أعلنت وحدة Microsoft Threat Intelligence عن إلغاء أكثر من 200 شهادة رقمية موقعة بطريقة احتيالية استخدمتها جهة تهديد لنشر ملفات Teams مزيفة تحتوي على برمجيات خبيثة تفتح أبواباً خلفية وتثبت برامج فدية.
اكتشفت مايكروسوفت الحملة التي أطلقت عليها اسم Vanilla Tempest، وتعرف أيضاً في أوساط الأمن السيبراني باسم Vice Spider وVice Society، في أواخر سبتمبر. وتعتقد أن الجهة المنفذة ذات دافع مالي وتركز على نشر برامج الفدية وسرقة البيانات بهدف الابتزاز.
استغل الهجوم ملفات تثبيت مزيفة لبرنامج Teams تحمل الاسم MSTeamsSetup.exe لنشر باب خلفي يعرف باسم Oyster قبل تنفيذ برنامج الفدية Rhysida. كما استخدمت المجموعة نسخاً أخرى من برمجيات الفدية مثل BlackCat وQuantum Locker وZeppelin في حملات سابقة.
واعتمد المهاجمون على أساليب تسميم نتائج البحث وتقنيات الإعلانات الخبيثة لاستدراج المستخدمين إلى مواقع تحاكي الصفحات الرسمية لمايكروسوفت، من بينها النطاقات teams-download.buzz وteams-install.run وteams-download.top، حيث جرى توزيع الملفات المزيفة.
وأكدت مايكروسوفت أن Vanilla Tempest بدأت دمج برمجية Oyster في هجماتها منذ يونيو 2025، لكنها شرعت في توقيع الملفات المزيفة رقمياً ابتداء من سبتمبر باستخدام خدمات توقيع الشيفرات من جهات موثوقة مثل Trusted Signing وSSL.com وDigiCert وGlobalSign.
وأوضحت الشركة أن Microsoft Defender Antivirus قادر على اكتشاف هذا التهديد ومنعه في حال تفعيله الكامل، في حين يقدم Microsoft Defender for Endpoint إرشادات إضافية للتحقيق والاستجابة.
وتشير سجلات الأمن إلى أن Vanilla Tempest تنشط منذ عام 2021، وقد ربطت في عام 2023 ببرمجية Rhysida بعد سلسلة هجمات استهدفت قطاع الرعاية الصحية في الولايات المتحدة، كما نفذت في 2022 حملات فدية واسعة ضد مؤسسات تعليمية في بريطانيا والولايات المتحدة.
