{
“title”: “Storm-2561 Uses SEO Poisoning, Fake Signed VPN Apps to Steal Enterprise Credentials”,
“content”: “
Storm-2561の攻撃手法
\n
財務的な動機を持つ脅威アクターであるStorm-2561は、SEO汚染と偽の署名付きVPNインストーラーを悪用して企業のVPN資格情報を盗むキャンペーンを展開しています。
\n
2025年5月から活動を開始し、Storm-2561はユーザーの信頼を悪用して、検索結果の上位に不正なページを表示し、偽のVPNダウンロードサイトにユーザーを誘導しています。これらのサイトは、攻撃者が管理するドメイン(例:vpn-fortinet[.]com、ivanti-vpn[.]org)でホストされています。
\n\n
攻撃の詳細
\n
ユーザーは、これらの偽のサイトから不正なGitHubリポジトリにリダイレクトされ、ZIPアーカイブ(VPN-CLIENT.zip)が含まれる不正なMSIインストーラーをダウンロードします。このZIPアーカイブには、トロイの木馬化されたMSIインストーラーが含まれています。
\n
インストーラーは、正当なVPNクライアントとして偽装しながら、実際には署名されたマルウェアコンポーネントを展開し、VPN資格情報と構成データを収集します。
\n\n
ハルク(Hyrax)マルウェア
\n
インストール時に、不正なMSIはPulse.exeと追加のDLL(dwmapi.dll、inspector.dll)をドロップします。dwmapi.dllは、インメモリローダーとして機能し、埋め込まれたシェルコードを実行します。このシェルコードは、ハルク(Hyrax)情報窃取マルウェアの変種であるinspector.dllをロードします。
\n
ハルクは、URIとVPNサインイン詳細、およびC:\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\