Storm-2561 wykorzystuje fałszywe strony VPN do kradzieży korporacyjnych poświadczeń

securitybeztabu.pl 1 dzień temu

Wprowadzenie do problemu / definicja

Kampanie kradzieży poświadczeń coraz częściej łączą socjotechnikę z nadużyciem zaufania do znanych marek i narzędzi biznesowych. Jednym z najnowszych przykładów jest aktywność przypisywana grupie Storm-2561, która kieruje użytkowników na spreparowane strony podszywające się pod dostawców klientów VPN. Celem operacji jest przejęcie danych logowania do środowisk firmowych oraz informacji konfiguracyjnych, które mogą zostać wykorzystane do dalszej kompromitacji organizacji.

Atak jest szczególnie groźny, ponieważ nie opiera się na klasycznej wiadomości phishingowej. Ofiara sama wyszukuje potrzebne oprogramowanie, trafia na pozornie wiarygodną witrynę i uruchamia trojanizowany instalator, przekonana, iż instaluje legalne narzędzie do pracy zdalnej.

W skrócie

Storm-2561 wykorzystuje SEO poisoning do pozycjonowania fałszywych stron pobierania klientów VPN.
Napastnicy podszywają się pod znanych dostawców, m.in. Ivanti, Cisco i Fortinet.
Ofiara pobiera archiwum ZIP zawierające złośliwy instalator MSI.
Łańcuch ataku obejmuje boczne ładowanie bibliotek DLL i uruchomienie infostealera Hyrax.
Malware przechwytuje poświadczenia VPN, dane konfiguracyjne oraz przesyła je do infrastruktury atakujących.
Złośliwe komponenty były podpisywane ważnym certyfikatem, który później unieważniono, aby zwiększyć wiarygodność ataku.

Kontekst / historia

Według analiz badaczy kampania została wykryta w połowie stycznia 2026 roku, jednak aktywność Storm-2561 ma trwać co najmniej od maja 2025 roku. Grupa była już wcześniej łączona z dystrybucją złośliwego systemu poprzez manipulowanie wynikami wyszukiwania i podszywanie się pod popularne produkty wykorzystywane przez firmy.

W tej operacji napastnicy wykorzystali rosnącą zależność organizacji od pracy zdalnej i dostępu przez VPN. To szczególnie skuteczny scenariusz, ponieważ użytkownik sam inicjuje pobranie klienta, uznając proces za rutynowy i uzasadniony biznesowo. W efekcie obniża się poziom ostrożności, a prawdopodobieństwo uruchomienia złośliwego pliku wyraźnie rośnie.

Analiza techniczna

Początkowy wektor ataku opiera się na SEO poisoning, czyli manipulowaniu wynikami wyszukiwania w taki sposób, aby użytkownik wpisujący frazy związane z pobraniem klienta VPN trafił na fałszywą stronę. Witryny wykorzystywane w kampanii są przygotowane tak, by wizualnie przypominały legalne portale producentów oprogramowania. Kliknięcie przycisku pobierania prowadzi do archiwum ZIP zawierającego spreparowany instalator.

Po uruchomieniu pliku MSI dochodzi do instalacji pliku wykonywalnego oraz złośliwych bibliotek DLL w katalogu imitującym prawidłową ścieżkę instalacyjną legalnego oprogramowania, m.in. Pulse Secure. Taki zabieg utrudnia wykrycie incydentu zarówno użytkownikowi, jak i części narzędzi bezpieczeństwa, które mogą interpretować aktywność jako element zwykłej instalacji.

Kluczowym elementem łańcucha infekcji jest side-loading bibliotek DLL. Loader w postaci pliku dwmapi.dll oraz moduł inspector.dll, identyfikowany jako wariant infostealera Hyrax, uruchamiają szkodliwy kod pod osłoną procesu wyglądającego na zaufany. Malware przechwytuje adresy URI, dane logowania do usług VPN oraz odczytuje lokalnie zapisane informacje konfiguracyjne.

Atakujący wykorzystali również podpis cyfrowy, aby zwiększyć wiarygodność plików MSI i DLL. Złośliwe komponenty zostały podpisane certyfikatem wystawionym dla rzeczywistego podmiotu, który następnie został cofnięty. Taki mechanizm ogranicza ostrzeżenia systemowe, poprawia pozorną wiarygodność instalatora i może utrudniać detekcję w środowiskach opartych na zaufaniu do podpisanego kodu.

Mechanizm kradzieży poświadczeń wykorzystuje fałszywy interfejs przypominający legalny klient VPN. Użytkownik widzi okno logowania, wpisuje dane dostępowe, a aplikacja zamiast zestawiać połączenie przesyła informacje do serwera kontrolowanego przez napastników. Następnie wyświetlany jest komunikat błędu, a ofiara bywa kierowana do pobrania prawdziwego klienta, co dodatkowo zaciera ślady i utrudnia rozpoznanie incydentu.

Malware ustanawia także trwałość poprzez wykorzystanie klucza rejestru Windows RunOnce. Pozwala to na ponowne uruchomienie komponentów po restarcie systemu i zwiększa szansę na utrzymanie aktywności w przypadku częściowego przerwania wcześniejszych etapów infekcji.

Konsekwencje / ryzyko

Najbardziej bezpośrednim skutkiem kampanii jest utrata korporacyjnych poświadczeń do usług zdalnego dostępu. Dla napastników oznacza to możliwość logowania się do środowiska organizacji z użyciem prawidłowych danych, co może ograniczać skuteczność części tradycyjnych mechanizmów wykrywania nastawionych głównie na identyfikację malware.

Ryzyko wykracza jednak poza samą kradzież haseł. Uzyskane konfiguracje VPN, nazwy serwerów, adresy URI i inne artefakty połączeń mogą pomóc w przygotowaniu kolejnych faz ataku, takich jak ruch boczny, eskalacja uprawnień, przejęcie sesji czy wdrożenie ransomware. jeżeli po wyświetleniu błędu użytkownik zainstaluje później legalnego klienta i połączy się z siecią firmową, naruszenie może przez długi czas pozostać niezauważone.

Niebezpieczny jest także aspekt psychologiczny całej operacji. Ofiara może uznać pierwszą nieudaną instalację za zwykły problem techniczny, a nie sygnał naruszenia bezpieczeństwa. To opóźnia zgłoszenie incydentu, reset poświadczeń oraz uruchomienie procedur reagowania.

Rekomendacje

Organizacje powinny ograniczyć możliwość pobierania oprogramowania, zwłaszcza klientów VPN i narzędzi administracyjnych, z niezweryfikowanych źródeł. Najbezpieczniejszym podejściem jest dystrybucja takich aplikacji wyłącznie przez wewnętrzne repozytoria, systemy MDM, portale firmowe lub inne zatwierdzone kanały IT.

Niezbędne jest również wymuszenie wieloskładnikowego uwierzytelniania dla wszystkich kont wykorzystywanych do dostępu zdalnego. MFA nie eliminuje całkowicie ryzyka, ale znacząco utrudnia wykorzystanie przejętych poświadczeń. Równolegle warto usuwać wyjątki od polityk MFA i wdrażać dostęp warunkowy.

włączyć ochronę chmurową i mechanizmy reputacyjne w rozwiązaniach AV oraz EDR,
uruchomić tryb blokowania EDR dla artefaktów wykrywanych po naruszeniu,
aktywować ochronę sieciową i web protection,
stosować reguły redukcji powierzchni ataku blokujące wykonywanie plików o niskiej reputacji,
monitorować uruchamianie bibliotek DLL w katalogach imitujących ścieżki legalnych klientów VPN,
wykrywać procesy podpisane podejrzanymi lub cofniętymi certyfikatami,
analizować anomalie logowań VPN, takie jak nietypowa lokalizacja, nowe urządzenia czy niestandardowe godziny aktywności.

Istotnym elementem obrony pozostaje także edukacja użytkowników. Pracownicy powinni wiedzieć, iż nie należy pobierać klientów VPN z reklam, wyników sponsorowanych ani stron znalezionych przypadkowo w wyszukiwarce. Każda nietypowa instalacja, błąd klienta VPN lub niespodziewane przekierowanie powinny być traktowane jako potencjalny incydent bezpieczeństwa.

Podsumowanie

Kampania Storm-2561 pokazuje, iż skuteczna kradzież poświadczeń nie wymaga już klasycznych wiadomości phishingowych. Wystarczy przejąć zaufanie użytkownika w momencie, gdy ten sam aktywnie poszukuje narzędzia potrzebnego do pracy. Połączenie SEO poisoning, fałszywych stron producentów, podpisanego malware i realistycznego interfejsu logowania tworzy bardzo przekonujący łańcuch ataku wymierzony w środowiska korporacyjne.

Dla zespołów bezpieczeństwa to wyraźny sygnał, iż ochrona dostępu zdalnego musi obejmować nie tylko serwer VPN, ale także cały proces pobierania, instalacji i uruchamiania klienta po stronie użytkownika. Kontrola źródeł oprogramowania, MFA, telemetria EDR i monitoring anomalii logowania pozostają najważniejsze dla ograniczania skutków podobnych kampanii.