Исследователи Microsoft предупреждают о целевой кампании группы Storm-2561, в рамках которой злоумышленники создают поддельные сайты производителей корпоративных VPN и распространяют инфостилер Hyrax под видом легитимных VPN-клиентов. Особую опасность атака представляет для компаний, использующих решения Ivanti, Cisco, Fortinet и другие популярные корпоративные VPN-платформы.
SEO poisoning: как хакеры продвигают поддельные VPN-сайты
Ключевая особенность кампании Storm-2561 — активное использование тактики SEO poisoning (отравление поисковой выдачи). Злоумышленники создают фейковые сайты, которые визуально и структурно копируют официальные ресурсы вендоров VPN, а затем манипулируют поисковой оптимизацией, чтобы вывести эти сайты в топ результатов поиска.
По данным Microsoft, при вводе запросов вроде «Pulse VPN download» или «Pulse Secure client» пользователи могут попадать не на официальный сайт производителя, а на тщательно подделанный ресурс. Дизайн, логотипы и тексты на таких страницах практически неотличимы от оригинала, что значительно повышает вероятность успешной компрометации.
Кого имитируют: Ivanti, Cisco, Fortinet и другие VPN-вендоры
Анализ управляющей инфраструктуры Storm-2561 показал, что злоумышленники регистрируют домены, имитирующие сайты сразу нескольких производителей защитных решений. Среди них Sophos, SonicWall, Ivanti, Check Point, Cisco, WatchGuard и другие вендоры корпоративных VPN и межсетевых экранов.
Такая стратегия позволяет группе одновременно атаковать широкую аудиторию администраторов и сотрудников компаний, которые самостоятельно ищут и скачивают VPN-клиенты для удаленного доступа к корпоративной инфраструктуре.
Технические детали атаки: поддельный установщик и инфостилер Hyrax
Фейковые сайты перенаправляли пользователей на репозиторий на GitHub (на момент публикации уже удален), где размещался ZIP-архив с поддельным MSI-установщиком VPN-клиента. После запуска этот установщик:
- создает файл Pulse.exe в каталоге
%CommonFiles%\Pulse Secure, имитируя легитимный VPN-клиент; - разворачивает вредоносный загрузчик dwmapi.dll;
- доставляет и активирует вариацию инфостилера Hyrax (
inspector.dll).
Поддельный VPN-клиент показывает пользователю правдоподобный интерфейс входа и запрашивает учетные данные. Введенные логины и пароли незаметно перехватываются и отправляются на серверы злоумышленников. Дополнительно малварь извлекает конфигурационные данные VPN-подключений из файла connectionsstore.dat, принадлежащего легитимному клиенту Pulse Secure.
Злоупотребление цифровыми сертификатами
Отдельного внимания заслуживает факт, что вредоносный код был подписан настоящим, но уже отозванным цифровым сертификатом компании Taiyuan Lihua Near Information Technology. Подобная тактика усложняет детектирование, так как часть систем и пользователей все еще склонны доверять подписанному ПО.
Социальная инженерия: почему жертвы не замечают компрометацию
После кражи учетных данных и конфигураций VPN вредоносный установщик отображает сообщение об ошибке установки и автоматически перенаправляет пользователя на реальный сайт вендора, где тот может скачать подлинный клиент.
С точки зрения пользователя сценарий выглядит как обычный технический сбой: первая попытка установки не удалась, со второй — все прошло успешно. В результате большинство жертв не связывают сбой с возможной атакой, продолжая использовать VPN, логин и пароль, уже оказавшиеся в руках злоумышленников.
Согласно открытым отраслевым отчетам (включая регулярные исследования вроде Verizon DBIR), компрометация учетных данных по-прежнему остается одним из ключевых факторов успешных атак на корпоративные сети. Кампания Storm-2561 лишь подтверждает тенденцию смещения фокуса злоумышленников на кражу VPN-доступов и системных аккаунтов.
Риски для организаций и рекомендации Microsoft по защите
Компрометация корпоративного VPN-клиента означает для организации потенциальный удаленный доступ злоумышленников к внутренней инфраструктуре. Получив валидные учетные данные и конфигурации туннелей, атакующие могут:
- подключаться к сети как легитимный пользователь;
- обходить внешние периметровые средства защиты;
- инициировать дальнейшее развитие атаки (латеральное перемещение, кража данных, развертывание вымогателей).
Microsoft рекомендует администраторам и специалистам по безопасности реализовать комплекс мер защиты от подобных кампаний:
- Включить облачную защиту в Microsoft Defender для оперативного получения новых сигнатур и индикаторов компрометации.
- Запустить EDR в режиме блокировки, чтобы не только обнаруживать подозрительную активность, но и автоматически останавливать выполнение вредоносных процессов.
- Обязательно использовать многофакторную аутентификацию (MFA) для VPN и критичных систем, минимизируя ценность украденных паролей.
- Применять браузеры с поддержкой Microsoft SmartScreen или аналогичными технологиями репутации URL и файлов.
- Настроить обучение пользователей и администраторов: скачивать VPN-клиенты и обновления исключительно с официальных сайтов вендоров, а не по ссылкам из поиска или сторонних ресурсов.
Кампания Storm-2561 демонстрирует, что даже привычные действия вроде «найти и скачать VPN-клиент через поиск» могут привести к серьезной компрометации компании. Организациям стоит регулярно пересматривать свои процессы управления удаленным доступом, усиливать контроль источников ПО, применять многофакторную аутентификацию и современные средства защиты конечных точек. Чем раньше подобные атаки будут обнаружены, тем ниже вероятность эскалации и серьезных инцидентов в корпоративной сети.
