【安全资讯】黑客利用伪造企业VPN客户端窃取公司凭证

概要：

在日益依赖远程办公的今天，企业VPN成为保障网络访问安全的关键。然而，一场精心策划的网络钓鱼活动正利用伪造的知名VPN客户端安装程序，窃取企业员工的登录凭证，对全球多个行业构成严重威胁。微软研究人员近期披露了由威胁组织Storm-2561发起的这场攻击，其手法隐蔽，影响广泛。

主要内容：

威胁组织Storm-2561通过搜索引擎优化（SEO）投毒技术，操纵“Pulse VPN下载”等常见搜索结果的排名，将用户引导至仿冒的Ivanti、Cisco、Fortinet等VPN供应商网站。这些虚假网站外观逼真，提供指向托管在GitHub上的恶意ZIP压缩包的下载链接。

压缩包内含一个伪造的VPN MSI安装程序。执行后，该程序会在系统目录安装‘Pulse.exe’，并释放一个加载器（dwmapi.dll）以及Hyrax信息窃取木马的变种（inspector.dll）。该恶意软件使用太原立华近信息技术有限公司已吊销的合法证书进行数字签名，以增强欺骗性。

伪造的VPN客户端会显示一个看似正常的登录界面，诱骗用户输入企业VPN凭证。凭证被窃取后，恶意软件还会从合法程序目录中窃取存储VPN配置数据的‘connectionsstore.dat’文件。为消除怀疑，假客户端在窃密后会显示安装错误，并将用户重定向至真正的供应商网站。

攻击得逞的核心在于其高度的欺骗性和隐蔽性。恶意程序通过Windows RunOnce注册表键实现持久化，确保系统重启后仍能运行。由于用户后续安装正版VPN可正常使用，他们很可能将初次安装失败归咎于技术问题，从而难以察觉已遭入侵。微软建议启用云交付保护、EDR拦截模式、多因素认证等措施进行防御。