网络犯罪团伙伪造思科、飞塔等厂商VPN客户端窃取凭据

据微软报告，一个名为Storm-2561的网络犯罪团伙正在使用伪造的CheckPoint、思科、飞塔、Ivanti等厂商的企业VPN客户端来窃取用户凭据。

Storm-2561是一个较新的犯罪团伙（"Storm"后跟数字是微软对仍在发展中的团伙的追踪方式），自2025年5月以来一直活跃，通常使用SEO定位和厂商伪装来分发恶意软件。这次从1月中旬开始的攻击活动也不例外。

该团伙通过操纵搜索结果获得对受害者的初始访问权限，将伪装成企业VPN更新的恶意网站推送到搜索结果顶部。因此，当用户搜索VPN客户端如"Pulse VPN下载"或"Pulse Secure客户端"时，顶部结果会指向模仿真实厂商页面的虚假网站。除了上述VPN厂商外，这些还包括SonicWall、Sophos和WatchGuard的产品。

点击链接会将用户重定向到一个恶意GitHub存储库，该存储库托管着伪装成Microsoft Windows安装程序（MSI）文件的虚假VPN客户端。

微软威胁情报团队在周四的博客中表示："微软观察到对各种VPN软件品牌的伪造，并在以下两个域名中观察到GitHub链接：vpn-fortinet[.]com和ivanti-vpn[.]org。"这些GitHub存储库现已被删除。

安装程序在安装过程中会侧载恶意动态链接库（DLL）文件dwmapi.dll和inspector.dll，虚假VPN软件会提示用户输入凭据。这会捕获用户名和密码，然后将其发送到攻击者控制的命令控制服务器，同时看起来像是合法的客户端应用程序。

MSI文件和恶意DLL使用来自太原利华近信息技术有限公司的有效但现已被吊销的数字证书进行签名。

接下来是最棘手的部分：在用户将凭据输入虚假登录页面后，应用程序会立即显示错误消息，称安装失败，然后指示受害者从厂商官方网站下载合法的VPN客户端。在某些情况下，应用程序甚至会打开用户的浏览器到合法网站。

博客指出："如果用户随后成功安装并使用合法的VPN软件，且VPN连接按预期工作，最终用户不会收到任何妥协指示。用户很可能将初始安装失败归因于技术问题，而不是恶意软件。"

不出所料，由于这是微软的威胁情报报告，软件巨头推荐其产品和服务来防止凭据盗窃。但有几个关键的（且厂商中性的）安全建议需要强调。

首先，也是最重要的，在所有账户上强制执行多因素身份验证（MFA）。确保移除被排除在MFA之外的用户，并要求所有设备在任何地方、任何时候都需要MFA。

其次：提醒员工不要将工作凭据存储在使用个人凭据保护的浏览器或密码库中。

Q&A

Q1：Storm-2561是什么？它如何进行攻击？

A：Storm-2561是一个自2025年5月以来活跃的网络犯罪团伙。它通过操纵搜索结果，将伪造的VPN客户端网站推送到搜索结果顶部，当用户下载时会窃取其登录凭据。

Q2：这种虚假VPN攻击为什么很难被发现？

A：因为在窃取凭据后，应用程序会显示安装失败错误，并引导用户下载真正的VPN软件。用户成功使用真实VPN后，很容易将之前的失败归咎于技术问题而不是恶意软件。

Q3：如何防范这类VPN伪造攻击？

A：主要防护措施包括：强制在所有账户上启用多因素身份验证，确保所有设备都需要MFA验证；提醒员工不要将工作凭据存储在个人密码管理器中；从官方网站下载VPN软件。