Microsoft-Sicherheitsforscher warnen vor einer zielgerichteten Kampagne der Gruppe Storm-2561, die gefälschte Webseiten bekannter Hersteller von Unternehmens-VPNs nutzt, um den Infostealer Hyrax zu verbreiten. Besonders im Fokus stehen Organisationen, die VPN-Lösungen von Ivanti, Cisco, Fortinet, Sophos, SonicWall, Check Point, WatchGuard und weiteren Anbietern einsetzen.
SEO-Poisoning: Wie gefaelschte VPN-Webseiten in die Top-Suchergebnisse gelangen
Kern der Kampagne ist die Taktik des SEO-Poisoning. Angreifer registrieren Domains, die offiziellen VPN-Anbieterseiten stark ähneln, und optimieren diese aggressiv für Suchmaschinen. Suchen Nutzer nach Begriffen wie „Pulse VPN download“ oder „Pulse Secure client“, können sie statt auf die legitime Herstellerseite auf eine täuschend echt nachgebaute Fake-Seite gelangen.
Design, Logos und Texte dieser Seiten sind den Originalen so ähnlich, dass selbst erfahrene Administratoren sie auf den ersten Blick kaum unterscheiden können. Dadurch erhöht sich die Wahrscheinlichkeit, dass vermeintliche „Updates“ oder „VPN-Clients“ heruntergeladen werden, hinter denen in Wirklichkeit Schadsoftware steckt.
Zielgruppe: Administratoren und Remote-Mitarbeiter von VPN-Betreibern
Die Analyse der Infrastruktur von Storm-2561 zeigt, dass Domains aufgebaut werden, die gleichzeitig mehrere Sicherheitsanbieter imitieren – darunter Sophos, SonicWall, Ivanti, Check Point, Cisco, WatchGuard und weitere Hersteller von VPN-Gateways und Firewalls. Damit adressiert die Gruppe genau jene Zielpersonen, die in Unternehmen weitreichende Zugriffsrechte besitzen.
Besonders riskant ist, dass häufig IT-Administratoren und Remote-Mitarbeiter selbst nach VPN-Clients und Updates suchen, etwa auf neuen Endgeräten oder in Eil-Situationen. Wer dann auf eine manipulierte Suchergebnis-Seite hereinfällt, installiert unbewusst Malware direkt auf einem sensiblen System.
Technischer Ablauf: Vom Fake-Installer zum Hyrax-Infostealer
Die gefälschten VPN-Seiten leiteten Betroffene auf ein Repository auf GitHub weiter, in dem ein ZIP-Archiv mit einem manipulierten MSI-Installer abgelegt war. Wird dieser Installer ausgeführt, führt er mehrere Schritte aus:
- Er legt eine Datei Pulse.exe im Verzeichnis
%CommonFiles%\Pulse Securean, um einen legitimen VPN-Client vorzutäuschen. - Er installiert einen schädlichen Loader dwmapi.dll.
- Er bringt eine Variante des Infostealers Hyrax als
inspector.dllauf das System und aktiviert sie.
Der vermeintliche VPN-Client zeigt anschließend eine glaubwürdige Login-Oberfläche an. Dort eingegebene Anmeldeinformationen werden durch den Hyrax-Infostealer abgegriffen und an Command-and-Control-Server der Angreifer übermittelt. Zusätzlich liest die Malware Konfigurationsdaten bestehender VPN-Verbindungen aus der Datei connectionsstore.dat des legitimen Pulse-Secure-Clients aus.
Missbrauch digitaler Zertifikate erschwert die Erkennung
Besonders kritisch ist, dass der schädliche Code mit einem echten, jedoch bereits widerrufenen Zertifikat der Firma Taiyuan Lihua Near Information Technology signiert wurde. Signierte Binärdateien genießen in vielen Umgebungen noch immer ein höheres Grundvertrauen. Dies kann dazu führen, dass Sicherheitsprodukte oder Administratoren die Datei weniger gründlich prüfen.
Soziale Ingenieurskunst: Warum der Angriff unbemerkt bleibt
Nach erfolgreicher Datendiebstahl-Phase zeigt der Installer eine scheinbare Fehlermeldung bei der Installation an und leitet den Nutzer automatisch auf die echte Webseite des VPN-Anbieters weiter. Dort lädt das Opfer in der Regel den authentischen Client herunter und installiert ihn erfolgreich.
Aus Sicht des Anwenders wirkt dies wie ein harmloser technischer Fehler bei der ersten Installation. Die kompromittierenden Vorgänge im Hintergrund bleiben unsichtbar, die gestohlenen Zugangsdaten werden weiterhin genutzt. Branchenberichte wie der jährlich erscheinende Verizon Data Breach Investigations Report (DBIR) zeigen seit Jahren, dass Kompromittierungen von Zugangsdaten einen erheblichen Anteil an erfolgreichen Unternehmensangriffen ausmachen – die Kampagne von Storm-2561 fügt sich nahtlos in dieses Muster ein.
Risiken fuer Unternehmen: Wenn der VPN-Zugang zur Eintrittskarte wird
Werden VPN-Zugangsdaten und Konfigurationsprofile entwendet, erhalten Angreifer potenziell direkten Remote-Zugang zur internen Infrastruktur – oft mit Rechten, die weit über jene gewöhnlicher Benutzerkonten hinausgehen. Mit gültigen Credentials können sie:
- sich als legitimer Nutzer am Unternehmens-VPN anmelden,
- Perimeter-Sicherheitslösungen wie Firewalls weitgehend umgehen,
- laterale Bewegungen im Netzwerk durchführen, Daten abziehen und im schlimmsten Fall Ransomware ausrollen.
Da viele Organisationen noch immer stark auf VPNs als primären Remote-Zugangsweg setzen, wird der Diebstahl von VPN-Zugängen zu einem zentralen Angriffsvektor in modernen, identitätsbasierten Angriffskampagnen.
Empfohlene Schutzmassnahmen gegen SEO-Poisoning und gefaelschte VPN-Clients
Microsoft und Sicherheitsexperten empfehlen, technische und organisatorische Maßnahmen zu kombinieren, um Kampagnen wie Storm-2561 wirksam zu begegnen:
- Mehrfaktor-Authentifizierung (MFA) erzwingen: Für VPN-Zugänge und kritische Systeme sollte MFA obligatorisch sein, um den Nutzen gestohlener Passwörter deutlich zu reduzieren.
- Endpoint Detection & Response (EDR) im Blockiermodus: Moderne EDR-Lösungen sollten nicht nur alarmieren, sondern verdächtige Prozesse aktiv blockieren. In Microsoft-Umgebungen empfiehlt sich der EDR Block Mode in Kombination mit aktivierter Cloud-Schutzfunktion von Microsoft Defender.
- Vertrauenswürdige Download-Quellen erzwingen: VPN-Clients und Updates sollten ausschließlich über direkt aufgerufene offizielle Herstellerseiten oder interne Softwareverteilungsplattformen bezogen werden – nicht über Werbeanzeigen oder beliebige Suchergebnisse.
- Browser- und URL-Schutz nutzen: Funktionen wie Microsoft SmartScreen oder vergleichbare Reputationsdienste für URLs und Downloads helfen, bekannte schädliche Domains frühzeitig zu blockieren.
- Bewusstsein schärfen: Schulungen für Administratoren und Mitarbeitende sollten explizit auf SEO-Poisoning, Fake-Downloadseiten und den sicheren Umgang mit Fernzugangslösungen eingehen.
- Überwachung von VPN-Anmeldungen: Security-Teams sollten Login-Muster auf Auffälligkeiten wie „Impossible Travel“, ungewohnte Anmeldezeiten oder neue Geo-Standorte überwachen und mit automatisierten Reaktionen verknüpfen.
Organisationen, die Remote-Zugänge betreiben, sollten ihre Prozesse für das Beschaffen und Aktualisieren von VPN-Clients kritisch überprüfen, Zugriffsrechte minimieren und konsequent auf MFA und moderne Endpoint-Sicherheit setzen. Wer Suchergebnisse, scheinbar vertraute Markenlogos und signierte Installer nicht mehr automatisch als vertrauenswürdig einstuft, reduziert das Risiko, Kampagnen wie Storm-2561 zum Opfer zu fallen – und stärkt insgesamt die Resilienz der eigenen Unternehmenssicherheit.
