Microsoft остановила работу теневого сервиса подписывания вредоносного кода Fox Tempest

В мае 2026 года подразделение Digital Crimes Unit (DCU) компании Microsoft совместно с партнёром Resecurity прервало деятельность группировки Fox Tempest. Эта группа, как выяснили специалисты, предоставляла другим киберпреступникам платные услуги по подписыванию вредоносных файлов легитимными сертификатами кода. Такая поддержка позволяла программам-вымогателям и стилерам обходить защитные механизмы корпоративных систем. Масштаб сервиса впечатляет: за время существования Fox Tempest создала более тысячи подписанных сертификатов и развернула сотни арендованных сред в облаке Azure.

Описание

Суть модели Fox Tempest заключалась в злоупотреблении легальным сервисом Microsoft Artifact Signing (ранее Azure Trusted Signing). Обычно этот инструмент предназначен для разработчиков, которые хотят заверить своё программное обеспечение цифровой подписью. Чтобы получить такой сертификат, необходимо пройти строгую проверку личности. Злоумышленники обходили это требование с помощью украденных документов реальных людей, в основном из США и Канады. Полученные сертификаты действовали всего 72 часа, но за это время их хватало, чтобы замаскировать вредоносный код под популярные приложения вроде AnyDesk, Microsoft Teams, Putty или Webex. В своём отчёте специалисты Microsoft Threat Intelligence описали, как именно функционировал этот "чёрный" сервис.

Площадкой для заказа служил сайт signspace[.]cloud, который после вмешательства DCU был отключён. На портале существовали две роли: администратор, отвечавший за инфраструктуру и создание учётных записей, и клиенты - злоумышленники, загружавшие вредоносные файлы на подпись. Процесс был максимально автоматизирован: заказчик получал готовый подписанный бинарник. В феврале 2026 года Fox Tempest изменила схему - вместо веб-портала группировка начала предоставлять клиентам готовые виртуальные машины на базе провайдера Cloudzy. Внутри такой машины уже находились скрипты для подписывания, образец подписанного файла и сам сертификат. Покупатель подключался по удалённому рабочему столу, загружал свой вредоносный код и получал подписанный результат.

Стоимость услуг варьировалась от 5 000 до 9 000 долларов США в зависимости от приоритета в очереди. Расчёты велись в криптовалюте. Для общения с клиентами использовался Telegram-канал под названием EV Certs for Sale by SamCodeSign. Анализ криптовалютных транзакций показал прямые связи Fox Tempest с операторами программ-вымогателей INC, Qilin, Akira и другими. По оценкам Microsoft, доходы группы измеряются миллионами долларов.

Последствия этого сервиса оказались масштабными. Microsoft Threat Intelligence отслеживает Fox Tempest с сентября 2025 года. За это время группировку связывают с такими крупными атаками, как развёртывание вымогателя Rhysida группировкой Vanilla Tempest, а также распространение бэкдора Oyster (известного как Broomstick), стилера Lumma Stealer и инфостилера Vidar. Vanilla Tempest, например, использовала подписанные Fox Tempest установщики Microsoft Teams. Вредоносные сборки распространялись через купленную рекламу в поисковых системах - пользователи, искавшие Teams, переходили на поддельные страницы загрузки. После запуска фальшивого установщика в систему попадал модульный бэкдор Oyster, который обеспечивал удалённый доступ, сбор данных и доставку дополнительных нагрузок, включая шифровальщик Rhysida.

Жертвами атак стали организации в сфере здравоохранения, образования, государственного управления и финансовых услуг. География инцидентов включает США, Францию, Индию и Китай. Учитывая, что подписанный вредоносный код практически не отсеивается антивирусами и системами контроля приложений, такие атаки обладали высокой вероятностью успеха. Microsoft подчёркивает, что Fox Tempest не атаковала цели напрямую, а выступала критическим элементом цепочки поставок киберпреступности - её услуги использовали группировки Storm-0501, Storm-2561 и Storm-0249.

В ответ на угрозу Microsoft DCU не только отключила сайт signspace[.]cloud и аннулировала более тысячи сертификатов, но и продолжает взаимодействие с Cloudzy для выявления связанной инфраструктуры. В официальном сообщении компания также опубликовала индикаторы компрометации и правила обнаружения для продуктов Microsoft Defender. Специалистам по информационной безопасности рекомендуется обращать внимание на короткоживущие сертификаты, выпущенные через Artifact Signing для необычных файлов, а также проверять подлинность установщиков популярного ПО, особенно если они загружены не с официальных сайтов. Fox Tempest - яркий пример того, как провайдеры вредоносных услуг усиливают всю экосистему киберпреступности, делая её более эффективной и опасной.