2026年1月中旬、Microsoft Defender Expertsは、金銭的動機を持つ脅威アクターStorm-2561によって組織された認証情報窃取作戦を発見しました。
2025年5月から活動しているこのグループは、マルウェアを配布するために検索エンジン最適化(SEO)中毒に大きく依存しています。
攻撃者は、人気のあるエンタープライズ仮想プライベートネットワーク(VPN)ソフトウェアの検索結果の上位に悪意あるウェブサイトをプッシュすることで、ユーザーを騙して偽のアプリケーションをダウンロードさせます。
このキャンペーンは、リモートアクセスに依存する組織を標的にし、ユーザーが検索エンジンの上位結果と確立されたソフトウェアブランドに置く暗黙的な信頼を悪用しています。
ユーザーが「Pulse Secure client」や「Fortinet」などのツールを検索すると、中毒されたSEOランキングが、vpn-fortinet[.]comやivanti-vpn[.]orgなどの詐欺的ドメインにユーザーを誘導します。
ダウンロードリンクをクリックすると、被害者は現在非アクティブなGitHubリポジトリにリダイレクトされ、VPN-CLIENT.zipという名前の悪意あるZIPファイルがホストされています。
このアーカイブ内には、正当なVPNクライアントに偽装したWindows インストーラー(MSI)があります。実行されると、プライマリ実行ファイルが、実際のソフトウェアパスを模倣したフォルダ構造に、2つの悪意あるダイナミックリンクライブラリ(DLL)と共にインストールされます。
最初のDLLであるdwmapi.dllは、2番目のファイルであるinspector.dllをトリガーするメモリ内ローダーとして機能します。この2番目のペイロードはHyrax情報窃取ツールの亜種です。
マルウェアは、信頼できるクライアントと同一に見える偽のVPNサインイン画面を即座に表示します。
ユーザーが認証情報を入力すると、Hyrax亜種はログインデータと既存のVPN設定ファイルを収集し、攻撃者が管理するコマンドアンドコントロールサーバーに流出させます。
永続性を保つため、マルウェアはWindows RunOnceレジストリキーに自身を追加し、システムの再起動時に自動的に起動するようにします。
検出を回避するため、Storm-2561は「Taiyuan Lihua Near Information Technology Co., Ltd.」から発行されたデジタル証明書を使用して、悪意あるインストーラーとDLLに署名します。
この署名付きコードは、デフォルトのWindowsセキュリティ警告をバイパスするのに役立ち、セキュリティツールからのアラートを制限します。インストールプロセスに偽の正当性を与えます。
さらに、マルウェアは非常に欺瞞的な盗難後の手法を使用します。Microsoftが盗んだ後認証情報を、偽のインストールエラーを表示します。
ユーザーに公式ソースから実際のVPNクライアントをダウンロードするよう指示します。時には、ブラウザを正規ベンダーのウェブサイトに直接開くこともあります。
その後の正規のVPNインストールが完璧に機能するため、被害者は最初の試みが単なる技術的な不具合だと仮定し、侵害されたことに全く気づきません。
組織は、クラウド配信エンドポイント保護を有効にし、すべてのデバイスで厳密な多要素認証(MFA)を実装し、信頼されたリストの基準を満たさない実行ファイルをブロックすることをお勧めします。以下は、このキャンペーンに関連する重要な侵害の兆候(IOC)です。
翻訳元: https://cyberpress.org/signed-trojans-steal-vpns/