概要

Microsoft は、偽の仮想プライベートネットワーク（VPN）クライアントを使用して資格情報を盗むキャンペーンの詳細を発表しました。このキャンペーンは、検索エンジン最適化（SEO）毒素技術を通じて、ユーザーが正当な企業ソフトウェアを検索しているときに攻撃者制御のウェブサイト上の悪意のある ZIP ファイルにリダイレクトします。

キャンペーンの詳細

Microsoft の脅威インテリジェンスおよび Microsoft Defender Experts チームは、このキャンペーンが、5 月 2025 年から偽のソフトウェアベンダーを装ってマルウェアを広めることが知られている Storm-2561 という脅威活動クラスターによって展開されていると報告しています。

SEO 毒素の使用

この脅威アクターのキャンペーンは、Cyjax によって最初に文書化され、SonicWall、Hanwha Vision、および Pulse Secure（現在の Ivanti Secure Access）などの企業のソフトウェアプログラムを検索しているユーザーを偽のサイトにリダイレクトし、MSI インストーラーをダウンロードさせることで、Bumblebee ローダーを展開する手法が使用されていると報告されました。

GitHub の悪用

このキャンペーンは、GitHub リポジトリで ZIP ファイルをホストし、これが正当な VPN ソフトウェアとして偽装され、インストール時に悪意のある DLL ファイルをサイドロードするという手法を使用しています。

マルウェアの機能

• 偽の VPN サインインダイアログを表示し、資格情報を収集します。
• Windows RunOnce レジストリキーを使用して、システム再起動時に自動的に実行されるように持続性を設定します。

対策

Microsoft は、このキャンペーンが財政的に動機付けられたサイバー犯罪活動であると指摘し、組織とユーザーはマルウェア対策として、すべてのアカウントに多要素認証（MFA）を実装し、ソフトウェアをダウンロードする際には注意を払うことを推奨しています。

元記事: https://thehackernews.com/2026/03/storm-2561-spreads-trojan-vpn-clients.html