概要
Microsoftは、2025年10月上旬に発生したRhysidaランサムウェアによる攻撃の波を阻止しました。同社は、悪意のあるTeamsインストーラーに署名するために使用されていた200以上の証明書を失効させることで、この脅威に対処しました。
攻撃の手口と「Oyster」バックドア
「Vanilla Tempest」として追跡されている脅威グループは、teams-install[.]top、teams-download[.]buzz、teams-download[.]top、teams-install[.]runといったMicrosoft Teamsを模倣したドメインを使用していました。これらのドメインを通じて、偽の「MSTeamsSetup.exe」ファイルを配布し、被害者のシステムを「Oyster」バックドア(別名「Broomstick」および「CleanUpLoader」)に感染させました。
この攻撃は、9月下旬に展開されたマルバタイジングキャンペーンの一環でした。検索エンジン広告とSEOポイズニングを利用して、偽のMicrosoft Teamsインストーラーを拡散し、WindowsデバイスにOysterマルウェアを仕込んでいました。広告と偽のドメインは、Microsoft Teamsのダウンロードサイトを装ったウェブサイトに誘導され、目立つダウンロードリンクをクリックすると、公式インストーラーと同じファイル名である「MSTeamsSetup.exe」がダウンロードされる仕組みでした。
実行されると、悪意のあるTeamsインストーラーはローダーを起動し、署名されたOysterマルウェアを展開しました。これにより、攻撃者は感染したシステムへのリモートアクセスを獲得し、ファイルの窃盗、コマンドの実行、追加の悪意のあるペイロードの投下が可能になりました。
Vanilla Tempestは2025年6月からOysterバックドアを使用しており、2025年9月からはSSL.com、DigiCert、GlobalSignなどのコード署名サービスとTrusted Signingを悪用していました。2023年半ばに初めて確認されたこのマルウェアは、以前のRhysida攻撃でも企業ネットワークへの侵入に使用されており、PuTTYやWinSCPなどのITツールを装ったマルバタイジングを通じて拡散されることが一般的です。
脅威アクター「Vanilla Tempest」の正体
Microsoftによると、Vanilla Tempestは他のセキュリティベンダーによって「VICE SPIDER」や「Vice Society」として追跡されており、金銭的な動機を持つアクターです。彼らはランサムウェアの展開と、恐喝目的でのデータ窃取に焦点を当てています。この脅威アクターは、BlackCat、Quantum Locker、Zeppelinなど様々なランサムウェアペイロードを使用してきましたが、最近では主にRhysidaランサムウェアを展開しています。
Vanilla Tempestは少なくとも2021年6月から活動しており、教育、医療、IT、製造業の各セクターの組織を頻繁に攻撃してきました。Vice Societyとして活動していた頃は、Hello Kitty/Five HandsやZeppelinランサムウェアを含む複数のランサムウェア株を使用していたことで知られています。3年前の2022年9月には、FBIとCISAが共同で、Vice Societyが米国で2番目に大きい学区であるロサンゼルス統一学区(LAUSD)を侵害した後、米国の教育セクターを不均衡に標的にしていると警告する勧告を発行しています。
Microsoftによる対策
Microsoftは、これらの攻撃を阻止するために、悪意のあるTeamsインストーラーに署名するために使用されていた200以上の証明書を失効させるという重要な措置を講じました。これにより、攻撃者が偽のソフトウェアを正規のものとして見せかける能力が大幅に低下しました。