- مايكروسوفت تفسد عملية فاكس تمبست التي استخدمت توقيع أرتيفكت أزور لإصدار شهادات توقيع مزيفة
- أنشأت المجموعة أكثر من 1000 شهادة ومئات من مستأجري أزور، مما مكن حملات البرامج الخبيثة من تجاوز ضوابط الأمان
- تم بدء الإجراءات القانونية ضد فاكس تمبست وفانيلا تمبست، الذين دعمت خدماتهم توزيع برامج خبيثة ورانسوموير رئيسية
مايكروسوفت قد أغلقت خدمة خبيثة عرضت شهادات موقعة رقميًا للهاكرز، وبدأت قضية قانونية ضد مرتكبي العملية.
في تقريرها ذكرت الشركة أن جهة تهديد معروفة باسم فاكس تمبست استخدمت توقيع أرتيفكت أزور لإنشاء شهادات مؤقتة. سمحت هذه الشهادات بتوقيع البرامج الضارة على أنها برمجيات شرعية، مما سهل تجاوز الحمايات من الفيروسات وتأمين أجهزة الضحايا.
للوصول إلى الخدمة، زعم أن المخالفين استخدموا هويات مختلفة، مسروقة من أشخاص في الولايات المتحدة وكندا. للحد من فرص اكتشافهم، قاموا بإنشاء شهادات كانت صالحة فقط لمدة 72 ساعة – ومع ذلك، خلال عملهم، أنشأ المعتدون أكثر من 1000 شهادة، بالإضافة إلى مئات من مستأجري واشتراكات أزور.
عملاء بارزين
“أنشأت فاكس تمبست أكثر من ألف شهادة وأقامت مئات من مستأجري واشتراكات أزور لدعم عملياتها. قالت مايكروسوفت في التقرير إنها ألغت أكثر من ألف شهادة توقيع برمجيات تنسب إلى فاكس تمبست.”
“في مايو 2026، قامت وحدة الجرائم الرقمية في مايكروسوفت (DCU)، بدعم من الشركاء في الصناعة، بتعطيل عرض MSaaS الخاص بفايكس تمبست، مستهدفة البنية التحتية ونموذج الوصول الذي يمكّن من استخدامها الإجرامي الأوسع.”
كجزء من جهود الإغلاق، استولت مايكروسوفت على نطاق signspace[dot]com، بالإضافة إلى مئات من الآلات الافتراضية. كما قامت بإغلاق الوصول إلى البنية التحتية التي استضافت الخدمة بالكامل.
BleepingComputer تلاحظ بعض من أكبر حملات البرامج الخبيثة وفدية التي استخدمت خدمات فاكس تمبست، بما في ذلك LummaStealer وVidar وQilin وBlackByte وAkira. تم تسمية فانيلا تمبست كشريك متآمر في الإجراءات القانونية، كما تم الإشارة، لأنه يُزعم أنه وزع كل من برامج خبيثة ورانسوموير.
تضمنت بعض التطبيقات المزيفة الموزعة بهذه الطريقة فرق العمل وAnyDesk وWebex.
“عندما قام الضحايا غير المشتبه بهم بتنفيذ ملفات تثبيت مايكروسوفت تييم المزيفة، أدت تلك الملفات إلى تسليم محمّل خبيث، والذي بدوره قام بتثبيت البرامج الخبيثة الموقعة بشكل احتيالي Oyster ونشر رانسوموير Rhysida في نهاية المطاف،” قالت مايكروسوفت.
“لأن البرامج الضارة Oyster كانت موقعة بواسطة شهادة من خدمة توقيع أرتيفكت التابعة لمايكروسوفت، فإن نظام التشغيل في ويندوز اعترف في البداية بالبرمجيات الضارة على أنها برمجيات شرعية، في حين كان سيتم تصنيفها عموماً كمشبوهة أو محظورة بالكامل من قبل ضوابط الأمان في نظام التشغيل ويندوز.”
