マイクロソフトによれば、Storm-2561として追跡されているサイバー犯罪グループは、検索エンジン最適化ポイズニングを通じてプッシュされたフェイクVPNクライアントを使用する認証情報盗難キャンペーンを実行しており、信頼されたエンタープライズソフトウェアを検索するユーザーを、実際のツールではなくトロイの木馬化されたインストーラーのダウンロードへと誘導しています。
マイクロソフトによれば、Storm-2561は少なくとも2025年5月以降活動しています。SEOポイズニングとソフトウェア偽造を使用して、正規のプロダクトを探しているユーザーにマルウェアを配信することで知られています。
ユーザーがダウンロードボタンをクリックすると、VPN-CLIENT.zipという名前のZIPアーカイブをホストしている悪意のあるGitHubリポジトリにリダイレクトされました。
ただし、マイクロソフトは、そのリポジトリはその後削除されたと述べています。
アーカイブ内には、正規のPulse Secure VPNパッケージに見せかけていたMSIインストーラーがありましたが、実際には、Taiyuan Lihua Near Information Technology Co., Ltd.に発行された現在は無効化された証明書で署名されたマルウェアを配備していました。
マイクロソフトは、インストーラーが%CommonFiles%\Pulse Secureの下の正規のPulse Secureパスに酷似したフォルダにPulse.exeを配置し、ファイルをシステムに溶け込ませてユーザーの疑いを回避するのに役立ったと述べています。
また、2つの悪意のあるDLL、dwmapi.dllとinspector.dllをドロップしました。dwmapi.dllはシェルコードを起動してinspector.dllを読み込むメモリ内ローダーとして機能し、inspector.dllはHyrax infostealarの亜種です。
このキャンペーンは、盗難後も巧妙な欺きのステップを使用しました。
マイクロソフトは、フェイクインストーラーがエラーメッセージを表示し、場合によっては正規のVPNウェブサイトにユーザーをリダイレクトしたと述べており、これにより以前の侵害は単なる失敗したインストール、または一時的なソフトウェアの問題に見える可能性があります。
永続性のために、マルウェアはPulse.exeをWindows RunOnceレジストリキーに追加して、再起動後に再度起動できるようにしました。
このキャンペーンは、検索エンジンの掲載、ブランド偽造、GitHubホスティング、および有効なコード署名など、複数の信頼シグナルを単一の攻撃チェーンに組み合わせているため目立っています。
各レイヤーが疑いを減らし、一緒に検索結果からフェイクインストーラーから盗まれた認証情報への説得力のあるパスを作成します。特に緊急にビジネスシステムにアクセスしようとしている従業員にとっては。
防御者向けに、マイクロソフトはクラウド配信保護、ブロックモードのEDR、ネットワーク保護、ウェブ保護、およびSmartScreenなどのブラウザー保護を有効にして、悪意のあるサイトと成果物をチェーンの早い段階で停止することを推奨しています。
同社はまた、組織に多要素認証を強制し、個人用ブラウザーのボルトにワークプレイスのパスワードを保存することを防ぎ、低発生率または信頼できない実行可能ファイルの実行をブロックするための攻撃面の削減ルールを使用するよう促しました。
翻訳元: https://cyberpress.org/storm-2561-spoofs-vpn-clients/