Security

Storm-2561 lažni VPN installeri i SEO poisoning

3 min čitanja

Sažetak

Microsoft upozorava na kampanju Storm-2561 koja preko SEO poisoning-a i lažnih sajtova za preuzimanje VPN klijenata distribuira trojanizovane instalere za Pulse Secure i Fortinet, a zatim krade VPN akreditive i konfiguracione podatke pomoću Hyrax infostealer-a. Ovo je važno jer napadači koriste uverljive lažne brendove, GitHub hosting i čak važeći sertifikat za potpisivanje koda, što otežava otkrivanje i povećava rizik od kompromitacije enterprise pristupa pre nego što organizacije primete incident.

Trebate pomoć sa Security?Razgovarajte sa stručnjakom

Uvod

Microsoft Threat Intelligence je opisao novu kampanju Storm-2561 na koju bi svaki bezbednosni tim trebalo da obrati pažnju. Zloupotrebom rangiranja na pretraživačima, lažnih sajtova brendiranih kao dobavljači, pa čak i važećih sertifikata za potpisivanje koda, napadači ciljaju korisnike koji traže pouzdan enterprise VPN softver i kradu akreditive pre nego što mnoge organizacije uopšte shvate da je nešto pošlo po zlu.

Šta je novo

Storm-2561 distribuira trojanizovane VPN installere kroz uverljiv lanac napada:

  • Korisnici pretražuju legitimni VPN softver kao što su Pulse Secure ili Fortinet klijenti.
  • Zlonamerni sajtovi, izloženi kroz SEO poisoning, pojavljuju se u rezultatima pretrage i imitiraju pouzdane stranice dobavljača za preuzimanje.
  • Žrtve se preusmeravaju na ZIP fajlove hostovane u GitHub repozitorijumima pod kontrolom napadača.
  • ZIP sadrži zlonamerni MSI installer i DLL-ove koji oponašaju stvarnu VPN implementaciju.
  • Installer isporučuje Pulse.exe i side-loaduje zlonamerne DLL-ove uključujući dwmapi.dll i inspector.dll.
  • inspector.dll je identifikovan kao varijanta Hyrax infostealer-a, koji izvlači VPN akreditive i konfiguracione podatke.

Microsoft je takođe naveo da je malver bio potpisan legitimnim sertifikatom kompanije “Taiyuan Lihua Near Information Technology Co., Ltd.”. Taj sertifikat je u međuvremenu opozvan, ali je upotreba važećeg potpisa smanjila sumnju korisnika i možda pomogla da se izbegnu neke odbrane.

Ponašanje napada koje treba znati

Lažni VPN klijent prikazuje realističan interfejs za prijavu kako bi direktno prikupio akreditive od korisnika. Nakon unosa:

  • Prikazuje se lažna greška pri instalaciji ili prijavljivanju
  • Od korisnika se traži da preuzme pravi VPN klijent
  • U nekim slučajevima, pregledač se otvara ka legitimnom sajtu dobavljača

Ovo preusmeravanje nakon kompromitovanja je posebno efikasno jer korisnici kasnije mogu uspešno instalirati pravi softver i nikada ne posumnjati da su njihovi akreditivi već ukradeni.

Kampanja takođe uspostavlja postojanost kroz Windows RunOnce registry key i eksfiltrira ukradene podatke ka infrastrukturi pod kontrolom napadača.

Uticaj na IT administratore

Za IT i bezbednosne timove, ova kampanja naglašava rastući rizik: korisnici više ne moraju da otvore priloge iz phishing email poruka da bi bili kompromitovani. Samo pretraživanje poslovnog softvera može dovesti do krađe akreditiva.

Organizacije koje zavise od udaljenog pristupa treba da budu posebno zabrinute, jer ukradeni VPN akreditivi mogu omogućiti neovlašćen pristup, lateral movement i naknadne napade. Upotreba lažnog softverskog brendiranja i potpisanog malvera takođe povećava verovatnoću da će krajnji korisnici verovati installeru.

Preporučene mere

Administratori bi trebalo da preduzmu sledeće korake:

  • Obezbedite da je Microsoft Defender Antivirus cloud-delivered protection omogućen
  • Pokrenite EDR u block mode gde je podržano
  • Pretražujte sumnjive installere povezane sa VPN-om, DLL side-loading i RunOnce postojanost
  • Pregledajte odlazne konekcije ka poznatim indikatorima i sumnjivim preuzimanjima hostovanim na GitHub-u
  • Edukujte korisnike da VPN softver preuzimaju isključivo sa odobrenih korporativnih portala ili izvora koje je verifikovao dobavljač
  • Resetujte akreditive i istražite uređaje ako korisnici prijave neuspele VPN instalacije nakon kojih je usledila uspešna ponovna instalacija

Ovo je snažan podsetnik da rezultati pretrage mogu biti deo napadne površine i da sami signali poverenja u softver više nisu dovoljni.

Trebate pomoć sa Security?

Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.

Razgovarajte sa stručnjakom

Budite u toku sa Microsoft tehnologijama

Pročitajte originalni članak od Microsoft Threat Intelligence and Microsoft Defender Experts
SecurityMicrosoft Defendercredential theftSEO poisoningVPN malware

Povezani članci

Security

Trivy kompromitacija lanca snabdevanja: Defender

Microsoft je objavio smernice za detekciju, istragu i ublažavanje kompromitacije Trivy lanca snabdevanja iz marta 2026, koja je pogodila Trivy binarni fajl i povezane GitHub Actions. Incident je važan jer je zloupotrebio pouzdane CI/CD bezbednosne alate za krađu akreditiva iz build pipeline-ova, cloud okruženja i developerskih sistema, dok je izgledalo kao da radi normalno.

Security

Upravljanje AI agentima: usklađivanje namere

Microsoft predstavlja model upravljanja za AI agente koji usklađuje korisničku, razvojnu, ulogama zasnovanu i organizacionu nameru. Ovaj okvir pomaže preduzećima da agente održe korisnim, bezbednim i usklađenim tako što definiše granice ponašanja i jasan redosled prioriteta kada dođe do konflikta.

Security

Defender predictive shielding zaustavlja GPO ransomware

Microsoft je opisao stvarni slučaj ransomware napada u kome je Defender predictive shielding otkrio zloupotrebu Group Policy Object (GPO) mehanizama pre početka enkripcije. Ojačavanjem propagacije GPO-a i prekidanjem kompromitovanih naloga, Defender je blokirao oko 97% pokušaja enkripcije i sprečio da bilo koji uređaj bude šifrovan putem GPO kanala isporuke.

Security

Microsoft agentic AI bezbednost na RSAC 2026

Microsoft je na RSAC 2026 predstavio sveobuhvatnu strategiju za bezbednost agentic AI sistema, uključujući skoru opštu dostupnost platforme Agent 365 od 1. maja, uz integraciju sa Defender, Entra i Purview alatima za upravljanje, zaštitu pristupa i sprečavanje prekomernog deljenja podataka. Ovo je važno jer kompanijama donosi bolju vidljivost AI rizika, otkrivanje neovlašćene upotrebe AI aplikacija i jaču zaštitu identiteta i podataka kako se AI agenti sve brže uvode u poslovna okruženja.

Security

Microsoft CTI-REALM open-source benchmark za AI detekciju

Microsoft je predstavio CTI-REALM, open-source benchmark koji proverava da li AI agenti mogu da obavljaju stvaran detection engineering posao, od analize threat intelligence izveštaja do pravljenja i validacije detekcionih pravila. To je važno za SOC i bezbednosne timove jer pomera procenu AI alata sa teorijskog cyber znanja na merljive operativne rezultate u realnim okruženjima poput Linux endpointa, AKS-a i Azure infrastrukture.

Security

Microsoft Zero Trust za AI: radionica i arhitektura

Microsoft je predstavio smernice „Zero Trust for AI“ i proširio svoj Zero Trust Workshop namenskim AI stubom, kako bi organizacije lakše procenile i uvele bezbednosne kontrole za modele, agente, podatke i automatizovane odluke. Ovo je važno jer kompanijama daje strukturisan okvir za zaštitu od rizika kao što su prompt injection, data poisoning i preširoka ovlašćenja, uz bolju usklađenost bezbednosnih, IT i poslovnih timova.