新闻中心
——“因为我们的存在,让您的邮件系统更有价值!”
微软重拳出击!捣毁恶意软件签名黑产
最近,微软联合多家机构端掉了一个名为Fox Tempest的网络犯罪团伙。这个团伙不直接发动攻击,却运营着一个“恶意软件签名即服务”的黑产平台,专门帮勒索病毒、木马程序弄到合法的数字签名,让恶意软件披上可信的外衣,轻松绕过安全检测。
他们滥用微软的Artifact Signing基础设施,通过盗用身份信息注册了数百个欺诈性Azure租户,累计生成超过1000张短期代码签名证书。这些证书有效期只有72小时,但足以让恶意软件伪装成Microsoft Teams、AnyDesk、PuTTY等常用工具。Fox Tempest在Telegram上打广告,基础套餐5000美元,高级套餐9000美元,客户上传恶意文件即可自动完成签名。
这个团伙本身不发动入侵,但为大量勒索团伙提供了“弹药”。Vanilla Tempest等攻击组织利用他们签名的伪造Teams安装程序,通过搜索广告和搜索引擎投毒分发,植入Oyster后门并投放Rhysida勒索软件。被签名的恶意家族包括Lumma Stealer、Vidar等,波及医疗、教育、金融等多个行业,受害者遍布全球多地,该团伙非法获利达数百万美元。
2026年5月,微软联合Resecurity、FBI、欧洲刑警组织,彻底查封了Fox Tempest的基础设施,吊销了上千张伪造证书,注销了所有违规账号,并对相关团伙提起诉讼。
这个案例给所有企业提了一个醒:数字签名不再是绝对的安全信号。攻击者可以获取短期证书,让恶意软件看起来出自可信厂商。对于企业邮件安全而言,钓鱼邮件常常附带这类带签名的恶意附件,传统网关仅凭签名白名单很难拦截。
部分信息来源网络,如有侵权请联系删除
