**Microsoft** hat eine bedeutende Malware-Signing-as-a-Service (MSaaS)-Operation, die von Bedrohungsakteuren unter der Bezeichnung **Fox Tempest** betrieben wurde, zerschlagen, welche den eigenen **Azure Artifact Signing**-Dienst missbrauchte. Die Operation generierte betrügerische Code-Signing-Zertifikate, die von Ransomware-Gruppen und anderen Cyberkriminellen genutzt wurden. ### Missbrauch von Azure Artifact Signing **Azure Artifact Signing** (früher Trusted Signing) ist ein Cloud-basierter Dienst, der 2024 von **Microsoft** eingeführt wurde und es Entwicklern ermöglicht, ihre Programme einfach zu signieren. **Fox Tempest** nutzte diesen Dienst jedoch aus, um kurzlebige Zertifikate zu erstellen, mit denen Malware digital signiert und sowohl von Benutzern als auch von Betriebssystemen als legitime Software anerkannt wurde. **Microsoft** berichtet, dass der finanziell motivierte Bedrohungsakteur im Rahmen der Operation über 1.000 Zertifikate und Hunderte von **Azure**-Tenants und Abonnements erstellt hat. Außerdem wurde eine Klage beim U.S. District Court for the Southern District of New York eingereicht, die sich gegen die Cybercrime-Operation richtet. "**Fox Tempest** hat über tausend Zertifikate erstellt und Hunderte von **Azure**-Tenants und Abonnements eingerichtet, um seine Operationen zu unterstützen. **Microsoft** hat über tausend Code-Signing-Zertifikate widerrufen, die **Fox Tempest** zugeordnet sind", so **Microsoft**. ### Zerschlagung der MSaaS-Operation Im Mai 2026 hat die Digital Crimes Unit (DCU) von **Microsoft** mit Unterstützung von Industriepartnern das MSaaS-Angebot von **Fox Tempest** zerschlagen und dabei die Infrastruktur und das Zugriffsmodell ins Visier genommen, die die breitere kriminelle Nutzung ermöglichen. **Microsoft** beschlagnahmte die von dem Dienst genutzte Domain signspace[.]cloud, legte Hunderte von virtuellen Maschinen, die mit der Operation verbunden waren, lahm und blockierte den Zugriff auf die Infrastruktur, die die Cybercrime-Plattform beherbergte. Die Website leitet Besucher nun zu einer von **Microsoft** betriebenen Seite weiter, die die Beschlagnahme der Domain im Rahmen einer Klage gegen das Malware-Signing-as-a-Service-Schema erklärt. ### Verbindungen zu Malware und Ransomware Die Operation wurde mit zahlreichen Malware- und Ransomware-Kampagnen in Verbindung gebracht, darunter Oyster, Lumma Stealer, Vidar sowie die Ransomware-Operationen Rhysida, Akira, INC, Qilin und BlackByte. Bedrohungsakteure, darunter Vanilla Tempest (Mitglieder von INC Ransomware), Storm-0501, Storm-2561 und Storm-0249, nutzten die signierte Malware in ihren Angriffen. **Microsoft** nannte auch die Vanilla Tempest-Ransomware-Operation als Mittäter in der Klage und erklärte, dass die Gruppe den Dienst zur Verbreitung von Malware und Ransomware bei Angriffen auf Organisationen weltweit eingesetzt habe. Die MSaaS wurde über signspace[.]cloud betrieben und ermöglichte es kriminellen Kunden, bösartige Dateien zum Code-Signing mit betrügerisch erlangten Zertifikaten hochzuladen.  Diese signierten Malware-Dateien wurden anschließend von Bedrohungsakteuren verwendet, um legitime Software wie **Microsoft Teams**, AnyDesk, PuTTY und Webex zu imitieren und den Downloads Glaubwürdigkeit zu verleihen. "Als ahnungslose Opfer die falsch benannten **Microsoft Teams**-Installationsdateien ausführten, lieferten diese Dateien einen bösartigen Loader, der wiederum die betrügerisch signierte Oyster-Malware installierte und schließlich Rhysida-Ransomware einsetzte", heißt es in der Klageschrift von **Microsoft**. "Da die Oyster-Malware mit einem Zertifikat von **Microsofts Artifact Signing**-Dienst signiert war, erkannte das Windows-Betriebssystem die Malware zunächst als legitime Software an, während sie andernfalls als verdächtig eingestuft oder von den Sicherheitskontrollen des Windows-Betriebssystems vollständig blockiert worden wäre." ### Identitätsdiebstahl und kurzlebige Zertifikate **Microsoft** geht davon aus, dass die Betreiber wahrscheinlich gestohlene Identitäten aus den Vereinigten Staaten und Kanada verwendet haben, um die Identitätsprüfungsanforderungen von Artifact Signing zu erfüllen und die Signierberechtigungen zu erhalten. Bei der Beschaffung von Zertifikaten verwendeten die Bedrohungsakteure Berichten zufolge nur kurzlebige Zertifikate, die 72 Stunden gültig waren, um das Entdeckungsrisiko zu verringern. ### Früherer Missbrauch von Trusted Signing BleepingComputer berichtete bereits im März 2025 über Bedrohungsakteure, die den Trusted Signing-Dienst von **Microsoft** missbrauchten, um Malware für eine Crazy Evil Traffers Krypto-Diebstahl-Kampagne und eine Lumma Stealer-Kampagne zu signieren. Obwohl diese Malware ebenfalls mit 3-Tages-Zertifikaten signiert wurde, ist unklar, ob sie von der **Fox Tempest**-Cybercrime-Plattform signiert wurden. ### Entwicklung der Operationen von Fox Tempest **Microsoft** erläuterte auch, wie **Fox Tempest** seine Operationen Anfang dieses Jahres weiterentwickelte, indem es Kunden vorkonfigurierte virtuelle Maschinen anbot, die über die Cloudzy-Infrastruktur gehostet wurden. Kunden luden Malware in die VM-Umgebungen hoch und erhielten signierte Binärdateien, die mit von **Fox Tempest** kontrollierten Zertifikaten signiert waren. Die Malware-Signing-Plattform wurde auf einem Telegram-Kanal namens "EV Certs for Sale by SamCodeSign" beworben, wobei die Preise für den Zugang zur Plattform zwischen 5.000 und 9.000 US-Dollar in Bitcoin lagen. **Microsoft** gibt an, dass die Operation Gewinne in Millionenhöhe erzielt hat und es sich um eine gut ausgestattete Gruppe handelt, die in der Lage ist, Infrastruktur, Kundenbeziehungen und Finanztransaktionen zu verwalten. [](https://hubs.li/Q048zztN0) ## [The Validation Gap: Automated Pentesting Answers One Question. You Need Six.](https://hubs.li/Q048zztN0) Automatisierte Pentesting-Tools liefern einen echten Mehrwert, aber sie wurden entwickelt, um eine Frage zu beantworten: Kann ein Angreifer sich im Netzwerk bewegen? Sie wurden nicht entwickelt, um zu testen, ob Ihre Kontrollen Bedrohungen blockieren, Ihre Erkennungsregeln ausgelöst werden oder Ihre Cloud-Konfigurationen standhalten. Diese Anleitung behandelt die 6 Bereiche, die Sie tatsächlich validieren müssen. [Jetzt herunterladen](https://hubs.li/Q048zztN0)