Storm-2561偽VPNインストーラー、SEO汚染で拡散

Introduction

Microsoft Threat Intelligenceは、すべてのセキュリティチームが警戒すべき新たなStorm-2561キャンペーンの詳細を明らかにしました。攻撃者は検索エンジンの順位操作、ベンダーを装った偽サイト、さらには有効なコード署名証明書まで悪用し、信頼されている企業向けVPNソフトを探すユーザーを標的にして、組織が異常に気付く前に資格情報を窃取しています。

What’s new

Storm-2561は、説得力のある攻撃チェーンを通じてトロイの木馬化したVPNインストーラーを配布しています。

• ユーザーがPulse SecureやFortinet clientなどの正規VPNソフトを検索する
• 悪意あるSEO汚染サイトが検索結果に表示され、信頼できるベンダーのダウンロードページを模倣する
• 被害者は、攻撃者が管理するGitHubリポジトリ上のZIPファイルへリダイレクトされる
• ZIPには、実際のVPN導入を装う悪意のあるMSIインストーラーとDLLが含まれる
• インストーラーはPulse.exeを配置し、dwmapi.dllやinspector.dllを含む悪意あるDLLをサイドロードする
• inspector.dllはHyrax infostealerの亜種と特定されており、VPN資格情報と構成データを抽出する

Microsoftはまた、このマルウェアが「Taiyuan Lihua Near Information Technology Co., Ltd.」の正規証明書で署名されていたと指摘しています。この証明書はその後失効しましたが、有効な署名の使用によりユーザーの疑念を抑え、一部の防御を回避しやすくしていた可能性があります。

Attack behavior to know

この偽VPNクライアントは、ユーザーから資格情報を直接取得するために、現実的なサインイン画面を表示します。送信後の挙動は次のとおりです。

• 偽のインストール失敗またはログイン失敗が表示される
• ユーザーは本物のVPNクライアントをダウンロードするよう促される
• 場合によっては、ブラウザーが正規ベンダーのサイトを開く

侵害後に本物の配布元へ誘導するこの手口は特に効果的です。ユーザーはその後、正規ソフトを問題なくインストールできるため、資格情報がすでに盗まれていたことに気付かない可能性があります。

このキャンペーンは、WindowsのRunOnceレジストリキーを通じて永続化も確立し、窃取したデータを攻撃者管理のインフラへ送信します。

Impact on IT administrators

IT部門およびセキュリティチームにとって、このキャンペーンは増大するリスクを示しています。もはやユーザーはフィッシングメールの添付ファイルを開かなくても侵害され得ます。業務ソフトを検索するだけで資格情報の窃取につながる可能性があります。

リモートアクセスへの依存度が高い組織は特に注意が必要です。盗まれたVPN資格情報は、不正アクセス、ラテラルムーブメント、その後の攻撃を可能にするおそれがあります。さらに、ソフトウェアブランドのなりすましや署名済みマルウェアの使用により、エンドユーザーがインストーラーを信頼してしまう可能性も高まります。

Recommended actions

管理者は次の対策を講じるべきです。

• Microsoft Defender Antivirusのクラウド提供保護を有効にする
• 対応環境ではEDRをblock modeで運用する
• 不審なVPN関連インストーラー、DLL side-loading、RunOnceによる永続化をハンティングする
• 既知のIoCおよび不審なGitHubホストのダウンロード先への外向き通信を確認する
• VPNソフトは承認済みの社内ポータルまたはベンダー検証済みソースからのみダウンロードするようユーザー教育を行う
• VPNインストール失敗後に再インストール成功を報告したユーザーがいる場合は、資格情報をリセットし、端末を調査する

これは、検索結果自体が攻撃対象領域になり得ること、そしてソフトウェアの信頼シグナルだけではもはや不十分であることを強く示す事例です。