財務的動機を持つ脅威アクター「Storm-2561」として追跡されている団体が、SEO ポイズニングと偽造の署名付き VPN インストーラーを悪用してエンタープライズ VPN 認証情報を盗む認証情報盗難キャンペーンを実行しています。
2025年5月以降活動しているStorm-2561は、検索結果、既知のVPNブランド、コード署名証明書への信頼を継続的に悪用して、正規のリモートアクセスツールを装ったマルウェアを配布しています。
攻撃者はSEOポイズニングを使用して悪意あるページを検索結果の上位に押し上げ、その後、被害者をvpn-fortinet[.]comやivanti-vpn[.]orgなどの攻撃者が管理するドメイン上でホストされている偽装したVPNダウンロードサイトにリダイレクトします。
これらの偽のベンダーページから、ユーザーはトロイの木馬化されたMSIインストーラーを含むVPN-CLIENT.zipという名前のZIPアーカイブをホストしていた悪意のあるGitHubリポジトリ(現在は削除されている)に送られます。
2026年1月中旬、Microsoft Defender ExpertsはPulse Secureおよびその他の人気のあるVPNブランドを含む、エンタープライズVPNソフトウェアを検索しているユーザーをターゲットとした新しいStorm-2561キャンペーンを発見しました。
インストーラーは正規のVPNクライアントのふりをしていますが、実際にはVPN認証情報と設定データを収集するように設計された署名付きマルウェアコンポーネントをデプロイします。
Storm-2561がSEOポイズニングを使用
実行されると、悪意のあるMSIはPulse.exeをインストールし、%CommonFiles%\Pulse Secureなどの実際のPulse Secureインストールをまねるパス下にdwmapi.dllおよびinspector.dllを含む追加のDLLをドロップします。
dwmapi.dllコンポーネントは、埋め込まれたシェルコードを実行するメモリ内ローダーとして機能し、その後、Hyrax情報盗取マルウェアの亜種として特定されるinspector.dllを読み込みます。
Hyraxはuri と VPN サインイン の詳細(C:\ProgramData\Pulse Secure\ConnectionStore\connectionstore.dat に保存されている設定データを含む)の収集に焦点を当て、それらを 194.76.226[.]93:8080 の攻撃者が管理するコマンド&コントロール インフラストラクチャに流出させます。
Microsoftは、このトレードクラフトがStorm-2561の盗まれた認証情報を現金化するためのSEOポイズニングと偽ブランドソフトウェア使用のパターンと一致していることを指摘しています。
この操作の重要な要素は、Taiyuan Lihua Near Information Technology Co., Ltd.に発行された正規のコード署名証明書の悪用であり、その後失効しています。
MSIと悪意のあるDLLの両方が署名されており、これは署名されていないコードに関するWindowsの既定の警告をバイパスし、署名されたバイナリを信頼するアプリケーション許可リストを潜在的に通過させ、署名されていない実行可能ファイルにフラグを立てるようにチューニングされたセキュリティツールからのアラートを削減するのに役立ちます。
Microsoftは、Pulse.exe、Sophos-Connect-Client.exe、GlobalProtect-VPN.exe、VPN-Client.exe、およびvpn.exeという名前のサンプルを含む複数の他の偽装VPNバイナリも同じ証明書で署名されていることを報告しており、これは同じ署名IDの下でのより広いマルウェア配布の取り組みを示しています。
この体系的なコード署名の悪用は、偽装インストーラーに正当性の表面を与え、ユーザーと一部のセキュリティ制御の両方を簡単に誤解させる可能性があります。
偽装VPNクライアントは、正規のPulse Secureクライアントを密接に模倣するGUIを表示し、ユーザーにVPN認証情報を入力するよう求めます。
VPNトンネルを作成する代わりに、入力された認証情報をすぐに取得してStorm-2561 C2サーバーに流出させ、インストールが失敗したと主張する偽のエラーメッセージを表示します。
対策
さらに疑いを減らすために、マルウェアはユーザーに正規のVPNクライアントをダウンロードするよう指示し、時々正式なベンダーサイトを開くため、被害者は最終的に機能する正規のVPNをインストールし、危殆化の明らかな兆候を見ません。
Defender for Endpointはまた、VPNインストーラーによる予期しないDLLサイドローディングや永続化に使用されるオートラン レジストリの場所への疑わしい変更などの異常を表示します。
このリダイレクションパターンは、現実的なブランディングと組み合わせると、ユーザーが問題をマルウェアではなく日常的な技術的不具合に責任を転嫁する可能性が高くなります。
感染したシステムの永続性は、Windows RunOnceレジストリキーを介して再起動時にPulse.exeを実行するように設定することで維持されます。
Microsoft Defender Antivirusは、このキャンペーンに関連するペイロードをTrojan:Win32/MalgentおよびTrojanSpy:Win64/Hyraxとして検出し、ブロックモードのMicrosoft Defender for EndpointはアクティブなMalgentおよびHyraxアクティビティを停止し、異常な場所から起動するVPNプロセスについてアラートすることができます。
同様の認証情報盗難キャンペーンへの曝露を減らすために、Microsoftはクラウド配信保護とブロックモードのEDRを有効にし、ネットワークとWebの保護をオンにし、すべてのアカウントに多要素認証を強制し、個人用ブラウザーまたはパスワードボルト内の企業認証情報の保存を無効にすることを推奨しています。
また、組織は、低普及率のバイナリの実行を制限し、Taiyuan Lihua Near Information Technology Co., Ltd.によって署名されたファイルまたはPulse Secureパス下の悪意のあるDLLアクティビティを特定するための高度なハンティングクエリを使用する攻撃面削減ルールも適用する必要があります。
翻訳元: https://gbhackers.com/storm-2561-uses-seo-poisoning/
