마이크로소프트 플랫폼을 이용해 악성코드에 서명하던 사이버범죄 서비스 차단
Microsoft는 자사의 Artifact Signing 서비스를 악용해 가짜 코드 서명 인증서를 생성하고 이를 랜섬웨어 조직 및 기타 사이버 범죄자들이 사용하도록 한 악성코드 서명‑as‑a‑service(MSaaS) 운영을 차단했다고 발표했습니다.
Microsoft 위협 인텔리전스가 오늘 발표한 보고서에 따르면, Fox Tempest라는 이름으로 추적되는 위협 행위자는 Microsoft Artifact Signing 플랫폼을 이용해 짧은 수명의 인증서를 만들었으며, 이를 통해 악성코드가 디지털 서명되어 사용자와 운영 체제 모두에서 정품 소프트웨어처럼 신뢰받게 했습니다.
Azure Artifact Signing (이전 명칭 Trusted Signing)은 2024년에 Microsoft가 출시한 클라우드 기반 서비스로, 개발자가 자신의 프로그램을 Microsoft에 의해 서명받을 수 있도록 합니다.
Microsoft는 금전적 동기가 있는 이 위협 행위자가 1,000개 이상의 인증서와 수백 개의 Azure 테넌트 및 구독을 생성했다고 밝혔습니다. 또한 Microsoft는 오늘 **미국 뉴욕 남부 지방법원**에 사이버 범죄 운영을 대상으로 하는 소송을 제기했습니다.
“Fox Tempest는 1천 개가 넘는 인증서를 만들고 수백 개의 Azure 테넌트와 구독을 설립해 운영을 지원했습니다. Microsoft는 Fox Tempest와 연관된 1천 개가 넘는 코드 서명 인증서를 폐기했습니다.” Microsoft가 말했습니다.
“2026년 5월, Microsoft 디지털 범죄 부서(DCU)는 산업 파트너들의 지원을 받아 Fox Tempest의 MSaaS 서비스를 차단했으며, 이는 해당 인프라와 접근 모델을 겨냥해 보다 광범위한 범죄 활용을 방지하기 위한 조치였습니다.”
Microsoft는 서비스에 사용된 signspace.cloud 도메인을 압수하고, 운영과 연결된 수백 대의 가상 머신을 오프라인으로 전환했으며, 사이버 범죄 플랫폼을 호스팅하는 인프라에 대한 접근을 차단했다고 밝혔습니다.
이 사이트는 현재 Microsoft가 운영하는 공지 로 리다이렉트되며, 이는 악성코드 서명‑as‑a‑service 스킴에 대한 소송의 일환으로 도메인 압수를 설명합니다.
이 운영은 Oyster, Lumma Stealer, Vidar와 같은 악성코드 및 Rhysida, Akira, INC, Qilin, BlackByte 랜섬웨어 캠페인과 연관되어 있었습니다. Microsoft는 Vanilla Tempest (INC 랜섬웨어 멤버), Storm‑0501, Storm‑2561, Storm‑0249 등도 서명된 악성코드를 공격에 사용했다고 전했습니다.
Microsoft는 또한 Vanilla Tempest 랜섬웨어 조직을 법적 조치의 공동 공모자로 지목했으며, 이 그룹이 전 세계 조직을 표적으로 하는 공격에서 악성코드와 랜섬웨어를 배포하기 위해 해당 서비스를 이용했다고 밝혔습니다.
이 MaaS는 signspace.cloud를 통해 운영되었으며, 사이버 범죄 고객이 사기성 인증서를 사용해 악성 파일을 업로드하고 코드 서명을 받을 수 있게 했습니다.
Oyster 악성코드 설치 프로그램에 사용된 인증서
출처: Microsoft 고소장
서명된 악성코드 파일은 이후 위협 행위자에 의해 Microsoft Teams, AnyDesk, PuTTY, Webex와 같은 정품 소프트웨어로 위장되어 다운로드의 신뢰성을 높였습니다.
“피해자가 이름이 거짓인 Microsoft Teams 설치 파일을 실행하면, 해당 파일은 악성 로더를 전달하고, 이 로더는 사기성 서명된 Oyster 악성코드를 설치한 뒤 최종적으로 Rhysida 랜섬웨어를 배포합니다.” Microsoft 고소장을 보면 확인할 수 있습니다.
“Oyster 악성코드가 Microsoft Artifact Signing 서비스에서 발급받은 인증서로 서명되었기 때문에, Windows 운영 체제는 처음에 이 악성코드를 정품 소프트웨어로 인식했습니다. 그렇지 않았다면 Windows 보안 제어에 의해 의심스럽거나 완전히 차단되었을 것입니다.”
Microsoft는 운영자들이 미국과 캐나다에서 도난당한 신원을 사용해 Artifact Signing 신원 검증 절차를 통과하고 서명 자격 증명을 얻었을 가능성이 높다고 보고 있습니다.
인증서를 발급받을 때, 위협 행위자는 72시간만 유효한 짧은 수명의 인증서만을 사용해 탐지 위험