【安全资讯】Storm-2561犯罪团伙利用伪造VPN客户端窃取用户凭证

概要：

近期，网络安全领域出现一种新型钓鱼攻击，威胁着全球企业用户的账户安全。据微软威胁情报团队披露，一个名为Storm-2561的网络犯罪团伙正通过伪造知名厂商的VPN客户端软件，大规模窃取用户凭证。该攻击利用搜索引擎优化（SEO）技术进行传播，手法隐蔽，对依赖VPN进行远程访问的企业构成了严重威胁。

主要内容：

Storm-2561团伙自2025年5月开始活跃，其核心攻击手段是供应商冒充和SEO定位。在本轮始于1月中旬的活动中，攻击者通过操纵搜索引擎结果，将伪装成CheckPoint、Cisco、Fortinet、Ivanti等厂商VPN客户端更新页面的恶意网站推至搜索结果前列。当用户搜索“Pulse VPN下载”等关键词时，便会访问这些仿冒站点。

用户点击链接后，会被重定向至托管在GitHub上的恶意仓库，下载伪装成微软Windows安装程序（MSI）文件的虚假VPN客户端。这些MSI文件在安装过程中会侧加载恶意的动态链接库（DLL）文件dwmapi.dll和inspector.dll。随后，伪造的VPN软件会弹出登录界面，诱使用户输入凭证，并将窃取到的用户名和密码发送至攻击者控制的命令与控制（C&C）服务器。

为增强欺骗性，攻击者使用了太原立华近信息技术有限公司的有效数字证书对恶意文件进行签名（该证书现已被吊销）。在用户提交凭证后，软件会显示安装失败的错误信息，并引导用户前往官方网站下载正版客户端，从而掩盖攻击行为，使受害者难以察觉。

此次攻击影响范围广泛，涉及多家主流网络安全厂商的客户。微软建议所有组织强制启用多因素身份验证（MFA），并提醒员工切勿将工作凭证存储在由个人密码保护的浏览器或密码库中，以有效防范此类凭证窃取攻击。