Selon Microsoft, plus de 200 certificats numériques exploités par le groupe Vanilla Tempest (également suivi comme VICE SPIDER et Vice Society) ont été révoqués, ce qui a perturbé une campagne en cours mise au jour fin septembre.
Les acteurs menaçants usurpaient des installations de Microsoft Teams afin d’infiltrer des réseaux d’entreprise et de déployer du ransomware. L’opération met en évidence l’évolution des tactiques des opérateurs de ransomware, qui détournent des logiciels à l’apparence légitime pour contourner les défenses de sécurité. 🚨
Points clés:
- Action: révocation par Microsoft de 200+ certificats abusés 🔒
- Groupe: Vanilla Tempest (VICE SPIDER / Vice Society)
- Leur méthode: usurpation d’installations Microsoft Teams pour l’accès initial
- But: déploiement de ransomware au sein de réseaux d’entreprise
- Contexte temporel: campagne dévoilée fin septembre, désormais perturbée
TTPs observés:
- Usurpation d’applications légitimes (Microsoft Teams) pour le social engineering et l’accès initial
- Abus de certificats numériques afin de donner une apparence légitime aux composants malveillants
- Contournement des défenses via des logiciels à l’apparence légitime
- Déploiement de ransomware après l’infiltration
Il s’agit d’une annonce d’incident visant à informer de la révocation de certificats et de la perturbation d’une campagne de ransomware, en mettant en lumière les tactiques employées par le groupe.
🔗 Source originale : https://cybersecuritynews.com/vanilla-tempest-fake-teams-file/amp/