HackerangriffeRansomwareCyberkriminalität

Microsoft zerschlägt Malware-Signier-Service: Fox Tempest Cybercrime-Operation aufgelöst

Von CyberDeutsch Redaktion
Microsoft zerschlägt Malware-Signier-Service: Fox Tempest Cybercrime-Operation aufgelöst
Zusammenfassung

Microsoft hat eine kriminelle Malware-Signing-Operation zerschlagen, die die Artifact Signing-Plattform des Unternehmens missbrauchte, um gefälschte Code-Signaturzertifikate zu erstellen. Die von Microsoft als Fox Tempest bezeichnete Bedrohungsgruppe nutzte den Cloud-Service, um über 1.000 Zertifikate zu generieren, mit denen Malware als legitime Software getarnt werden konnte. Diese signierten Schadprogramme wurden dann von bekannten Ransomware-Gruppen wie Rhysida, Akira und BlackByte in Angriffen weltweit eingesetzt. Die Kriminellen gaben sich beispielsweise als Microsoft Teams, AnyDesk oder Webex aus und täuschten damit Nutzer und Sicherheitssysteme. Microsoft beschlagnahmte die zentrale Domain signspace[.]cloud und sperrte über tausend Zertifikate. Das illegale Geschäftsmodell soll Millionen Dollar eingebracht haben, mit Preisen zwischen 5.000 und 9.000 Dollar in Bitcoin für den Zugang zur Plattform. Für deutsche Nutzer und Unternehmen ist dies relevant, da die Angriffskampagnen global tätig sind und die Betrugsmasche zeigt, wie Cyberkriminelle legitime Infrastrukturen ausnutzen. Behörden und IT-Verantwortliche sollten verstärkt auf verdächtige, angeblich von bekannten Herstellern stammende Downloads achten.

Die Sicherheitsbedrohung war erheblich: Fox Tempest nutzte Microsofts cloudbasierte Azure Artifact Signing Plattform — ein Dienst, der 2024 eingeführt wurde — systematisch, um tausende gefälschte Code-Signing-Zertifikate zu generieren. Dies ermöglichte es Cyberkriminellen, Malware wie Oyster Stealer oder Lumma Stealer mit vermeintlich echten Microsoft-Zertifikaten zu signieren. Für Betriebssysteme und Nutzer sahen die Dateien damit vollkommen legitim aus. Die technische Raffinesse war bemerkenswert: Fox Tempest erstellte über 1.000 Zertifikate und hunderte Azure-Mandanten sowie -Abonnements. Die Operatoren verwendeten gezielt nur 72-Stunden-gültige Zertifikate, um Erkennungen zu erschweren. Sie gaben sich dabei als legitime Entwickler aus — vermutlich mit gestohlenen Identitäten aus den USA und Kanada.

Die Schäden waren massiv. Zahlreiche Threat-Actor-Gruppen nutzten die Service-Plattform, darunter Vanilla Tempest, Storm-0501, Storm-2561 und Storm-0249. Sie verteilten signierte Malware, die sich als Microsoft Teams, AnyDesk, PuTTY oder Webex ausgab. Ein konkretes Beispiel: Ahnungslose Nutzer luden vermeintlich legitime Microsoft Teams-Installer herunter — diese entpuppten sich als Loader für Oyster-Malware, die wiederum Rhysida-Ransomware nachlud. Das Windows-Betriebssystem erkannte diese Dateien anfangs als vertrauenswürdig an, statt sie zu blockieren.

Microsoft reagierte entschieden: Im Mai 2026 schaltete die Digital Crimes Unit (DCU) gemeinsam mit Partnern die Infrastruktur ab. Die Domain signspace[.]cloud wurde beschlagnahmt, hunderte VMs gingen offline. Über 1.000 Zertifikate wurden widerrufen. Gleichzeitig reichte Microsoft Klage beim U.S. District Court for the Southern District of New York ein. Die Plattform war über einen Telegram-Kanal vermarktet worden, mit Preisen zwischen 5.000 und 9.000 US-Dollar in Bitcoin für Zugang.

Für Unternehmen und Behörden im deutschsprachigen Raum ist die Erkenntnis zentral: Code-Signing-Zertifikate sind nicht automatisch Vertrauensbeweis. Das BSI rät zur Validierung von Softwareherkünften über zusätzliche Kanäle. Betroffene Organisationen müssen ihre Logs prüfen und gegebenenfalls Meldungen einleiten.

Ähnliche Artikel