金銭的動機を持つこのグループはMay 2025以来活動しており、Fortinet、Ivanti、Cisco、およびその他のベンダーになりすまして企業の認証情報を盗んでいます。
Microsoftはエンタープライズに対し、サイバー犯罪グループStorm-2561が検索エンジンの結果をハイジャックしてトロイの木馬化したVPNクライアントを配布し、企業の認証情報を盗み、被害者が何か異常に気付く前に痕跡を隠していることを警告しています。
このグループは「Pulse VPN download」または「Pulse Secure client」などのクエリ結果の上位に偽のウェブサイトを押し上げ、ユーザーをGitHubでホストされているデジタル署名されたマルウェアにリダイレクトしています。Microsoft脅威インテリジェンスがアドバイザリで述べています。「このキャンペーンで使用された技術は、脅威アクターが信頼されたプラットフォームとソフトウェアブランディングをどのように継続して利用して、ユーザーの疑いを避け、機密情報を盗んでいるかを示しています」とアドバイザリは述べています。
Microsoft Defender Expertsはこの活動を2026年1月中旬に最初に検出しましたが、脅威アクターはMay 2025以来活動しており、検索エンジン最適化(SEO)ポイズニングとポピュラーなエンタープライズソフトウェアベンダーになりすまし行為によるマルウェア配布で知られています。アドバイザリは述べています。
このキャンペーンはinfostealerがより危険になっているため発生しています。セキュリティ研究者は、infostealerがリモートアクセストロイの木馬と組み合わせることが増加していることに注目しており、攻撃者に単一の感染から盗まれた認証情報と永続的なネットワークアクセスの両方を与えています。Storm-2561はそのパターンを正確に踏襲しています。
攻撃チェーンの内部
Microsoftは、Fortinet、Ivanti、Cisco、SonicWall、Sophos、Checkpoint、およびWatchGuardになりすまし、vpn-fortinet[.]comおよびivanti-vpn[.]orgの2つのドメインがGitHubで悪意のあるZIPファイルをホストしているという偽のページを観察しました。アドバイザリは述べています。
マルウェア自体はWindows Installerパッケージを含むZIPファイルとして到着します。ユーザーがダウンロードされたインストーラーを起動すると、偽のPulse Secureアプリケーションが正当なPulse Secureインストールパスに密接に模倣したディレクトリにドロップされます。Microsoftは述べています。
「このインストールパスは正当なVPNソフトウェアと混在して信頼できるように見え、ユーザーの疑いを引き起こさないようにします」とアドバイザリは指摘しました。インストーラーは偽のアプリケーションと並行して2つの悪意のあるDLLファイルをサイドロードします。1つはメモリ内ローダーとして機能します。もう1つのinspector.dllはHyrax infostealerの亜種です。保存されたVPN認証情報とURIデータを抽出し、攻撃者が管理するインフラストラクチャに流出させます。アドバイザリは追加しました。
「偽のインストーラーファイルを含む悪意のあるZIPファイルはGitHubリポジトリでホストされており、その後削除されました」とアドバイザリは指摘しました。
配信方法は最近のキャンペーンで見られた戦術に密接に似ています。2025年8月、Arctic Wolfの研究者は、GitHubリポジトリとGoogle広告を通じて配布されたGPUGateマルウェアを発見しました。MSIパッケージペイロードと認証情報流出を使用したほぼ同一の配信チェーンで、脅威アクターが共通のプレイブックに収束していることを示唆しています。
検出を回避するために使用される署名付き証明書
MSIファイルと悪意のあるDLLは「Taiyuan Lihua Near Information Technology Co., Ltd.」から有効なデジタル証明書で署名されています。Microsoftは述べています。これにより、マルウェアは署名なしコードに関するWindowsセキュリティ警告をバイパスし、アプリケーションホワイトリストポリシーを回避し、署名なし実行可能ファイルに焦点を当てたツールからのアラートを減らすことができました。
その証明書はその後失効しました。アドバイザリは追加しました。
Microsoftは同じ証明書で署名された複数の追加ファイルを識別し、すべて異なるベンダーのVPNソフトウェアになりすましています。
認証情報盗難後に攻撃者が痕跡を隠す
認証情報をキャプチャした後、偽のクライアントはインストールが失敗したことを示すエラーメッセージを表示します。アドバイザリは述べています。その後、ユーザーに公式ベンダーサイトから正当なVPNクライアントをダウンロードするよう指示します。「特定の場合、ユーザーのブラウザを正当なVPNウェブサイトに開きます」とMicrosoftは述べています。本物のVPNがインストールされて期待どおりに動作する場合、被害者は侵害の兆候はありません。
Storm-2561はWindows RunOnce レジストリキーを通じて永続性を確立し、マルウェアがすべての再起動時に実行されるようにしています。アドバイザリは指摘しました。認証情報後のリダイレクト戦略は、セキュリティレビューをトリガーする可能性がある動作異常を排除します。SEOポイズニングキャンペーンは長い間、法医学的な足跡を残さないために誤った方向を利用してきました。Storm-2561は盗難後に被害者を正当なソフトウェアにリダイレクトすることで、それをさらに進めて、侵害の明らかな痕跡を残していません。
対策
Microsoftはすべてのアカウントに例外なく多要素認証を実装することを推奨しています。エンタープライズ認証情報は個人認証情報で保護されたブラウザベースのパスワードボルトに保存されるべきではありません。組織はまた、グループポリシーを通じて管理されたデバイス上のブラウザパスワード同期を無効にする必要があります。アドバイザリは追加しました。
エンドポイント側では、Microsoftはエンドポイント検出と応答をブロックモードで実行し、Microsoft Defender for Endpointでネットワーク保護とWeb保護を有効にすることを推奨しています。「ユーザーがMicrosoft EdgeおよびSmartScreenをサポートする他のWebブラウザを使用するよう促励してください。SmartScreenはフィッシングサイト、詐欺サイト、エクスプロイトを含むサイト、マルウェアをホストするサイトを含む悪意のあるウェブサイトを識別してブロックします」とアドバイザリは述べています。
