Security

Storm-2561 и поддельные VPN-установщики: атака SEO

3 мин. чтения

Кратко

Microsoft предупредила о кампании Storm-2561, в которой злоумышленники через SEO poisoning продвигают поддельные сайты загрузки VPN-клиентов и распространяют троянизированные установщики через GitHub. Опасность в том, что атака маскируется под легитимное ПО, использует действительный сертификат подписи и крадет VPN-учетные данные и конфигурации, что повышает риск компрометации корпоративных сетей.

Нужна помощь с Security?Поговорить с экспертом

Введение

Microsoft Threat Intelligence подробно описала новую кампанию Storm-2561, которая должна попасть в поле зрения каждой команды безопасности. Используя манипуляции с рейтингами поисковых систем, поддельные сайты с брендингом поставщиков и даже действительные сертификаты подписи кода, злоумышленники нацеливаются на пользователей, ищущих доверенное корпоративное VPN-программное обеспечение, и крадут учетные данные еще до того, как многие организации понимают, что что-то пошло не так.

Что нового

Storm-2561 распространяет троянизированные установщики VPN через убедительную цепочку атаки:

  • Пользователи ищут легитимное VPN-программное обеспечение, например клиенты Pulse Secure или Fortinet.
  • В результатах поиска появляются вредоносные сайты с SEO poisoning, имитирующие доверенные страницы загрузки поставщиков.
  • Жертвы перенаправляются к ZIP-файлам, размещенным в GitHub-репозиториях, контролируемых злоумышленниками.
  • ZIP-архив содержит вредоносный MSI-установщик и DLL, имитирующие реальное развертывание VPN.
  • Установщик помещает Pulse.exe и выполняет side-loading вредоносных DLL, включая dwmapi.dll и inspector.dll.
  • inspector.dll идентифицирован как вариант инфостилера Hyrax, который извлекает учетные данные VPN и данные конфигурации.

Microsoft также отметила, что вредоносное ПО было подписано легитимным сертификатом от “Taiyuan Lihua Near Information Technology Co., Ltd.”. С тех пор этот сертификат был отозван, однако использование действительной подписи снизило подозрения у пользователей и, возможно, помогло обойти некоторые средства защиты.

Особенности атаки, о которых нужно знать

Поддельный VPN-клиент показывает реалистичный интерфейс входа, чтобы напрямую получить учетные данные от пользователя. После их ввода:

  • Отображается сообщение о поддельной установке или ошибке входа
  • Пользователю предлагается загрузить настоящий VPN-клиент
  • В некоторых случаях браузер открывает легитимный сайт поставщика

Такое перенаправление после компрометации особенно эффективно, потому что пользователи позже могут успешно установить настоящее ПО и так и не заподозрить, что их учетные данные уже были украдены.

Кампания также закрепляется в системе через раздел реестра Windows RunOnce и выводит украденные данные в инфраструктуру, контролируемую злоумышленниками.

Влияние на IT-администраторов

Для IT- и security-команд эта кампания подчеркивает растущий риск: пользователям больше не нужно открывать вложения в phishing email, чтобы быть скомпрометированными. Простого поиска бизнес-программного обеспечения уже может быть достаточно, чтобы привести к краже учетных данных.

Организациям, зависящим от удаленного доступа, следует проявить особую обеспокоенность, поскольку украденные учетные данные VPN могут обеспечить несанкционированный доступ, lateral movement и последующие атаки. Использование поддельного брендинга ПО и подписанного вредоносного ПО также повышает вероятность того, что конечные пользователи доверятся установщику.

Рекомендуемые действия

Администраторам следует предпринять следующие шаги:

  • Убедиться, что в Microsoft Defender Antivirus включена облачная защита cloud-delivered protection
  • Использовать EDR в режиме block mode там, где это поддерживается
  • Искать подозрительные установщики, связанные с VPN, side-loading DLL и закрепление через RunOnce
  • Проверять исходящие подключения к известным индикаторам и подозрительным загрузкам, размещенным на GitHub
  • Обучать пользователей загружать VPN-программное обеспечение только из утвержденных корпоративных порталов или источников, подтвержденных поставщиком
  • Сбрасывать учетные данные и расследовать состояние устройств, если пользователи сообщают о неудачной установке VPN с последующей успешной переустановкой

Это еще одно серьезное напоминание о том, что результаты поиска могут быть частью поверхности атаки, а одних только сигналов доверия к ПО уже недостаточно.

Нужна помощь с Security?

Наши эксперты помогут вам внедрить и оптимизировать решения Microsoft.

Поговорить с экспертом

Будьте в курсе технологий Microsoft

Читать оригинальную статью от Microsoft Threat Intelligence and Microsoft Defender Experts
SecurityMicrosoft Defendercredential theftSEO poisoningVPN malware

Похожие статьи

Security

Компрометация цепочки поставок Trivy: рекомендации Defender

Microsoft опубликовала рекомендации по обнаружению, расследованию и смягчению последствий компрометации цепочки поставок Trivy в марте 2026 года, затронувшей бинарный файл Trivy и связанные GitHub Actions. Инцидент важен тем, что доверенный инструмент безопасности CI/CD был использован для кражи учетных данных из пайплайнов сборки, облачных сред и систем разработчиков, при этом внешне работая как обычно.

Security

Управление AI Agent: выравнивание намерений для безопасности

Microsoft описывает модель управления для AI agents, которая выравнивает намерения пользователя, разработчика, роли и организации. Эта структура помогает компаниям сохранять полезность, безопасность и соответствие требованиям, задавая поведенческие границы и понятный порядок приоритета при возникновении конфликтов.

Security

Predictive shielding в Microsoft Defender против GPO-шифровальщика

Microsoft описала реальный случай ransomware, в котором predictive shielding в Defender обнаружил вредоносное злоупотребление Group Policy Objects (GPO) до начала шифрования. За счёт усиления защиты распространения GPO и блокировки скомпрометированных учётных записей Defender остановил около 97% попыток шифрования и не позволил зашифровать ни одно устройство через путь доставки GPO.

Security

Защита agentic AI: новые решения Microsoft на RSAC

На RSAC 2026 Microsoft представила комплексный набор решений для защиты agentic AI, включая Agent 365, который станет общедоступным 1 мая и позволит централизованно управлять, защищать и контролировать AI-агентов в связке с Defender, Entra и Purview. Это важно, потому что по мере массового внедрения AI-агентов компаниям нужны новые инструменты для выявления теневого использования AI, снижения риска утечек данных и управления доступом в масштабе всей организации.

Security

Microsoft open source CTI-REALM для AI detection engineering

Microsoft открыла CTI-REALM — бенчмарк, который проверяет, могут ли AI-агенты реально выполнять задачи detection engineering: анализировать CTI-отчёты, сопоставлять техники MITRE ATT&CK и создавать/валидировать правила обнаружения. Это важно для SOC и security-команд, потому что инструмент смещает оценку ИИ от теоретических ответов к практическим операционным результатам в Linux, AKS и Azure-средах.

Security

Zero Trust for AI от Microsoft: воркшоп и архитектура

Microsoft представила подход Zero Trust for AI и обновила Zero Trust Workshop, добавив отдельный AI-столп для оценки и проектирования защиты моделей, агентов, данных и автоматизированных решений. Это важно для компаний, внедряющих AI: новые рекомендации помогают системно учитывать риски вроде prompt injection и data poisoning, а также согласовать меры безопасности между IT, ИБ и бизнесом.