Злоумышленник Storm-2561 использует SEO poisoning для распространения поддельных VPN-клиентов Ivanti, Cisco и Fortinet с целью кражи учетных данных. Microsoft обнаружила, что вредоносное ПО использует инфостилер Hyrax. — bleepingcomputer.com
Злоумышленник, отслеживаемый как Storm-2561, распространяет поддельные корпоративные VPN-клиенты от Ivanti, Cisco и Fortinet с целью кражи учетных данных VPN у ничего не подозревающих пользователей.
Атакующие манипулируют результатами поиска (SEO poisoning) по распространенным запросам, таким как «скачать Pulse VPN» или «клиент Pulse Secure», чтобы перенаправить жертв на поддельные сайты поставщиков VPN, которые в точности имитируют VPN-решения от легитимных разработчиков программного обеспечения.
Изучив инфраструктуру атаки и командно-контрольных серверов (C2), исследователи Microsoft обнаружили, что в рамках той же кампании использовались домены, связанные с Sophos, Sonicwall, Ivanti, Check Point, Cisco, WatchGuard и другими, нацеленные на пользователей множества корпоративных VPN-продуктов.
В ходе наблюдавшейся атаки Microsoft выяснила, что поддельные сайты ссылаются на репозиторий GitHub (в настоящее время удаленный), который размещает ZIP-архив, содержащий поддельный установщик VPN в формате MSI.
При запуске этот файл устанавливает ‘Pulse.exe’ в %CommonFiles%\Pulse Secure и размещает загрузчик (dwmapi.dll) и вариант инфостилера Hyrax (inspector.dll).
Поддельный VPN-клиент отображает правдоподобный интерфейс входа, который побуждает жертв ввести свои учетные данные, которые затем перехватываются и эксфильтруются в инфраструктуру злоумышленника.
Вредоносное ПО, которое имеет цифровую подпись легитимным, но уже отозванным сертификатом от Taiyuan Lihua Near Information Technology Co., Ltd., также похищает данные конфигурации VPN, хранящиеся в файле ‘connectionsstore.dat’ из каталога легитимной программы.
Чтобы снизить подозрения, поддельный VPN-клиент отображает ошибку установки после кражи учетных данных и перенаправляет пользователей на реальный сайт поставщика для загрузки легитимного VPN-клиента.
«Если пользователи успешно устанавливают и используют легитимное VPN-программное обеспечение после этого, и VPN-соединение работает как ожидалось, нет никаких признаков компрометации для конечных пользователей […], [которые], скорее всего, припишут первоначальный сбой установки техническим проблемам, а не вредоносному ПО», — объясняет Microsoft.
Тем временем, в фоновом режиме, вредоносное ПО-инфостилер обеспечивает постоянство Pulse.exe через ключ реестра Windows RunOnce, гарантируя, что заражение переживет перезагрузки системы.
Исследователи рекомендуют системным администраторам включить защиту, доставляемую через облако, в Defender, запустить EDR в режиме блокировки, внедрить многофакторную аутентификацию и использовать браузеры с поддержкой SmartScreen.
Microsoft также предоставила индикаторы компрометации (IoC) и рекомендации по поиску угроз, чтобы помочь своевременно обнаружить и заблокировать эту кампанию.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas