微软披露了一项凭据窃取攻击活动的详细信息,该活动通过搜索引擎优化(SEO)投毒技术分发虚假的虚拟专用网络(VPN)客户端。
微软威胁情报和微软防护专家团队表示:"该攻击活动将搜索合法企业软件的用户重定向到攻击者控制的网站上的恶意ZIP文件,以部署经过数字签名的木马程序,这些程序伪装成可信的VPN客户端,同时窃取VPN凭据。"
微软在2026年1月中旬观察到这一活动,并将其归因于Storm-2561威胁活动集群。该组织自2025年5月以来一直以通过SEO投毒传播恶意软件和冒充知名软件供应商而闻名。
该威胁行为者的攻击活动最初由Cyjax记录,突出显示了使用SEO投毒技术,将在Bing上搜索SonicWall、Hanwha Vision和Pulse Secure(现为Ivanti Secure Access)等公司软件程序的用户重定向到虚假网站,诱骗他们下载部署Bumblebee加载器的MSI安装程序。
Zscaler在2025年10月披露了该攻击的后续迭代。观察到该攻击活动利用用户在Bing上搜索合法软件,通过虚假网站("ivanti-vpn[.]org")传播木马化的Ivanti Pulse Secure VPN客户端,最终从受害者机器上窃取VPN凭据。
微软表示,该活动突出显示了威胁行为者如何利用对搜索引擎排名和软件品牌的信任作为社会工程策略,从寻找企业VPN软件的用户那里窃取数据。更严重的是滥用GitHub等可信平台来托管安装文件。
具体而言,GitHub存储库托管一个包含MSI安装程序文件的ZIP文件,该文件伪装成合法的VPN软件,但在安装过程中侧载恶意DLL文件。最终目标与之前一样,是使用名为Hyrax的信息窃取器变体收集和窃取VPN凭据。
向用户显示一个虚假但令人信服的VPN登录对话框来捕获凭据。一旦受害者输入信息,他们会看到错误消息,并被指示这次下载合法的VPN客户端。在某些情况下,他们被重定向到合法的VPN网站。
恶意软件利用Windows RunOnce注册表项来建立持久性,以便在系统重启后每次都自动执行。
微软表示:"该攻击活动表现出与Storm-2561采用的以经济利益为动机的网络犯罪操作一致的特征。恶意组件由'太原力华近信息技术有限公司'进行数字签名。"
这家科技巨头已经关闭了攻击者控制的GitHub存储库,并撤销了合法证书以中和该操作。
为了应对此类威胁,建议组织和用户在所有账户上实施多因素身份验证(MFA),从网站下载软件时要谨慎,并确保它们是真实的。
Q&A
Q1:Storm-2561组织是什么?它有什么特点?
A:Storm-2561是一个威胁活动集群,自2025年5月以来一直以通过搜索引擎优化投毒传播恶意软件和冒充知名软件供应商而闻名。该组织主要进行以经济利益为动机的网络犯罪活动。
Q2:这次攻击是如何进行的?
A:攻击者通过SEO投毒技术,将搜索合法VPN软件的用户重定向到虚假网站,诱骗他们下载伪装成合法VPN客户端的木马程序。这些程序会显示虚假的登录界面来窃取用户的VPN凭据。
Q3:如何防范这类SEO投毒攻击?
A:建议用户在所有账户上启用多因素身份验证,从网站下载软件时要谨慎验证其真实性,确保从官方渠道下载软件。组织也应加强对员工的安全意识培训。
好文章,需要你的鼓励
苹果已开始在印度分阶段恢复Apple账户的信用卡支付功能,用户可绑定Visa和Mastercard信用卡及借记卡,用于购买iCloud+、Apple Music订阅及App Store应用。此前,由于印度储备银行于2021年推出新的周期性支付监管框架,苹果于2022年5月暂停了该支付方式。此次恢复标志着苹果在适应各国本地化监管要求方面的持续努力,同时也引发外界对苹果是否将在印度推出Apple Pay的新猜测。
腾讯混元等机构提出HiLS-Attention,通过端到端可学习的分层稀疏注意力机制,让大模型在超长上下文推理中比全量注意力快14倍,同时检索准确率更高。
Bookshop.org创始人Andy Hunter证实,与Kobo的合作集成将于今年落地。此前该计划历经多次推迟,网页措辞一度从"2026年"改为"未来某时"。Hunter表示,双方已就商业条款达成一致,工程团队正将资源重新投入Kobo支持开发,但尚无具体上线日期。该集成将支持数字版权管理要求,让用户通过Bookshop.org购买电子书,同时支持独立书店。
DSpark是DeepSeek与北京大学提出的投机解码框架,通过半自回归生成和置信度调度验证两项创新,将DeepSeek-V4用户生成速度提升60%至85%。