Цільова кампанія угруповання Storm-2561, виявлена дослідниками Microsoft, демонструє новий рівень зловживань довірою до корпоративних VPN. Зловмисники маскують інфостілер Hyrax під легітимні VPN‑клієнти від відомих вендорів і просувають підроблені сайти в пошуку за допомогою тактики SEO poisoning. У зоні ризику опиняються організації, що використовують рішення Ivanti, Cisco, Fortinet, Sophos, SonicWall, Check Point, WatchGuard та інші корпоративні VPN‑платформи.
SEO poisoning: просування фейкових VPN‑сайтів у пошуковій видачі
Ключовий елемент кампанії Storm-2561 — цілеспрямоване отруєння пошукової видачі (SEO poisoning). Зловмисники реєструють домени, що візуально та структурно копіюють офіційні сайти виробників VPN, наповнюють їх релевантним контентом і агресивно оптимізують для пошукових запитів на кшталт «Pulse VPN download» або «Pulse Secure client».
У результаті користувачі, які шукають «офіційний клієнт VPN» через пошук, можуть потрапити на ретельно підроблений ресурс. Логотипи, дизайн, структура меню та тексти здебільшого не відрізняються від справжнього сайту, що суттєво підвищує шанси на успішну інфекцію навіть серед технічних користувачів.
Маскування під Ivanti, Cisco, Fortinet та інших провайдерів VPN
Дослідження інфраструктури управління Storm-2561 показало, що цільовими є одразу кілька екосистем VPN і мережевої безпеки. Підроблені домени і сайти імітують сторінки таких вендорів, як Ivanti (Pulse Secure), Cisco, Fortinet, Sophos, SonicWall, Check Point, WatchGuard.
Цей підхід дозволяє атаці охопити широку аудиторію адміністраторів та співробітників, які самостійно завантажують VPN‑клієнти для віддаленого доступу до корпоративних ресурсів. Для багатьох організацій завантаження VPN‑ПО через пошук досі залишається стандартною практикою, що робить SEO poisoning особливо небезпечним.
Ланцюжок зараження: GitHub, підроблений встановлювач і інфостілер Hyrax
Після переходу на фейковий сайт жертва отримує посилання на репозиторій у GitHub (на момент публікації вже видалений), де розміщувався ZIP‑архів з підробленим MSI‑встановлювачем VPN‑клієнта. Цей встановлювач запускає повний ланцюжок компрометації.
Підроблений VPN‑клієнт та модулі Hyrax
Під час виконання шкідливий інсталятор:
- створює файл Pulse.exe у каталозі
%CommonFiles%\Pulse Secure, імітуючи легітимний VPN‑клієнт; - розгортає завантажувач dwmapi.dll як частину механізму запуску;
- доставляє модуль інфостілера Hyrax у вигляді бібліотеки
inspector.dll.
Фальшивий VPN‑клієнт відображає правдоподібне вікно авторизації і запитує у користувача логін та пароль. Уведені облікові дані тихо перехоплюються та надсилаються на інфраструктуру Storm-2561. Додатково Hyrax читає файл connectionsstore.dat справжнього клієнта Pulse Secure, витягаючи конфігурації VPN‑підключень і параметри тунелів.
Зловживання цифровими сертифікатами для обходу детекції
Особливої уваги заслуговує факт, що шкідливе ПЗ підписане реальним, але відкликаним цифровим сертифікатом компанії Taiyuan Lihua Near Information Technology. Підписаний двійковий файл часто сприймається системами безпеки та користувачами як більш надійний, і частина захисних механізмів може застосовувати до нього пом’якшені політики.
Зловживання відкликаними або скомпрометованими сертифікатами — стійка тенденція в сучасних атаках. Вона ускладнює виявлення шкідливих компонентів, особливо в середовищах, де не налаштовано сувору перевірку статусу сертифікатів (OCSP/CRL) на кінцевих точках.
Соціальна інженерія: чому користувачі не помічають компрометацію
Після викрадення облікових даних та конфігурацій VPN шкідливий інсталятор виводить повідомлення про нібито помилку встановлення і автоматично перенаправляє користувача на справжній сайт вендора для повторного завантаження клієнта.
З погляду користувача ситуація виглядає як стандартний збій: перша інсталяція не спрацювала, друга — з офіційного сайту — пройшла успішно. У результаті більшість жертв не пов’язують помилку з потенційною атакою та продовжують використовувати ті самі логіни й паролі, які вже опинилися в руках зловмисників.
Галузеві звіти з інцидентів безпеки (зокрема дослідження на кшталт Verizon DBIR) роками фіксують, що компрометація облікових даних є одним із головних чинників успішних атак на корпоративні мережі. Storm-2561 логічно вписується в цей тренд, фокусуючись саме на крадіжці VPN‑доступів і системних акаунтів.
Наслідки для організацій та рекомендації з захисту від атак на корпоративний VPN
Що отримує зловмисник разом із VPN‑доступом
Компрометація корпоративного VPN‑клієнта фактично означає для організації віддалений доступ зловмисника до внутрішньої мережі. Маючи валідні облікові дані та конфігурації тунелів, атакуючий може:
- підключатися до інфраструктури як легітимний користувач;
- обходити зовнішні мережеві засоби захисту та периметрові фаєрволи;
- розвивати атаку далі: здійснювати латеральне переміщення, ескалувати привілеї, викрадати чутливі дані або розгортати програми‑вимагачі.
Практичні кроки захисту: поради від Microsoft та галузеві практики
Microsoft рекомендує адміністраторам і фахівцям з безпеки впровадити комплексний підхід до протидії подібним кампаніям:
- Увімкнути хмарний захист у Microsoft Defender для оперативного отримання нових сигнатур, репутаційних даних та індикаторів компрометації.
- Запустити EDR у режимі блокування, щоб не лише виявляти підозрілу активність, але й автоматично блокувати виконання шкідливих процесів на кінцевих точках.
- Використовувати багатофакторну автентифікацію (MFA) для VPN та ключових бізнес‑систем, зменшуючи цінність викрадених паролів.
- Застосовувати браузери з підтримкою Microsoft SmartScreen або аналогічних технологій репутаційної перевірки URL та файлів.
- Проводити навчання співробітників і адміністраторів: завантажувати VPN‑клієнти та оновлення лише з офіційних сайтів виробників, а не через випадкові результати пошуку чи сторонні ресурси.
Storm-2561 наочно показує, що навіть рутинна дія — «знайти та скачати VPN‑клієнт через пошук» — може стати відправною точкою серйозного інциденту. Організаціям варто переглянути процеси управління віддаленим доступом, жорстко контролювати джерела програмного забезпечення, повсюдно впроваджувати MFA та сучасні засоби захисту кінцевих пристроїв. Чим раніше буде виявлено подібні атаки, тим менший шанс їх ескалації до масштабного компрометування корпоративної мережі.
