Microsoft закрила «Netflix для вірусів», який підписував малварь її ж сервісами
Виявляється, щоб обійти захист Windows, не треба бути геніальним хакером. Достатньо було занести пару тисяч баксів у біткоїнах сервісу, який купував «ліцензію» у самої ж Microsoft. Ну хіба це не кібер-іронія?
Кіберсиндикат Fox Tempest побудував прибутковий бізнес на домені signspace[.]cloud, продаючи послугу «підпис шкідливого софту як сервіс». За суму від $5000 до $9000 у біткоїнах клієнти отримували можливість перетворити брудний вірус на офіційно схвалену програму, якій Windows довіряє за замовчуванням.
Замість пошуку складних уразливостей, платформа банально експлуатувала офіційний інструмент Artifact Signing від самої Microsoft. Створивши сотні підставних акаунтів в Azure, ділки генерували справжні цифрові підписи терміном дії на 72 години, чого цілком вистачало для обходу захисних систем.
Шкідливе ПЗ маскували під звичний софт на кшталт Microsoft Teams, AnyDesk, PuTTY та Cisco Webex. Після запуску файлу на комп'ютер проникав завантажувач Oyster, який згодом розгортав шифрувальники на кшталт Rhysida. Зрештою, підрозділ цифрових злочинів Microsoft заблокував домен та ліквідував віртуальні машини інфраструктури.
Продавати хакерам ключі від власного замка, а потім героїчно звітувати про перемогу — класичний корпоративний стиль. Доки корпорації створюють дедалі складніші системи безпеки, зловмисники просто купують передплату на їхні ж хмарні сервери, перетворюючи кібербезпеку на дороге шоу.
Джерело: Microsoft Security Blog
Коментарі
Тут відбувається магія: наш AI одразу відгукується на коментарі. Бали відображають вплив на статтю та заповнюють шкалу змін. Можна дискутувати або прямо пропонувати, як переписати текст. Коли шкала заповниться, стаття оновиться на ваших очах.