Tin tức bảo mật về Fox Tempest cho thấy một mô hình malware-signing-as-a-service (MSaaS) đã bị lợi dụng để phát hành mã độc có chữ ký số hợp lệ, qua đó vượt qua nhiều lớp kiểm soát an toàn thông tin. Hoạt động này khai thác hạ tầng Microsoft Artifact Signing để tạo các chứng chỉ ký mã tin cậy cho payload độc hại.
MSaaS Và Cơ Chế Lạm Dụng Chữ Ký Số
Fox Tempest vận hành một nền tảng MSaaS cho phép khách hàng tải lên tệp độc hại và nhận lại các binary đã được ký số. Dịch vụ này tận dụng Microsoft’s Artifact Signing service, trước đây là Azure Trusted Signing, để cấp chứng chỉ ký mã có thời hạn ngắn, tối đa 72 giờ.
Với chữ ký số hợp lệ, malware có thể trông như một ứng dụng đáng tin cậy. Điều này làm tăng khả năng vượt qua cơ chế phát hiện xâm nhập, lọc danh tiếng tệp và một số kiểm soát bảo mật mạng dựa trên trust chain.
Hạ tầng Và Quy Trình Hoạt Động
Nền tảng này từng sử dụng signspace[.]cloud làm giao diện để khách hàng upload tệp và nhận binary đã ký. Trong giai đoạn đầu 2026, hạ tầng được mở rộng bằng cách cung cấp các virtual machine (VM) cấu hình sẵn trên bên thứ ba.
Các VM này cho phép đưa payload trực tiếp vào môi trường kiểm soát, sau đó dùng script tự động và file cấu hình như metadata.json cùng PowerShell scripts để thực hiện ký mã hàng loạt. Cách triển khai này giúp rút ngắn quy trình và tăng hiệu quả vận hành của mối đe dọa mạng này.
Tin Tức An Ninh Mạng Về Hạ Tầng Bị Triệt Phá
Vào tháng 5/2026, Microsoft Digital Crimes Unit (DCU) phối hợp cùng Resecurity đã làm gián đoạn hạ tầng của nhóm, đồng thời thu hồi hơn 1.000 chứng chỉ gian lận liên quan đến chiến dịch. Microsoft Threat Intelligence đã theo dõi Fox Tempest từ tháng 9/2025 và xác định đây là một mắt xích hỗ trợ trong hệ sinh thái ransomware, thay vì là tác nhân tấn công trực tiếp.
Microsoft cho biết nhóm này đã tạo hàng trăm Azure tenants và subscriptions để phục vụ vận hành, đồng thời phát hành hàng nghìn chứng chỉ ở quy mô lớn. Thông tin chi tiết từ Microsoft có thể tham khảo tại: Microsoft Security Blog.
Tác Động Của Lỗ Hổng Tin Cậy Trong Chuỗi Ký Mã
Đây không phải lỗ hổng CVE theo nghĩa truyền thống, mà là việc lạm dụng cơ chế tin cậy của dịch vụ ký mã để hỗ trợ tấn công mạng. Khi binary độc hại được ký bằng chứng chỉ hợp lệ, nạn nhân có thể tải và thực thi tệp mà không nghi ngờ.
Các tác động chính gồm:
- Vượt qua kiểm soát bảo mật dựa trên chữ ký số hoặc reputation.
- Chiếm quyền thực thi thông qua installer giả mạo phần mềm phổ biến.
- Tăng độ tin cậy giả cho payload phục vụ xâm nhập trái phép.
- Hỗ trợ triển khai ransomware ở giai đoạn sau của chuỗi tấn công.
Đánh Giá Rủi Ro Bảo Mật
Fox Tempest được mô tả là một dịch vụ thương mại, thu phí từ 5.000 đến 9.000 USD cho mỗi lần ký mã độc. Việc quản lý truy cập qua Telegram và biểu mẫu trực tuyến, cùng ưu tiên cho khách hàng trả phí cao, làm giảm rào cản tham gia cho các tác nhân kém tinh vi.
Cơ chế này làm gia tăng rủi ro an toàn thông tin vì nhiều nhóm có thể mua dịch vụ ký mã thay vì tự xây dựng chuỗi phát tán. Từ góc độ threat intelligence, đây là mô hình cung cấp năng lực tấn công theo yêu cầu, không phụ thuộc vào một cuộc xâm nhập đơn lẻ.
Chuỗi Tấn Công Và Phần Mềm Liên Quan
Một chuỗi tấn công được quan sát bắt đầu từ bộ cài Microsoft Teams bị trojan hóa, được phát tán qua malvertising. Khi người dùng tải và chạy bộ cài giả mạo, một binary đã ký sẽ triển khai Oyster backdoor, tạo điều kiện cho persistence, liên lạc command-and-control (C2) và sau đó là phát tán ransomware.
Fox Tempest-signed malware đã được liên hệ với nhiều họ mã độc và chiến dịch thực tế, bao gồm Rhysida ransomware, Lumma Stealer, Vidar infostealer và Oyster (Broomstick) backdoor. Các chiến dịch này cho thấy chữ ký số hợp lệ có thể được dùng để che giấu payload trong nhiều giai đoạn khác nhau của xâm nhập mạng.
Liên Kết Với Hệ Sinh Thái Ransomware
Phân tích giao dịch tiền mã hóa cho thấy Fox Tempest có liên quan chặt chẽ đến các đơn vị liên kết ransomware đứng sau những họ như Qilin, Akira và INC. Doanh thu được ghi nhận lên tới hàng triệu USD.
Điều này cho thấy MSaaS không chỉ là dịch vụ hỗ trợ kỹ thuật, mà là một phần của chuỗi cung ứng mã độc tống tiền. Việc triệt phá hạ tầng dịch vụ làm giảm khả năng phân phối malware đáng tin cậy ở quy mô lớn.
IOC Liên Quan Đến Fox Tempest
Các IOC được công bố trong hoạt động này gồm:
- Domain: signspace[.]cloud
Thông tin về SHA-1 certificate fingerprints và SHA-256 file hashes đã được đề cập trong nguồn gốc, nhưng giá trị cụ thể không được cung cấp trong dữ liệu đầu vào.
Giảm Thiểu Rủi Ro Từ Mã Độc Đã Ký Số
Microsoft khuyến nghị tổ chức giảm mức phơi nhiễm trước việc lạm dụng chữ ký số bằng cách tăng cường kiểm soát nhận dạng, giám sát chứng chỉ và rà soát hành vi ký mã. Đây là biện pháp cần thiết để phát hiện xâm nhập sớm khi payload có vẻ hợp lệ về mặt tin cậy.
Trong thực tế vận hành, các biện pháp sau thường cần được duy trì đồng thời:
- Kiểm tra nguồn gốc và vòng đời chứng chỉ ký mã.
- Giám sát binary mới xuất hiện có chữ ký số bất thường.
- Đối chiếu installer với hash và kênh phát hành chính thức.
- Phân tích hành vi thực thi thay vì chỉ dựa vào trust status.
Ví Dụ Kiểm Tra Tệp Ký Số Trên CLI
Trong môi trường điều tra nội bộ, có thể dùng lệnh dưới đây để xem thông tin chữ ký của một file trên Windows:
Get-AuthenticodeSignature .\sample.exe | Format-List *Với Linux hoặc hệ thống phân tích mẫu, nên đối chiếu hash và metadata của tệp trước khi cho phép thực thi, đặc biệt khi nguồn phát tán liên quan đến cuộc tấn công mạng sử dụng installer giả mạo.
Microsoft đã công bố báo cáo về chiến dịch này tại: Exposing Fox Tempest: A Malware Signing Service Operation.
