Storm-2561として追跡されるサイバー犯罪グループが、CheckPoint、Cisco、Fortinet、Ivanti等のベンダーから偽のエンタープライズVPNクライアントを使用してユーザーの資格情報を盗んでいるとMicrosoftが報告しています。
Storm-2561は新しい犯罪グループであり(「Storm」に続く数字は、Microsoftがまだ発展段階にあるグループを追跡する方法です)、2025年5月から活動しており、通常はSEOポジショニングとベンダー偽装を使用してマルウェアを配布しています。1月中旬に開始されたこのキャンペーンも同じです。
クルーは検索結果を操作してVPN更新プログラムに見せかけた悪質なウェブサイトをリストの上位に押し上げることで、被害者への初期アクセスを獲得します。ユーザーが「Pulse VPN ダウンロード」や「Pulse Secure クライアント」などのVPNクライアントを検索すると、実際のベンダーのページを模倣した詐欺サイトの検索結果が表示されます。これには、上記のVPNベンダーに加えて、SonicWall、Sophos、およびWatchGuardからの製品も含まれます。
リンクをクリックすると、ユーザーはMicrosoft Windows インストーラー(MSI)ファイルに偽装した偽のVPNクライアントをホストしている悪質なGitHubリポジトリにリダイレクトされます。
「Microsoftは様々なVPNソフトウェアブランドの偽装を検出しており、以下の2つのドメインでGitHubリンクを確認しています:vpn-fortinet[.]com および ivanti-vpn[.]org」とRedmondの脅威インテリジェンスチームが木曜日のブログで述べています。GitHubリポジトリはその後削除されました。(妥協指標の長いリストについてはブログの最後までお読みください。)
インストーラーはインストール中に悪意のある動的リンクライブラリ(DLL)ファイル「dwmapi.dll」と「inspector.dll」をサイドロードし、偽のVPNソフトウェアはユーザーに資格情報を入力するよう促します。これはユーザー名とパスワードをキャプチャし、正当なクライアントアプリケーションのように見えながら、それらを攻撃者が制御するコマンドアンドコントロールサーバーに送信します。
MSIファイルと悪意のあるDLLは、Taiyuan Lihua Near Information Technology Co., Ltd.の有効な(現在は失効した)デジタル証明書で署名されています。
次に最も厄介な部分が来ます:ユーザーが偽のサインインページに資格情報を入力した直後に、アプリケーションはインストールが失敗したというエラーメッセージを表示し、被害者にベンダーの公式ウェブサイトから正当なVPNクライアントをダウンロードするよう指示します。場合によっては、アプリはユーザーのブラウザを正当なサイトに開くこともあります。
「ユーザーがその後、正当なVPNソフトウェアをインストールして使用し、VPN接続が期待通りに機能する場合、エンドユーザーにとって妥協の兆候はありません」とブログによると。「ユーザーは初期インストール失敗をマルウェアではなく技術的な問題のせいにする可能性が高いです。」
Microsoftの脅威インテリジェンスレポートであることは当然のことながら、ソフトウェア大手は資格情報盗難を防ぐために自社の製品とサービスを推奨しています。ただし、いくつかの主要な(ベンダーに中立的な)セキュリティ提案があります。
まず、何度も強調できませんが、すべてのアカウントに多要素認証(MFA)を実装してください。MFAから除外されたユーザーを削除し、すべてのデバイス、すべての場所、常時からMFAを要求してください。
次に:従業員に対して、職場の資格情報をブラウザまたは個人認証情報で保護されたパスワードボルトに保存しないよう注意喚起してください。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/13/vpn_clients_spoofed/
