Microsoft曝光Storm-2561组织利用SEO投毒传播木马VPN窃取凭据

微软披露了一项凭据窃取攻击活动的详细信息，该活动通过搜索引擎优化(SEO)投毒技术分发虚假的虚拟专用网络(VPN)客户端。

微软威胁情报和微软防护专家团队表示："该攻击活动将搜索合法企业软件的用户重定向到攻击者控制的网站上的恶意ZIP文件，以部署经过数字签名的木马程序，这些程序伪装成可信的VPN客户端，同时窃取VPN凭据。"

微软在2026年1月中旬观察到这一活动，并将其归因于Storm-2561威胁活动集群。该组织自2025年5月以来一直以通过SEO投毒传播恶意软件和冒充知名软件供应商而闻名。

该威胁行为者的攻击活动最初由Cyjax记录，突出显示了使用SEO投毒技术，将在Bing上搜索SonicWall、Hanwha Vision和Pulse Secure(现为Ivanti Secure Access)等公司软件程序的用户重定向到虚假网站，诱骗他们下载部署Bumblebee加载器的MSI安装程序。

Zscaler在2025年10月披露了该攻击的后续迭代。观察到该攻击活动利用用户在Bing上搜索合法软件，通过虚假网站("ivanti-vpn[.]org")传播木马化的Ivanti Pulse Secure VPN客户端，最终从受害者机器上窃取VPN凭据。

微软表示，该活动突出显示了威胁行为者如何利用对搜索引擎排名和软件品牌的信任作为社会工程策略，从寻找企业VPN软件的用户那里窃取数据。更严重的是滥用GitHub等可信平台来托管安装文件。

具体而言，GitHub存储库托管一个包含MSI安装程序文件的ZIP文件，该文件伪装成合法的VPN软件，但在安装过程中侧载恶意DLL文件。最终目标与之前一样，是使用名为Hyrax的信息窃取器变体收集和窃取VPN凭据。

向用户显示一个虚假但令人信服的VPN登录对话框来捕获凭据。一旦受害者输入信息，他们会看到错误消息，并被指示这次下载合法的VPN客户端。在某些情况下，他们被重定向到合法的VPN网站。

恶意软件利用Windows RunOnce注册表项来建立持久性，以便在系统重启后每次都自动执行。

微软表示："该攻击活动表现出与Storm-2561采用的以经济利益为动机的网络犯罪操作一致的特征。恶意组件由'太原力华近信息技术有限公司'进行数字签名。"

这家科技巨头已经关闭了攻击者控制的GitHub存储库，并撤销了合法证书以中和该操作。

为了应对此类威胁，建议组织和用户在所有账户上实施多因素身份验证(MFA)，从网站下载软件时要谨慎，并确保它们是真实的。

Q&A

Q1：Storm-2561组织是什么？它有什么特点？

A：Storm-2561是一个威胁活动集群，自2025年5月以来一直以通过搜索引擎优化投毒传播恶意软件和冒充知名软件供应商而闻名。该组织主要进行以经济利益为动机的网络犯罪活动。

Q2：这次攻击是如何进行的？

A：攻击者通过SEO投毒技术，将搜索合法VPN软件的用户重定向到虚假网站，诱骗他们下载伪装成合法VPN客户端的木马程序。这些程序会显示虚假的登录界面来窃取用户的VPN凭据。

Q3：如何防范这类SEO投毒攻击？

A：建议用户在所有账户上启用多因素身份验证，从网站下载软件时要谨慎验证其真实性，确保从官方渠道下载软件。组织也应加强对员工的安全意识培训。