企業VPNクライアントをデジタル領域全体で探求することは、認証情報の壊滅的な流出に至る可能性があります。サイバー犯罪シンジケートStorm-2561によるキャンペーンの調整は、悪意のある行為者がいかに容易に平凡な検索エンジン問い合わせを悪意あるソフトウェアで満たされた罠に変えるかを鮮明に明らかにしています。
マイクロソフトの脅威インテリジェンス部門の指導者が明かしたところによると、デジタル略奪者がSEO「汚染」の陰湿な手口を通じて偽のVPNクライアントを蔓延させる急襲が発生しています。Pulse Secureクライアントなどの企業ソフトウェアを求めて旅立つ利用者は、必然的に高名なベンダーの聖域として精巧に装った迷路のような偽造ドメインに誘い込まれます。正規のインストーラーの代わりに、この幽霊リポジトリは有毒なペイロードを蔵した圧縮ファイルのダウンロードを提供しています。
これらの急襲はStorm-2561シンジケートに確実に帰属させられています。この派閥は少なくとも2025年5月以来活発に活動しており、一般的なソフトウェアベンダーのデジタル店舗を正確に模倣した不正なドメインを通じて絶えず悪意あるアーキテクチャを広めています。この初期のキャンペーンの中で、攻撃者は検索エンジンの階層に利用者が寄せる盲目的な信頼に戦略的に賭けました。偽造ドメインは「Pulse VPN ダウンロード」または「Pulse Secure クライアント」のような問い合わせのための検索結果内で人為的に上昇させられました。
汚染されたハイパーリンクを横断することで、被害者は公式領域と実質的に識別不可能なウェブページに預けられました。ダウンロード通路は被害者をGitHubリポジトリに密かに迂回させ、そこはVPN-CLIENT.zip圧縮ファイルの安置所です。このリポジトリはその後削除されましたが、圧縮ファイルは急襲の絶頂期間中に無制限に流れていました。
圧縮ファイルの中に埋葬されていたのは、正規のPulse Secureクライアントを完璧に模倣したMicrosoft Windows向けのインストーラーです。その起動時に、インストーラーは正規のインストール経路を反映したディレクトリを設計し、Pulse.exe実行可能ファイルを有毒なダイナミックリンクライブラリdwmapi.dllおよびinspector.dllと一緒に配置しました。この洗練されたカムフラージュは悪意あるアーキテクチャを正統なソフトウェアとして完璧に装う力を与えました。
dwmapi.dllアーティファクトはローダーの役割を引き受け、inspector.dllライブラリを目覚めさせるように設計された秘密の悪意あるコードを起動しました。この特定のライブラリはHyraxインフォステーラーの猛烈な反復として現れました。アーキテクチャはVPNサーバーの座標と利用者の神聖な認証情報を体系的に収集し、その後この情報を悪意のある行為者のコマンド・アンド・コントロール聖域に流出させました。
インストーラーには暗号化デジタル署名を通じた深遠な真正性の補助的な見かけが与えられました。悪意あるアーティファクトは中国企業Taiyuan Lihua Near Information Technology Co., Ltd.に属する有効な証明書で承認されました。この証明書はその後失効させられましたが、正規の署名の兵器化はシステムセキュリティセンチネルを巧妙に回避し、悪意あるアーティファクトの検出の確率を大幅に低下させました。
インストール後、偽造VPNクライアントは正規のPulse Secureクライアントをほぼ完璧に複製した認証インターフェースを展開しました。不用心な利用者は自分の名前とパスワードを記入し、企業ネットワークへのシームレスな接続を期待して接続しました。接続を築く代わりに、アーキテクチャは容赦なく認証情報をインターセプトし、その情報を敵の主権的なサーバーに流出させました。
その後、悪意あるアプリケーションは架空のインストールエラープロンプトを作成し、公式領域から正規VPNクライアントの調達を親切に提案しました。特定のシナリオでは、ブラウザは正規ダウンロードポータルを自動的に呼び出すよう命じられました。利用者はその後、正規クライアントをインストールし、企業ネットワークに正常に認証され、全く何の疑いも持ちませんでした。圧倒的多数のユーザーは単に最初のインストール失敗を平凡な技術的問題として合理化しました。
侵害されたシステムに対する支配を永続化するために、悪意あるアーキテクチャはWindowsRunOnceレジストリパーティションにディレクティブを刻印しました。終端の後続の復活時に、Pulse.exeアーティファクトはシステムの中核内で陰湿な操作をシームレスに継続して再起動します。
マイクロソフトのテレメトリに従うと、悪意のある行為者はvpn-fortinet[.]comおよびivanti-vpn[.]orgを顕著に特色とする複数の偽造ドメインを兵器化しました。これらの汚染されたポータルを通じて、猛烈なVPNクライアントの反復は、異なるベンダーのソフトウェア提供を巧妙に装って蔓延しました。
このキャンペーンは古風でありながら恐ろしく有効なパラダイムの証です。利用者は検索エンジンの階層に揺るがぬ信頼を寄せ、見かけ上「公式」のアプリケーションをダウンロードし、自発的に神聖な認証情報を引き渡します。正規VPNクライアントのインストール後、漏洩の法医学的痕跡はほぼ消滅する一方で、盗まれた認証情報はすでに安全にデジタル略奪者の待つ手に配信されているのです。
