1. 首頁 > 生活百科 > >

網絡犯罪團伙偽造思科、飛塔等廠商VPN客戶端竊取憑據

思科軟件VPN網絡犯罪

網絡犯罪團伙偽造思科、飛塔等廠商VPN客戶端竊取憑據

據微軟報告 , 一個名為Storm-2561的網絡犯罪團伙正在使用偽造的CheckPoint、思科、飛塔、Ivanti等廠商的企業VPN客戶端來竊取用戶憑據 。

Storm-2561是一個較新的犯罪團伙(\"Storm\"后跟數字是微軟對仍在發展中的團伙的追蹤方式) , 自2025年5月以來一直活躍 , 通常使用SEO定位和廠商偽裝來分發惡意軟件 。 這次從1月中旬開始的攻擊活動也不例外 。
該團伙通過操縱搜索結果獲得對受害者的初始訪問權限 , 將偽裝成企業VPN更新的惡意網站推送到搜索結果頂部 。 因此 , 當用戶搜索VPN客戶端如\"Pulse VPN下載\"或\"Pulse Secure客戶端\"時 , 頂部結果會指向模仿真實廠商頁面的虛假網站 。 除了上述VPN廠商外 , 這些還包括SonicWall、Sophos和WatchGuard的產品 。
點擊鏈接會將用戶重定向到一個惡意GitHub存儲庫 , 該存儲庫托管著偽裝成Microsoft Windows安裝程序(MSI)文件的虛假VPN客戶端 。
微軟威脅情報團隊在周四的博客中表示:\"微軟觀察到對各種VPN軟件品牌的偽造 , 并在以下兩個域名中觀察到GitHub鏈接:vpn-fortinet[.
com和ivanti-vpn[.
org 。 \"這些GitHub存儲庫現已被刪除 。
安裝程序在安裝過程中會側載惡意動態鏈接庫(DLL)文件dwmapi.dll和inspector.dll , 虛假VPN軟件會提示用戶輸入憑據 。 這會捕獲用戶名和密碼 , 然后將其發送到攻擊者控制的命令控制服務器 , 同時看起來像是合法的客戶端應用程序 。
MSI文件和惡意DLL使用來自太原利華近信息技術有限公司的有效但現已被吊銷的數字證書進行簽名 。
接下來是最棘手的部分:在用戶將憑據輸入虛假登錄頁面后 , 應用程序會立即顯示錯誤消息 , 稱安裝失敗 , 然后指示受害者從廠商官方網站下載合法的VPN客戶端 。 在某些情況下 , 應用程序甚至會打開用戶的瀏覽器到合法網站 。
博客指出:\"如果用戶隨后成功安裝并使用合法的VPN軟件 , 且VPN連接按預期工作 , 最終用戶不會收到任何妥協指示 。 用戶很可能將初始安裝失敗歸因于技術問題 , 而不是惡意軟件 。 \"
不出所料 , 由于這是微軟的威脅情報報告 , 軟件巨頭推薦其產品和服務來防止憑據盜竊 。 但有幾個關鍵的(且廠商中性的)安全建議需要強調 。
首先 , 也是最重要的 , 在所有賬戶上強制執行多因素身份驗證(MFA) 。 確保移除被排除在MFA之外的用戶 , 并要求所有設備在任何地方、任何時候都需要MFA 。
其次:提醒員工不要將工作憑據存儲在使用個人憑據保護的瀏覽器或密碼庫中 。
Q&A
Q1:Storm-2561是什么?它如何進行攻擊?
A:Storm-2561是一個自2025年5月以來活躍的網絡犯罪團伙 。 它通過操縱搜索結果 , 將偽造的VPN客戶端網站推送到搜索結果頂部 , 當用戶下載時會竊取其登錄憑據 。
Q2:這種虛假VPN攻擊為什么很難被發現?
【網絡犯罪團伙偽造思科、飛塔等廠商VPN客戶端竊取憑據】A:因為在竊取憑據后 , 應用程序會顯示安裝失敗錯誤 , 并引導用戶下載真正的VPN軟件 。 用戶成功使用真實VPN后 , 很容易將之前的失敗歸咎于技術問題而不是惡意軟件 。
Q3:如何防范這類VPN偽造攻擊?
A:主要防護措施包括:強制在所有賬戶上啟用多因素身份驗證 , 確保所有設備都需要MFA驗證;提醒員工不要將工作憑據存儲在個人密碼管理器中;從官方網站下載VPN軟件 。

    推薦閱讀