Security

Storm-2561 rammer VPN-brugere via SEO poisoning

3 min læsning

Resumé

Microsoft advarer om, at trusselsaktøren Storm-2561 spreder trojaniserede VPN-installationer via SEO-forgiftede søgeresultater, falske leverandørsider og GitHub-hostede ZIP-filer, der ender med at stjæle VPN-legitimationsoplysninger gennem Hyrax-infostealer. Det er vigtigt, fordi kampagnen misbruger både kendte VPN-brands og et legitimt code-signing-certifikat, hvilket gør angrebene mere troværdige og sværere for både brugere og organisationer at opdage i tide.

Brug for hjælp med Security?Tal med en ekspert

Introduktion

Microsoft Threat Intelligence har beskrevet en ny Storm-2561-kampagne, som bør være på radaren hos alle sikkerhedsteams. Ved at misbruge placeringer i søgemaskiner, falske websites med leverandørbranding og endda gyldige code-signing-certifikater går angriberne efter brugere, der leder efter betroet enterprise-VPN-software, og stjæler legitimationsoplysninger, før mange organisationer opdager, at noget er gået galt.

Hvad er nyt

Storm-2561 distribuerer trojaniserede VPN-installationsprogrammer gennem en overbevisende angrebskæde:

  • Brugere søger efter legitim VPN-software såsom Pulse Secure- eller Fortinet-klienter.
  • Ondsindede, SEO-poisoned sider vises i søgeresultaterne og efterligner betroede leverandørers download-sider.
  • Ofre omdirigeres til ZIP-filer hostet på GitHub-repositorier kontrolleret af angribere.
  • ZIP-filen indeholder et ondsindet MSI-installationsprogram og DLL-filer, der efterligner en reel VPN-udrulning.
  • Installationsprogrammet placerer Pulse.exe og side-loader ondsindede DLL-filer, herunder dwmapi.dll og inspector.dll.
  • inspector.dll identificeres som en variant af Hyrax infostealer, som udtrækker VPN-legitimationsoplysninger og konfigurationsdata.

Microsoft bemærkede også, at malwaren var signeret med et legitimt certifikat fra “Taiyuan Lihua Near Information Technology Co., Ltd.” Certifikatet er siden blevet tilbagekaldt, men brugen af gyldig signering reducerede brugernes mistanke og kan have hjulpet med at omgå visse forsvarsmekanismer.

Angrebsadfærd, du bør kende

Den falske VPN-klient viser en realistisk login-grænseflade for at indfange legitimationsoplysninger direkte fra brugeren. Efter indsendelse:

  • Der vises en falsk installations- eller loginfejl
  • Brugeren bliver bedt om at downloade den rigtige VPN-klient
  • I nogle tilfælde åbnes browseren til leverandørens legitime website

Denne omdirigering efter kompromittering er særligt effektiv, fordi brugere senere kan installere den rigtige software uden problemer og aldrig få mistanke om, at deres legitimationsoplysninger allerede er blevet stjålet.

Kampagnen etablerer også persistens via Windows-registreringsnøglen RunOnce og eksfiltrerer stjålne data til infrastruktur kontrolleret af angribere.

Konsekvenser for IT-administratorer

For IT- og sikkerhedsteams fremhæver denne kampagne en voksende risiko: Brugere behøver ikke længere åbne phishingvedhæftninger i e-mails for at blive kompromitteret. Blot det at søge efter forretningssoftware kan føre til tyveri af legitimationsoplysninger.

Organisationer med afhængighed af remote access bør være særligt bekymrede, fordi stjålne VPN-legitimationsoplysninger kan muliggøre uautoriseret adgang, lateral movement og efterfølgende angreb. Brugen af forfalsket softwarebranding og signeret malware øger også sandsynligheden for, at slutbrugere vil stole på installationsprogrammet.

Anbefalede handlinger

Administratorer bør tage følgende skridt:

  • Sørg for, at cloud-delivered protection i Microsoft Defender Antivirus er aktiveret
  • Kør EDR i block mode, hvor det understøttes
  • Jag efter mistænkelige VPN-relaterede installationsprogrammer, DLL side-loading og RunOnce-persistens
  • Gennemgå udgående forbindelser til kendte indikatorer og mistænkelige GitHub-hostede downloads
  • Uddan brugere i kun at downloade VPN-software fra godkendte virksomhedsportaler eller leverandørverificerede kilder
  • Nulstil legitimationsoplysninger og undersøg enheder, hvis brugere rapporterer mislykkede VPN-installationer efterfulgt af vellykket geninstallation

Dette er en tydelig påmindelse om, at søgeresultater kan være en del af angrebsfladen, og at softwares tillidssignaler alene ikke længere er nok.

Brug for hjælp med Security?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af Microsoft Threat Intelligence and Microsoft Defender Experts
SecurityMicrosoft Defendercredential theftSEO poisoningVPN malware

Relaterede indlæg

Security

Trivy supply chain compromise: Defender-guide

Microsoft har udgivet vejledning til detektion, undersøgelse og afhjælpning af Trivy supply chain compromise i marts 2026, som påvirkede Trivy-binæren og relaterede GitHub Actions. Hændelsen er vigtig, fordi den gjorde betroet CI/CD-sikkerhedsværktøj til et våben for at stjæle legitimationsoplysninger fra build-pipelines, cloud-miljøer og udviklersystemer, mens det så ud til at køre normalt.

Security

AI-agentstyring: Afstemning af intention for sikkerhed

Microsoft skitserer en styringsmodel for AI-agenter, der afstemmer bruger-, udvikler-, rollebaseret og organisatorisk intention. Rammeværket hjælper virksomheder med at holde agenter nyttige, sikre og compliant ved at definere adfærdsgrænser og en klar rækkefølge, når konflikter opstår.

Security

Microsoft Defender predictive shielding stopper GPO-ransomware

Microsoft beskrev en reel ransomware-sag, hvor Defenders predictive shielding opdagede ondsindet misbrug af Group Policy Object (GPO), før krypteringen begyndte. Ved at hærdne GPO-udrulning og afbryde kompromitterede konti blokerede Defender cirka 97 % af de forsøgte krypteringsaktiviteter og forhindrede, at nogen enheder blev krypteret via GPO-leveringsvejen.

Security

Microsoft sikkerhed til agentic AI på RSAC 2026

Microsoft præsenterede på RSAC 2026 en samlet sikkerhedsstrategi for agentic AI og annoncerede, at Agent 365 bliver generelt tilgængelig 1. maj som et kontrolplan til at overvåge, beskytte og styre AI-agenter i stor skala. Samtidig udvider virksomheden synligheden i AI-risici med nye og kommende værktøjer som Security Dashboard for AI, Shadow AI Detection i Entra og forbedret Intune-appinventar, hvilket er vigtigt for virksomheder, der vil bruge AI sikkert uden at miste kontrol over data, identiteter og skygge-IT.

Security

Microsoft CTI-REALM benchmark til AI detection engineering

Microsoft har lanceret CTI-REALM, en open-source benchmark, der måler om AI-agenter faktisk kan udføre detection engineering fra ende til anden ud fra threat intelligence-rapporter frem for blot at svare på sikkerhedsspørgsmål. Det er vigtigt for SOC- og sikkerhedsteams, fordi benchmarken tester realistiske workflows, værktøjer og mellemtrin på tværs af Linux, AKS og Azure, hvilket kan give et mere retvisende billede af, hvor moden AI er til operationelt sikkerhedsarbejde.

Security

Zero Trust for AI: Microsofts nye sikkerhedsmodel

Microsoft har lanceret Zero Trust for AI, som overfører de velkendte principper om eksplicit verifikation, mindst mulige privilegier og antagelse om brud til AI-miljøer med modeller, agenter og datakilder. Samtidig udvider virksomheden sin Zero Trust Workshop med en ny AI-søjle og opdaterede vurderingsværktøjer, så organisationer mere systematisk kan identificere og håndtere AI-specifikke trusler som prompt injection og data poisoning. Det er vigtigt, fordi virksomheder får en konkret ramme til at gøre AI-udrulning mere sikker og moden på tværs af IT, sikkerhed og forretning.