Группировка Storm-2561 распространяет поддельные VPN-клиенты Ivanti, Cisco и Fortinet для кражи корпоративных учетных данных
Выявлена кампания кражи учетных данных, в которой злоумышленники распространяют троянизированные VPN-клиенты популярных корпоративных решений. Поддельные установщики маскируются под программы Ivanti, Cisco и Fortinet и распространяются через манипулирование поисковой выдачей, что позволяет перехватывать корпоративные логины пользователей.
Эксперты выявили кампанию кражи учетных данных, в рамках которой злоумышленники распространяют поддельные клиенты корпоративных VPN. Атака нацелена на пользователей, ищущих в интернете установочные файлы популярных VPN-решений для работы, и позволяет перехватывать их учетные данные.
Кампанию связывают с группировкой Storm-2561, которая активно использует технику SEO-poisoning — манипулирование результатами поисковой выдачи. При поиске программ вроде «Pulse VPN download» или «Pulse Secure client» пользователи перенаправляются на поддельные сайты, имитирующие страницы известных поставщиков корпоративного VPN-ПО и предлагающие скачать якобы официальный клиент.
После перехода на такой сайт жертве предлагается загрузить архив с установщиком VPN-клиента. Файл размещается в репозитории GitHub и содержит MSI-установщик, который имитирует легитимное приложение. В процессе установки в систему добавляется программа Pulse.exe, а также вредоносные библиотеки dwmapi.dll и inspector.dll.
Одна из библиотек выступает загрузчиком, который запускает модифицированную версию инфостилера Hyrax. Этот вредоносный модуль собирает введенные пользователем VPN-логины и пароли, а также извлекает конфигурационные данные VPN из файла connectionstore.dat и передает их на сервер управления злоумышленников.
Для повышения доверия вредоносные файлы подписаны действительным на момент атаки цифровым сертификатом китайской компании Taiyuan Lihua Near Information Technology Co., Ltd., который впоследствии был отозван. Использование подписанного кода позволяет обходить предупреждения Windows и снижать вероятность обнаружения вредоносного ПО средствами защиты.
После ввода учетных данных поддельный VPN-клиент показывает сообщение об ошибке установки и предлагает скачать «настоящий» клиент с официального сайта поставщика. В некоторых случаях приложение даже открывает страницу производителя в браузере. Если пользователь затем устанавливает легитимную программу и успешно подключается к VPN, он не замечает признаков компрометации и может списать первоначальную ошибку на технический сбой.
По данным исследователей, злоумышленники регистрировали домены, имитирующие сайты различных производителей корпоративных VPN, включая Ivanti, Cisco, Fortinet, Sophos, SonicWall, Check Point и WatchGuard. Это позволяет атаке охватывать пользователей сразу нескольких корпоративных VPN-платформ.
Эксперты рекомендуют компаниям включать облачную защиту антивирусных решений, использовать системы EDR для блокирования подозрительных процессов и обязательно применять многофакторную аутентификацию для доступа к корпоративным сервисам, чтобы снизить последствия возможной компрометации учетных данных.
Читайте также
