-a. Klik na taster za preuzimanje pokretao je preuzimanje fajla MSTeamsSetup.exe, koji je izgledao identično kao originalni Teams instalater.
Kada bi se pokrenuo, zlonamerni instalater je aktivirao loader koji bi instalirao potpisani Oyster malver, omogućavajući hakerima daljinski pristup zaraženim sistemima, uključujući krađu fajlova, izvršavanje komandi i instalaciju dodatnih zlonamernih programa.
Vanilla Tempest koristi Oyster od juna 2025. godine, a od septembra je počela da zloupotrebljava i Trusted Signing funkcije zajedno sa sertifikatima kompanija SSL.com, DigiCert i GlobalSign, kako bi njihovi malveri izgledali što uverljivije.
Ovaj malver, prvi put otkriven sredinom 2023, je već korišćen u ranijim Rhysida ransomware napadima na korporativne mreže, a često se širi putem malicioznih oglasa koji se predstavljaju kao IT alati poput PuTTY i WinSCP.
„Vanilla Tempest, koju drugi bezbednosni timovi prate pod imenima VICE SPIDER i Vice Society, finansijski je motivisana grupa koja se fokusira na ransomware napade i iznudu podataka”, saopštio je Microsoft. „Grupa je koristila više različitih ransomware alata, uključujući BlackCat, Quantum Locker i Zeppelin, ali se u poslednje vreme najviše oslanja na Rhysida ransomware”, piše dalje u saopštenju.
Vanilla Tempest deluje bar od juna 2021. godine, a najčešće napada organizacije u obrazovanju, zdravstvu, IT industriji i proizvodnji. Dok su delovali pod imenom Vice Society bili su poznati po korišćenju više različitih ransomware varijanti, među kojima su Hello Kitty/Five Hands i Zeppelin.
Još 2022. godine su FBI i CISA izdali zajedničko upozorenje da Vice Society nesrazmerno često napada američke obrazovne institucije, nakon što je grupa upala u mrežu Los Angeles Unified School District-a (LAUSD), drugog po veličini školskog sistema u SAD.