Специалисты Microsoft ликвидировали платформу signspace[.]cloud, которая использовалась для подписания вирусов (malware-signing-as-a-service, MSaaS). Платформа с доступом к сервису Artifact Signing помогала маскировать вирусы под легитимные приложения.
По данным Microsoft Threat Intelligence, за работой платформы стояла группировка Fox Tempest, активная как минимум с мая 2025 года. Злоумышленники при помощи Artifact Signing (сервис для подписания программного обеспечения) выпускали поддельные сертификаты подписи кода, которые действовали около 72 часов. Этого времени хватало для обхода защитных систем Windows.
Как объясняют в Microsoft Threat Intelligence, хакеры загружали вредоносные файлы на платформу, после чего получали уже подписанные программы. Такие программы маскировались под популярные приложения, такие как Microsoft Teams, AnyDesk, PuTTY или Cisco Webex. После запуска они устанавливали на устройство загрузчик (например, Oyster), который затем разворачивал шифровальщик (например, Rhysida). По оценке Microsoft, участники Fox Tempest создали более 1000 сертификатов подписи, а также сотни аккаунтов в Azure. На данный момент все выявленные сертификаты злоумышленников аннулированы.
Сервис signspace[.]cloud связывают с распространением вредоносного ПО Oyster, Lumma Stealer и Vidar, а также с атаками шифровальщиков Rhysida, Akira, INC, Qilin и BlackByte. Среди клиентов платформы назывались группировки Vanilla Tempest, Storm-0501, Storm-0249 и Storm-2561. Услугу продвигали через Telegram-канал, стоимость доступа составляла от $5000 до $9000 в биткоинах.
Microsoft совместно с подразделением Digital Crimes Unit и отраслевыми партнёрами изъяла домен signspace[.]cloud, отключила сотни виртуальных машин, связанных с работой сервиса, и ограничила доступ к ресурсам, где размещался его исходный код. Также подан иск в окружной суд Южного округа Нью-Йорка.
