Fox Tempest показывает, почему подписанное вредоносное ПО всё ещё опасно

Microsoft описывает сервис подписи вредоносного кода, которым пользовались киберпреступные группы, включая операторов ransomware.

2026-05-20 GIGATAP Team #security
#malware#code-signing#ransomware

Что утверждает Microsoft#

Microsoft описывает Fox Tempest как финансово мотивированного участника угроз, который, по версии компании, вел сервис подписи вредоносного ПО по модели «услуга для других преступников». Проще говоря, такая схема помогает подписывать вредоносный код, чтобы он легче проходил проверки доверия, доходил до жертв или не вызывал немедленных подозрений.

В исходном материале среди пользователей сервиса названы Vanilla Tempest и несколько групп, которые Microsoft отслеживает с меткой Storm. По словам Microsoft, эти клиенты применяли сервис, чтобы эффективнее распространять вредоносный код, включая ransomware.

Это важное различие. Речь не просто об одной группе, одном взломе или одном образце вредоносного файла. Microsoft говорит об инфраструктуре, которая могла поддерживать разные кампании. Сервис подписи может находиться выше по цепочке атаки. Жертва видит ransomware как финальный и самый заметный этап, но конвейер подписи может быть тем слоем, который помогает атаке пройти ранние барьеры.

Важно учитывать и терминологию Microsoft. «Tempest» и «Storm» — это внутренние таксономические метки Microsoft для отслеживания участников угроз. Они не всегда напрямую совпадают с публичными названиями групп у других вендоров. Поэтому такие названия лучше воспринимать как модель наблюдения Microsoft, а не как универсальные идентичности.

Почему подпись вредоносного кода меняет риск#

Подпись кода нужна для укрепления доверия к программам. Подписанный бинарный файл может показать операционной системе, защитному инструменту или пользователю, что файл связан с издателем, личность которого подтверждена сертификатом. Но подпись не доказывает, что программа безопасна. Она лишь показывает, что файл подписан через цепочку сертификатов, которую система способна проверить.

Злоумышленники используют этот разрыв.

Подписанный вредоносный файл может выглядеть менее подозрительно, чем неподписанный. Он может получать меньше предупреждений, лучше сливаться с окружением, где неподписанные исполняемые файлы блокируются или помечаются как рискованные. В отдельных случаях подпись помогает вредоносному ПО пережить базовые проверки репутации достаточно долго, чтобы запуститься, распространиться или подготовить вторую полезную нагрузку.

Поэтому сервис подписи вредоносного ПО полезен сразу многим преступным группам. Оператору ransomware не нужно владеть всей цепочкой злоупотребления доверием. Он может купить доступ к сервису подписи так же, как покупает первичный доступ, хостинг, загрузчики, украденные учетные данные или услуги по отмыванию денег.

Так работает сервисная экономика киберпреступности. Каждый специалист снижает трение для следующего участника. Одна группа взламывает жертв. Другая продает доступ. Третья подписывает бинарные файлы. Четвертая разворачивает ransomware. Атрибуция усложняется, потому что путь атаки собирается из арендованных частей.

Чего не стоит утверждать сверх фактов#

Доступное резюме источника не дает достаточно деталей, чтобы делать выводы о том, как Fox Tempest получала сертификаты, сколько кампаний пользовались сервисом, какие конкретные семейства вредоносного ПО были подписаны или пострадала ли какая-то конкретная организация.

Оно также не доказывает, что каждый образец, связанный с названными клиентскими группами, был подписан через Fox Tempest. Полная публикация Microsoft может содержать индикаторы, технические детали или доказательства по кампаниям, но исходный материал поддерживает более узкий вывод: Microsoft говорит, что Fox Tempest управляла сервисом подписи, которым пользовались другие киберпреступники для распространения вредоносного кода, включая ransomware.

Есть и разница между подписанным вредоносным ПО и доверенным вредоносным ПО. Подпись может упростить доставку и снизить сопротивление на ранних этапах, но современные защитные стеки не принимают подпись как достаточное основание для разрешения. По-прежнему важны репутация, поведение, распространенность файла, история сертификата, родительский процесс, командная строка, сетевая активность и действия после запуска.

Практический вывод не в том, что «подписанные файлы плохие». Вывод другой: одной подписи недостаточно. Решения о доверии, которые останавливаются на уровне сертификата, слишком слабы.

Что стоит проверить защитникам#

Организациям стоит использовать этот случай как повод пересмотреть, как в их среде применяется доверие к подписанному коду.

Полезные проверки:

  • Разрешают ли правила контроля приложений запуск только потому, что файл подписан, или они также требуют известных издателей, одобренных путей и ожидаемого поведения?
  • Проверяются ли новые подписанные бинарные файлы иначе, чем давно известное ПО поставщиков?
  • Логируются ли детали сертификатов, и можно ли искать их в телеметрии endpoint-систем?
  • Могут ли аналитики быстро переходить по подписанту, серийному номеру сертификата, thumbprint, имени издателя и времени первого появления файла?
  • Повышается ли приоритет расследования для подписанных бинарных файлов, которые запускают интерпретаторы скриптов, сбрасывают полезную нагрузку, отключают защитные инструменты или устанавливают необычные сетевые соединения?
  • Быстро ли отозванные, подозрительные или низкорепутационные сертификаты попадают в защитные политики и средства контроля?

Для защиты от ransomware это дополняет базовые меры: минимальные привилегии, сильная защита учетных записей, проверенные резервные копии, endpoint detection, сегментация сети и отработанные процедуры быстрой изоляции. Злоупотребление подписью не заменяет эти основы. Оно пытается провести вредоносный код через ранние фильтры до того, как базовые меры успеют его остановить.

Командам безопасности также стоит следить за отчетами поставщиков по индикаторам, связанным с Fox Tempest, Vanilla Tempest и кластерами Storm, которые называет Microsoft. Практическая цель не в запоминании имени участника угроз. Важно распознать модель: преступные сервисы упаковывают злоупотребление доверием как продукт.

Более широкий сигнал#

Fox Tempest полезен как пример того, как киберпреступность продолжает двигаться к специализации. Финальная полезная нагрузка попадает в заголовки. Поддерживающие сервисы делают кампании масштабируемыми.

Сервис подписи ценен потому, что в механизмах доверия всё еще остаются короткие пути. Если среда воспринимает сертификат почти как полное доказательство безопасности, злоумышленники будут арендовать это доказательство. Если средства контроля оценивают подписанный код в контексте, ценность такого сервиса падает.

Защитную позицию легко сформулировать и сложнее внедрить: проверяйте подписанта, но не останавливайтесь на этом.