DevOps VietNam

Đăng nhập
Đăng ký
Đăng nhập

Microsoft thu hồi hơn 200 chứng chỉ giả liên quan hoạt động mã độc tống tiền Rhysida

Microsoft vừa công bố hành động quyết liệt khi thu hồi hơn 200 chứng chỉ ký giả được sử dụng một cách gian lận bởi nhóm tội phạm mạng Vanilla Tempest. Các chứng chỉ này được dùng để ký giả mạo các tệp cài đặt Microsoft Teams, giúp phân phối backdoor Oyster và cuối cùng là triển khai mã độc tống tiền Rhysida, khiến các tệp độc hại trở nên đáng tin cậy hơn.Việc thu hồi đã vô hiệu hóa một công cụ chủ chốt trong chuỗi tấn công của nhóm tin tặc.

0199f2ba-7e24-7934-b56b-796d2eda8fda

Microsoft Threat Intelligence cho biết họ đã phát hiện hoạt động của Vanilla Tempest từ cuối tháng 9/2025 và tiến hành làm gián đoạn nhóm này vào đầu tháng 10/2025 bằng cách thu hồi hơn 200 chứng chỉ đã bị ký giả mạo.

Theo Microsoft, nhóm tin tặc Vanilla Tempest (còn được gọi là Vice Society hoặc Vice Spider) đã sử dụng các chứng chỉ này để ký các tệp nhị phân độc hại, chủ yếu là tệp MSTeamsSetup.exe giả mạo, nhằm cài đặt backdoor Oyster. Backdoor này sau đó được sử dụng như một cánh cổng để triển khai ransomware Rhysida.

Vanilla Tempest là một nhóm tin tặc có động cơ tài chính, đã hoạt động từ ít nhất tháng 7/2022 và từng sử dụng nhiều chủng ransomware khác nhau như BlackCat, Quantum Locker, Zeppelin và Rhysida.

Trong hoạt động lừa đảo mới nhất, chúng đã tận dụng kỹ thuật SEO poisoning. Nhóm này tạo ra các tên miền độc hại mô phỏng trang tải xuống chính thức của Microsoft Teams, ví dụ như teams-download[.]buzz hoặc teams-install[.]run. Khi người dùng tìm kiếm phần mềm Teams trên các công cụ tìm kiếm, họ dễ dàng bị điều hướng đến các trang giả mạo này.

Việc tệp cài đặt độc hại được ký bằng chứng chỉ hợp lệ khiến chúng dễ dàng vượt qua các lớp kiểm tra bảo mật cơ bản và tạo cảm giác đáng tin cậy cho người dùng. Vanilla Tempest bị phát hiện đã lợi dụng các dịch vụ ký mã từ Trusted Signing, SSL[.]com, DigiCert, và GlobalSign để thực hiện hành vi gian lận này.

Cùng với việc thu hồi chứng chỉ, Microsoft đã cập nhật các giải pháp bảo mật của mình để tăng cường khả năng phát hiện. Hiện tại, các giải pháp bảo mật của hãng đã được tinh chỉnh để gắn cờ các chữ ký liên quan đến tệp cài đặt giả, backdoor Oyster, và ransomware Rhysida.

Hoạt động này một lần nữa nhấn mạnh sự nguy hiểm của việc lạm dụng lòng tin người dùng và các kỹ thuật đầu độc công cụ tìm kiếm để phân phối mã độc. Để tự bảo vệ, người dùng và tổ chức được khuyến cáo chỉ tải xuống phần mềm từ các nguồn chính thức và luôn cảnh giác với các liên kết quảng cáo hoặc kết quả tìm kiếm đáng ngờ, ngay cả khi chúng xuất hiện trên các công cụ tìm kiếm lớn.

Thông tin nổi bật

Event Thumbnail

Sự kiện đang hiện hành

Bài viết nổi bật

Tin tức khác

Chia sẻ bài viết:
Theo dõi
Thông báo của
0 Góp ý
Được bỏ phiếu nhiều nhất
Mới nhất Cũ nhất
Phản hồi nội tuyến
Xem tất cả bình luận