Security

Storm-2561: fałszywe instalatory VPN i SEO poisoning

3 min czytania

Podsumowanie

Microsoft ostrzega przed kampanią Storm-2561, w której cyberprzestępcy wykorzystują SEO poisoning, fałszywe strony pobierania i podpisane certyfikaty, by podszywać się pod legalne instalatory VPN, m.in. Pulse Secure i Fortinet. To ważne, ponieważ atak prowadzi do kradzieży poświadczeń VPN i danych konfiguracyjnych jeszcze zanim organizacje wykryją incydent, co zwiększa ryzyko nieautoryzowanego dostępu do sieci firmowych.

Potrzebujesz pomocy z Security?Porozmawiaj z ekspertem

Wprowadzenie

Microsoft Threat Intelligence opisał nową kampanię Storm-2561, która powinna znaleźć się na radarze każdego zespołu bezpieczeństwa. Poprzez nadużywanie pozycji w wynikach wyszukiwania, fałszywych stron oznaczonych markami dostawców, a nawet ważnych certyfikatów podpisywania kodu, atakujący celują w użytkowników szukających zaufanego korporacyjnego oprogramowania VPN i kradną poświadczenia, zanim wiele organizacji zorientuje się, że coś poszło nie tak.

Co nowego

Storm-2561 rozprowadza strojaniezowane instalatory VPN poprzez przekonujący łańcuch ataku:

  • Użytkownicy wyszukują legalne oprogramowanie VPN, takie jak klienci Pulse Secure lub Fortinet.
  • Złośliwe strony wykorzystujące SEO poisoning pojawiają się w wynikach wyszukiwania i imitują zaufane strony pobierania dostawców.
  • Ofiary są przekierowywane do plików ZIP hostowanych w kontrolowanych przez atakujących repozytoriach GitHub.
  • ZIP zawiera złośliwy instalator MSI i biblioteki DLL imitujące prawdziwe wdrożenie VPN.
  • Instalator umieszcza Pulse.exe i side-loaduje złośliwe biblioteki DLL, w tym dwmapi.dll i inspector.dll.
  • inspector.dll został zidentyfikowany jako wariant infostealera Hyrax, który wyodrębnia poświadczenia VPN i dane konfiguracyjne.

Microsoft zauważył również, że malware było podpisane legalnym certyfikatem firmy „Taiyuan Lihua Near Information Technology Co., Ltd.”. Certyfikat został od tego czasu unieważniony, ale użycie ważnego podpisu zmniejszało podejrzenia użytkowników i mogło pomóc w ominięciu części mechanizmów obronnych.

Zachowanie ataku, które warto znać

Fałszywy klient VPN prezentuje realistyczny interfejs logowania, aby bezpośrednio przechwycić poświadczenia od użytkownika. Po ich wprowadzeniu:

  • Wyświetlany jest komunikat o fałszywej awarii instalacji lub logowania
  • Użytkownik otrzymuje monit o pobranie prawdziwego klienta VPN
  • W niektórych przypadkach przeglądarka otwiera legalną stronę dostawcy

To przekierowanie po kompromitacji jest szczególnie skuteczne, ponieważ użytkownicy mogą później pomyślnie zainstalować prawdziwe oprogramowanie i nigdy nie podejrzewać, że ich poświadczenia zostały już skradzione.

Kampania ustanawia również trwałość poprzez klucz rejestru Windows RunOnce i eksfiltruje skradzione dane do infrastruktury kontrolowanej przez atakujących.

Wpływ na administratorów IT

Dla zespołów IT i bezpieczeństwa ta kampania podkreśla rosnące ryzyko: użytkownicy nie muszą już otwierać załączników phishingowych w e-mailach, aby dojść do kompromitacji. Samo wyszukiwanie oprogramowania biznesowego może prowadzić do kradzieży poświadczeń.

Szczególnie zaniepokojone powinny być organizacje zależne od zdalnego dostępu, ponieważ skradzione poświadczenia VPN mogą umożliwić nieautoryzowany dostęp, ruch boczny i kolejne ataki. Wykorzystanie podszywającego się brandingu oprogramowania i podpisanego malware dodatkowo zwiększa szansę, że użytkownicy końcowi zaufają instalatorowi.

Zalecane działania

Administratorzy powinni podjąć następujące kroki:

  • Upewnić się, że ochrona dostarczana z chmury w Microsoft Defender Antivirus jest włączona
  • Uruchomić EDR w trybie blokowania tam, gdzie jest to obsługiwane
  • Poszukiwać podejrzanych instalatorów związanych z VPN, side-loadingu DLL oraz trwałości przez RunOnce
  • Przeanalizować połączenia wychodzące do znanych wskaźników i podejrzanych plików pobieranych z GitHub
  • Edukować użytkowników, aby pobierali oprogramowanie VPN wyłącznie z zatwierdzonych portali firmowych lub źródeł zweryfikowanych przez dostawcę
  • Resetować poświadczenia i badać urządzenia, jeśli użytkownicy zgłaszają nieudane instalacje VPN, po których nastąpiła udana ponowna instalacja

To mocne przypomnienie, że wyniki wyszukiwania mogą być częścią powierzchni ataku, a same sygnały zaufania do oprogramowania nie są już wystarczające.

Potrzebujesz pomocy z Security?

Nasi eksperci pomogą Ci wdrożyć i zoptymalizować rozwiązania Microsoft.

Porozmawiaj z ekspertem

Bądź na bieżąco z technologiami Microsoft

Przeczytaj oryginalny artykuł autorstwa Microsoft Threat Intelligence and Microsoft Defender Experts
SecurityMicrosoft Defendercredential theftSEO poisoningVPN malware

Powiązane artykuły

Security

Kompromitacja łańcucha dostaw Trivy: wskazówki Defender

Microsoft opublikował wskazówki dotyczące wykrywania, badania i ograniczania skutków kompromitacji łańcucha dostaw Trivy z marca 2026 r., która dotknęła binarkę Trivy i powiązane GitHub Actions. Incydent jest istotny, ponieważ wykorzystał zaufane narzędzia bezpieczeństwa CI/CD do kradzieży poświadczeń z potoków buildów, środowisk chmurowych i systemów deweloperskich, jednocześnie pozornie działając normalnie.

Security

Governance AI agentów: zgodność intencji i bezpieczeństwo

Microsoft przedstawia model governance dla AI agents, który łączy intencje użytkownika, dewelopera, role-based oraz organizacji. Framework pomaga firmom utrzymać agentów jako użytecznych, bezpiecznych i zgodnych z wymaganiami, definiując granice zachowań oraz jasną hierarchię priorytetów w razie konfliktów.

Security

{{Microsoft Defender predictive shielding blokuje GPO ransomware}}

{{Microsoft opisał rzeczywisty przypadek ransomware, w którym predictive shielding w Defender wykrył złośliwe nadużycie Group Policy Object jeszcze przed rozpoczęciem szyfrowania. Dzięki wzmocnieniu propagacji GPO i zakłóceniu działania przejętych kont Defender zablokował około 97% prób szyfrowania i nie dopuścił do zaszyfrowania żadnych urządzeń przez ścieżkę dostarczania opartą na GPO.}}

Security

Zabezpieczenia agentic AI od Microsoft na RSAC 2026

Microsoft na RSAC 2026 zaprezentował strategię zabezpieczania agentic AI w firmach, obejmującą ochronę agentów, tożsamości, danych i infrastruktury, a także potwierdził premierę Agent 365 w modelu general availability od 1 maja. To ważne, bo wraz z rosnącym wdrożeniem AI w przedsiębiorstwach organizacje potrzebują narzędzi do centralnego zarządzania ryzykiem, wykrywania nieautoryzowanego użycia AI i ograniczania nadmiernego udostępniania danych.

Security

CTI-REALM open source: benchmark AI do detekcji

Microsoft udostępnił open source benchmark CTI-REALM, który sprawdza, czy agenci AI potrafią wykonywać realną pracę z obszaru inżynierii detekcji — od analizy raportów threat intelligence po tworzenie i walidację reguł detekcji. To ważne dla zespołów SOC i bezpieczeństwa, ponieważ zamiast mierzyć wyłącznie wiedzę modelu, narzędzie ocenia jego skuteczność w praktycznych zadaniach operacyjnych w środowiskach takich jak Linux, AKS i chmura Azure.

Security

Zero Trust for AI od Microsoft: warsztaty i ocena

Microsoft wprowadza wytyczne Zero Trust for AI, które przenoszą zasady Zero Trust na modele, agentów, dane i zautomatyzowane decyzje, aby pomóc firmom bezpiecznie wdrażać AI. Firma rozszerzyła też Zero Trust Workshop o dedykowany filar AI oraz rozbudowane oceny i kontrolki, co ma ułatwić zespołom IT i bezpieczeństwa identyfikację ryzyk takich jak prompt injection czy data poisoning oraz lepsze planowanie zabezpieczeń.