ميكروسوفت طيحات خدمة Fox Tempest لتوقيع البرمجيات الخبيثة اللي نشرات الـ ransomware فالعالم كامل

ميكروسوفت طيحات خدمة Fox Tempest لتوقيع البرمجيات الخبيثة اللي نشرات الـ ransomware فالعالم كامل

خلاصة ميكروسوفت حبسات واحد العملية ديال malware-signing-as-a-service اللي كانت كتديرها Fox Tempest، وهادشي عبر الحصول بطريقة احتيالية على شهادات توقيع الكود من نظام Artifact Signing ديال ميكروسوفت براسها. هاد العملية، اللي كانت خدامة من ماي 2025، كانت كتبيع خدمات التوقيع بثمن كيتراوح بين 5,000 و 9,000 دولار، وخلات عائلات ديال الـ ransomware وبرمجيات خبيثة بحال Rhysida، Oyster، Lumma Stealer، و Vidar توصل لآلاف الأجهزة فالعالم كامل. هاد العملية ديال التوقيف، اللي تسمات OpFauxSign، شملات الحجز على الموقع signspace[.]cloud وتسديد المئات ديال الـ virtual machines.

أشنو واقع

Fox Tempest كانت كتدير منصة ديال malware-signing-as-a-service (MSaaS) اللي استغلات نظام Artifact Signing ديال ميكروسوفت — واللي هو حل مشروع لتوقيع الكود خاص بـ المطورين — باش تولد شهادات توقيع (certificates) احتيالية ولكن صحيحة. على حساب ميكروسوفت، فاعل التهديد غالبا استعمل هويات مسروقة من ميريكان وكندا باش يدوز من عمليات التحقق من الهوية ديال ميكروسوفت وياخد بيانات اعتماد رقمية مشروعة للتوقيع.

موقع SignSpace، اللي كان كيحتضن هاد الخدمة، كان كيخلي الكليان اللي كيخلصو يرفعو ملفات خبيثة باش يوقعوها باستعمال شهادات جابتها Fox Tempest بطريقة احتيالية. الشهادات اللي تخرجات بهاد الطريقة كانت الصلاحية ديالها كتدوم غير 72 ساعة، وهاد المدة القصيرة تدارت باش تنقص من فرص الاكتشاف. الخدمة كان الثمن ديالها طايح بين 5,000 و 9,000 دولار لكل استعمال.

ملي كيوقعو البرمجيات الخبيثة بهاد الشهادات الاحتيالية ولكن الصحيحة من الناحية التشفيرية، مهاجمين كيقدارو يبيّنو الكود الخبيث ديالهم بحال يلا مشروع وموثوق بالنسبة لأنظمة الحماية ديال الـ endpoints والمستخدمين. هاد الخدمة مكنات من توزيع برمجيات خبيثة كتنتحل صفة تطبيقات معروفة بحال AnyDesk، Microsoft Teams، PuTTY، و Cisco Webex.

ابتداء من فبراير 2026، Fox Tempest بدلات الموديل ديال الخدمة ديالها وبدات كتعطي للكليان آلات افتراضية (virtual machines) مكونفيڭرية من قبل ومستضافة فـ Cloudzy. هاد التطور فالبنية التحتية خلاهم يقدرو يرفعو الملفات الخبيثة مباشرة للأنظمة اللي كيتحكم فيها المهاجم ويرجعو لـ binaries موقعين، وهادشي سهل المأمورية على الكليان وحسن من الأمن العملياتي ديال فاعل التهديد.

عملية التوقيف ديال ميكروسوفت، اللي خدات الكود OpFauxSign، تضمنت الحجز على الموقع signspace[.]cloud، تطييح المئات ديال الـ virtual machines اللي كانت كتخدم فهاد العملية، وبلوكاج ديال الوصول للبنية التحتية اللي كتستاضف الكود الأساسي. Steven Masada، المساعد ديال المستشار القانوني العام فـ وحدة الجرائم الرقمية ديال ميكروسوفت، أكد هاد الإجراء. ميكروسوفت حتى هي حبسات الحسابات الاحتيالية اللي عندها علاقة بـ Fox Tempest ولغات الشهادات اللي تخادو بطريقة غير قانونية.

علاش هادشي مهم

شهادات توقيع الكود كيتعتابرو ركيزة أساسية ديال الثقة فتوزيع السوفتوير. ملي شهادات مشروعة كتوقع كود خبيث، الأنظمة ديال EDR (endpoint detection and response)، والرسائل ديال UAC (user access control)، والقرارات ديال المستخدم كيقدر يتم التحايل عليها. المدافعين ما كيبقاوش قادرين يفرقو بين سوفتوير مشروع وموقع وبين برمجيات خبيثة موقعة بالاعتماد غير على صحة التوقيع بوحدو.

هاد العملية ربطات Fox Tempest بواحد الـ ecosystem كبير ديال الـ ransomware. العلاقات المؤكدة كتشمل فاعل التهديد اللي كيخدمو بـ ransomware بحال Rhysida، INC، Qilin، BlackByte، و Akira، بالإضافة للمشغلين ديال برمجيات خبيثة بحال Oyster، Lumma Stealer، و Vidar. الهجمات استهدفات قطاعات الصحة، التعليم، الحكومة، والخدمات المالية فـ ميريكان، فرنسا، الهند، والشينوا.

بالنسبة لمحللي الـ SOC والمدافعين فمنطقة الشرق الأوسط وشمال إفريقيا (MENA)، هاد التوقيف كينقص من واحد المتجه ديال الهجوم (attack vector) ولكن ما كيقضيش على الموديل ديال التهديد الأساسي: المهاجمين غادي يبقاو يقلبو على طرق باش ياخدو أو يزورو بيانات اعتماد التوقيع الصحيحة. خاص المؤسسات تراجع أنظمة التحقق من سمعة الملفات وصحة التوقيع، وتفترض بلي صحة التوقيع بوحدها ما كتعنيش بلي الملف آمن.

الأنظمة المتضررة والـ CVEs

• Microsoft Artifact Signing (اللي كانت سميتها Azure Trusted Signing)
• AnyDesk (تنتحلات صفتو ببرمجيات خبيثة موقعة)
• Microsoft Teams (تنتحلات صفتو ببرمجيات خبيثة موقعة)
• PuTTY (تنتحلات صفتو ببرمجيات خبيثة موقعة)
• Cisco Webex (تنتحلات صفتو ببرمجيات خبيثة موقعة)
• Cloudzy (مزود خدمات استضافة الـ VM اللي استعملاتو Fox Tempest)
• Rhysida ransomware (توزع عبر برمجيات خبيثة موقعة)
• برمجيات خبيثة Oyster / Broomstick / CleanUpLoader
• برمجية Lumma Stealer الخبيثة
• برمجية Vidar الخبيثة
• INC ransomware
• Qilin ransomware
• BlackByte ransomware
• Akira ransomware

ما كاين حتى CVE مخصص لحدود وقت النشر.

أشنو خاصك دير

• راجعو ضوابط التحقق من الـ code-signing certificates، وعاونو عملية التأكد من التوقيع بأنظمة اكتشاف إضافية كتعتامد على السمعة (reputation) والسلوك (behavior).
• راقبو الـ binaries اللي موقعين بشهادات خرجات بين ماي 2025 وتاريخ التوقيف؛ وحيدو الثقة (revoke trust) من أي شهادات عندها علاقة بالحسابات الاحتيالية ديال Fox Tempest.
• قارنو مؤشرات الاختراق (IoCs) اللي نشراتها ميكروسوفت مع الـ logs ديال الشبكة، الداتا ديال الـ EDR (telemetry)، وأنظمة مراقبة تكامل الملفات (FIM).
• طبقو سياسات ديال الـ whitelisting للتطبيقات اللي ما كتعتامش غير على صحة توقيع الكود بوحدها.
• بالنسبة للمؤسسات فالقطاعات المستهدفة (الصحة، التعليم، الحكومة، والخدمات المالية) فـ ميريكان، فرنسا، الهند، والشينوا، خاصهم يديرو مراجعات ديال الاستجابة للحوادث (incident response) باش يعرفو واش كاين شي برمجيات خبيثة موقعة وصلاتهم أو تخدمات عندهم.
• راجعو الـ logs ديال الوصول الإداري فالاشتراكات ديال Azure باش تكتشفو إلا كاين شي طلبات توليد شهادات ما مصرحش بيها.

أسئلة باقة مطروحة

• المصدر ما حددش العدد الإجمالي ديال الأجهزة والشبكات اللي تخترقات، واكتفى بذكر "الآلاف".
• الهويات المسروقة المحددة اللي استعملاتها Fox Tempest باش تاخد بيانات اعتماد احتيالية ما تذكراتش بالسمية.
• اللائحة الكاملة ديال عائلات البرمجيات الخبيثة اللي توزعات بهاد الخدمة ما تعطاتش؛ تم تأكيد غير Rhysida، Oyster، Lumma Stealer، Vidar، INC، Qilin، BlackByte، و Akira.
• الهوية ديال "المصدر المتعاون" اللي عاون ميكروسوفت تشري وتجرب الخدمة بين فبراير ومارس 2026 ما تذكراتش.
• الحالة العملياتية الحالية ديال Fox Tempest من بعد هاد التوقيف ما محدداش.
• التوزيع الجغرافي ديال الهجمات من غير الدول الأربعة اللي تم ذكرها (ميريكان، فرنسا، الهند، الشينوا) ما معطيينش فيه تفاصيل.

المصدر

Microsoft Takes Down Malware-Signing Service Behind Ransomware Attacks