### Fox Tempest's bösartiger Dienst **Microsoft** gab die Unterbrechung von **Fox Tempest** bekannt, einem Bedrohungsakteur, der seit Mai 2025 einen Malware-Signatur-as-a-Service (MSaaS)-Betrieb anbot. Dieses Schema ermöglichte es Cyberkriminellen, Malware als legitime Software zu tarnen, indem sie betrügerisch erworbene Code-Signing-Zertifikate verwendeten. "Um den Dienst zu unterbinden, haben wir die Website von **Fox Tempest**, signspace[.]cloud, beschlagnahmt, Hunderte der virtuellen Maschinen, die den Betrieb ausführen, offline genommen und den Zugriff auf eine Website blockiert, die den zugrunde liegenden Code hostete", sagte Steven Masada, stellvertretender General Counsel der Digital Crimes Unit von **Microsoft**. ### Bereitstellung von Ransomware und Malware Die Operation erleichterte die Bereitstellung von **Rhysida**-Ransomware durch Bedrohungsakteure wie **Vanilla Tempest** sowie anderer Malware-Familien, darunter **Oyster**, **Lumma Stealer** und **Vidar**. Dies unterstreicht die bedeutende Rolle von **Fox Tempest** im Cybercrime-Ökosystem. Es wurden Verbindungen zwischen dem Bedrohungsakteur und mit prominenten Ransomware-Stämmen wie **INC**, **Qilin**, **BlackByte** und **Akira** in Verbindung stehenden Partnern hergestellt. Diese Angriffe richteten sich gegen das Gesundheitswesen, die Bildung, die Regierung und Finanzdienstleistungen in den USA, Frankreich, Indien und China. ### Missbrauch von Artifact Signing **Artifact Signing** (früher Azure Trusted Signing), die verwaltete Signaturlösung von **Microsoft**, wurde von **Fox Tempest** missbraucht, um kurzlebige, betrügerische Code-Signing-Zertifikate zu generieren. Diese Zertifikate, die nur 72 Stunden gültig waren, ermöglichten es ihnen, vertrauenswürdige, signierte Malware auszuliefern und Sicherheitskontrollen zu umgehen. "Um legitime signierte Zertifikate über **Artifact Signing** zu erhalten, muss der Anfragende detaillierte Identitätsvalidierungsprozesse gemäß den branchenüblichen überprüfbaren Anmeldeinformationen (VC) durchlaufen. Dies deutet darauf hin, dass der Bedrohungsakteur höchstwahrscheinlich gestohlene Identitäten aus den Vereinigten Staaten und Kanada verwendet hat, um sich als legitime Entität auszugeben und die notwendigen digitalen Anmeldeinformationen für die Signatur zu erhalten", erklärte **Microsoft**. Die SignSpace-Website, die auf **Artifact Signing** basiert, ermöglichte die sichere Dateisignierung über ein Admin-Panel und eine Benutzerseite, wobei Azure-Abonnements, Zertifikate und eine strukturierte Datenbank zur Verwaltung von Benutzern und Dateien genutzt wurden. ### Details und Kosten der Operation Der Dienst ermöglichte es kriminellen Kunden, bösartige Dateien zum Code-Signing hochzuladen, wobei Zertifikate verwendet wurden, die von **Fox Tempest** betrügerisch erworben wurden. Dies ermöglichte es Malware und Ransomware, sich als legitime Software wie AnyDesk, **Microsoft Teams**, PuTTY und **Cisco Webex** auszugeben. Der Dienst wurde zu Preisen zwischen 5.000 und 9.000 US-Dollar angeboten. ### Entwicklung der Infrastruktur Ab Februar 2026 lieferte **Fox Tempest** seinen Kunden vorkonfigurierte virtuelle Maschinen (VMs), die auf **Cloudzy** gehostet wurden, was die Bereitstellung von signierten Binärdateien vereinfachte. Diese Entwicklung reduzierte die Reibungsverluste für die Kunden und verbesserte die operative Sicherheit für **Fox Tempest**. ### Taktiken und Gegenmaßnahmen Bedrohungsakteure wie **Vanilla Tempest** verbreiteten über den Dienst signierte Binärdateien über ordnungsgemäß erworbene Anzeigen und leiteten Benutzer, die nach **Microsoft Teams** suchten, auf gefälschte Download-Seiten um. Dies ebnete den Weg für die Bereitstellung von **Oyster** (auch bekannt als Broomstick oder CleanUpLoader), das **Rhysida**-Ransomware liefert. **Microsoft** hat die Taktiken von **Fox Tempest** aktiv bekämpft, indem es betrügerische Konten deaktiviert und unrechtmäßig erworbene Zertifikate widerrufen hat. Gerichtsunterlagen zeigen, dass **Microsoft** zwischen Februar und März 2026 mit einer "kooperativen Quelle" zusammengearbeitet hat, um den Dienst zu kaufen und zu testen. "Wenn Angreifer bösartige Software legitim aussehen lassen können, untergräbt dies, wie Menschen und Systeme entscheiden, was sicher ist", sagte **Microsoft**. "Die Unterbrechung dieser Fähigkeit ist entscheidend, um die Kosten für Cyberkriminalität zu erhöhen."