Microsoft đã thành công trong việc ngăn chặn một chiến dịch tấn công mạng lớn do nhóm tác nhân đe dọa Vanilla Tempest thực hiện vào đầu tháng 10 năm 2025.

Gã khổng lồ công nghệ đã thu hồi hơn 200 chứng chỉ giả mạo mà các tội phạm mạng đã sử dụng để ký các tệp cài đặt Microsoft Teams giả mạo. Các tệp này được thiết kế để phân phối backdoor Oyster và cuối cùng triển khai mã độc ransomware Rhysida trên các hệ thống nạn nhân.

Chiến dịch Tấn công mạng của Vanilla Tempest và Cơ chế Hoạt động

Vào đầu tháng 10 năm 2025, Microsoft đã phá vỡ chiến dịch của Vanilla Tempest bằng cách thu hồi hơn 200 chứng chỉ mà nhóm này đã ký giả mạo.

Những chứng chỉ này được dùng trong các tệp cài đặt Teams giả mạo để lén lút đưa backdoor Oyster vào hệ thống, với mục tiêu cuối cùng là triển khai mã độc ransomware Rhysida và thực hiện tấn công mạng quy mô lớn.

Các nhà nghiên cứu bảo mật của Microsoft đã phát hiện chiến dịch Vanilla Tempest này vào cuối tháng 9 năm 2025.

Việc phát hiện được thực hiện sau nhiều tháng theo dõi các hoạt động đáng ngờ liên quan đến các tệp nhị phân được ký giả mạo.

Hồ sơ Nhóm Tác nhân Đe dọa: Vanilla Tempest

Vanilla Tempest hoạt động như một nhóm tội phạm mạng có động cơ tài chính.

Nhóm này còn được các nhà cung cấp bảo mật khác theo dõi dưới các tên gọi VICE SPIDER và Vice Society.

Tác nhân đe dọa này chuyên về việc triển khai ransomware và đánh cắp dữ liệu nhạy cảm cho mục đích tống tiền.

Trong suốt lịch sử hoạt động của mình, chúng đã sử dụng nhiều biến thể ransomware khác nhau, bao gồm BlackCat, Quantum Locker và Zeppelin.

Gần đây, Vanilla Tempest chủ yếu tập trung vào việc triển khai ransomware Rhysida.

Phân tích Chuỗi Tấn công

Kỹ thuật Social Engineering và SEO Poisoning

Chiến dịch tấn công mạng này dựa vào các kỹ thuật kỹ thuật xã hội (social engineering) tinh vi để lừa người dùng tải xuống phần mềm độc hại.

Vanilla Tempest đã tạo ra các tệp MSTeamsSetup.exe giả mạo và lưu trữ chúng trên các tên miền gian lận, sao chép chặt chẽ các trang web Microsoft Teams hợp pháp.

Các tên miền này bao gồm teams-download[.]buzz, teams-install[.]run, và teams-download[.]top.

Các nhà nghiên cứu bảo mật tin rằng các nạn nhân tiềm năng đã được dẫn đến các trang tải xuống độc hại này thông qua kỹ thuật SEO poisoning (đầu độc tối ưu hóa công cụ tìm kiếm).

Đây là một kỹ thuật thao túng kết quả tìm kiếm để hiển thị các liên kết độc hại một cách nổi bật.

Cơ chế Triển khai Backdoor Oyster

Khi nạn nhân thực thi các tệp cài đặt Microsoft Teams giả mạo, mã độc sẽ phân phối một trình tải (loader).

Trình tải này sau đó cài đặt backdoor Oyster được ký giả mạo trên hệ thống của họ.

Điều tra cho thấy Vanilla Tempest bắt đầu đưa Oyster vào các chiến dịch tấn công mạng của mình sớm nhất là từ tháng 6 năm 2025.

Tuy nhiên, chúng chỉ bắt đầu ký giả mạo các backdoor này vào đầu tháng 9 năm 2025.

Lạm dụng Dịch vụ Ký mã (Code Signing Abuse)

Để làm cho phần mềm độc hại của chúng trông có vẻ hợp pháp, Vanilla Tempest đã khai thác nhiều dịch vụ ký mã đáng tin cậy.

Các tác nhân đe dọa đã được quan sát sử dụng dịch vụ Trusted Signing của Microsoft, cùng với các chứng chỉ từ SSL[.]com, DigiCert và GlobalSign.

Việc lạm dụng này nhằm mục đích ký giả mạo cả các trình cài đặt giả mạo và các công cụ hậu thỏa hiệp.

Triển khai Mã độc Ransomware Rhysida

Mục tiêu cuối cùng của chuỗi tấn công mạng này là triển khai mã độc ransomware Rhysida.

Rhysida là một biến thể ransomware khét tiếng, thường nhắm vào các tổ chức để mã hóa dữ liệu và đòi tiền chuộc lớn. Các tổ chức cần nhận thức rõ về mức độ đe dọa của loại ransomware này. Thông tin chi tiết về Rhysida ransomware có thể tham khảo từ CISA: CISA Alert AA23-339A.

Việc sử dụng ransomware cao cấp như Rhysida nhấn mạnh sự tinh vi trong các chiến dịch của Vanilla Tempest.

Biện pháp Phản ứng và Bảo vệ của Microsoft

Microsoft đã thực hiện các hành động nhanh chóng bằng cách không chỉ thu hồi các chứng chỉ độc hại mà còn đảm bảo rằng Microsoft Defender Antivirus có thể phát hiện các tệp cài đặt giả mạo, backdoor Oyster và ransomware Rhysida.

Ngoài ra, Microsoft Defender for Endpoint hiện xác định các chiến thuật, kỹ thuật và quy trình (TTPs) cụ thể được Vanilla Tempest sử dụng trong các cuộc tấn công của chúng.

Microsoft nhấn mạnh rằng Microsoft Defender Antivirus được kích hoạt đầy đủ sẽ chặn thành công mối đe dọa này.

Công ty cũng đã cung cấp hướng dẫn bổ sung thông qua Microsoft Defender for Endpoint để giúp các tổ chức giảm thiểu và điều tra tấn công mạng này.

Trong khi chia sẻ rằng các biện pháp bảo vệ này đảm bảo an toàn cho khách hàng của mình, Microsoft đã công bố thông tin tình báo về mối đe dọa này một cách công khai. Điều này nhằm mục đích tăng cường khả năng phòng thủ an ninh mạng trên toàn cộng đồng bảo mật rộng lớn hơn.

Chỉ số Thỏa hiệp (Indicators of Compromise – IOCs)

Các chỉ số thỏa hiệp sau đây liên quan đến chiến dịch tấn công mạng của Vanilla Tempest:

• Tên miền độc hại:
• teams-download[.]buzz
• teams-install[.]run
• teams-download[.]top

Các tổ chức cần cảnh giác và tăng cường an ninh mạng để phòng tránh các cuộc tấn công tương tự, kiểm tra kỹ lưỡng các nguồn tải xuống phần mềm và đảm bảo các hệ thống bảo mật luôn được cập nhật.