СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
13 марта
#ИБ

Storm-2561: SEO-отравление и поддельные VPN крадут учётные данные

В январе 2026 года был зафиксирован масштабный эпизод кражи учетных данных, атрибутированный злоумышленнику Storm-2561. Атакующие использовали метод Отравление поисковой оптимизации (SEO), чтобы перенаправлять пользователей, ищущих легитимные корпоративные VPN‑клиенты, на поддельные сайты с вредоносными архивами. По данным исследования, кампания активна с мая 2025 года и нацелена на создание кажущейся легитимности загружаемых файлов — вплоть до цифровой подписи троянов.

Суть атаки: как работает схема

Механика кампании последовательно строится для максимального обмана и сбора учетных данных:

  • Атакующие проводят SEO-работу, чтобы страницы злоумышленников появлялись в результатах поисковых запросов по ключевым словам, связанным с известными продуктами VPN — в частности, упоминался бренд Pulse Secure;
  • Пользователь кликает по результату поиска и попадает на фишинговый сайт, маскирующийся под официальный ресурс производитея VPN;
  • С сайта предлагается загрузить архив ZIP, внутри которого находится установщик формата MSI, визуально очень похожий на подлинный инсталлятор;
  • Во время установки MSI загружает дополнительные DLL-компоненты из инфраструктуры злоумышленников и изменяет системные параметры для закрепления в системе (например, раздел реестра Windows RunOnce), что обеспечивает запуск вредоноса при перезагрузке;
  • Установщик показывает интерфейс, имитирующий процедуру входа в VPN — вместо установления соединения этот интерфейс собирает учетные данные и пересылает их на управляющую инфраструктуру злоумышленников;
  • После передачи данных жертве демонстрируется ложное сообщение об ошибке, предлагающее переустановку «официального» ПО, что помогает удержать пользователя в неведении о компрометации и снижает вероятность немедленной реакции;
  • Собранные учетные данные и конфигурационные данные VPN фильтруются в инфраструктуру управления и контроля (C2) злоумышленников.

Маскировка и обход защит

Чтобы повысить доверие и усложнить обнаружение, злоумышленники применяли несколько техник:

  • Трояны поставлялись с цифровой подписью — подпись фигурировала как выданная компании Taiyuan Lihua Near Information Technology Co., Ltd., однако впоследствии сертификат был отозван;
  • Инсталлятор имитировал поведение законного ПО, включая сложный процесс установки и загрузку дополнительных компонентов, что усложняет быстрое распознавание зловреда;
  • При успешной компрометации система пользователя не показывает очевидных признаков взлома: вводятся правдоподобные сообщения об ошибках и рекомендации по «переустановке» официального клиента;
  • Инспекторный компонент DLL может получать доступ к сохранённым конфигурациям VPN, что облегчает дальнейший несанкционированный доступ к корпоративным ресурсам.

«Защитник Microsoft обнаружил различные компоненты, связанные с этой кампанией, включая сигнатуру вредоносного ПО и аномальное поведение, связанное с кражей учетных данных», — говорится в материале по инциденту.

Последствия для организаций

Успешная кража учетных данных VPN представляет серьёзную угрозу для корпоративной безопасности: получив доступ к VPN‑учётке, злоумышленник потенциально может проникнуть в корпоративную сеть, обойти perimeter‑защиту и перейти к последующим целям — от эксплойта внутренних сервисов до длительной скрытой активности.

Рекомендации по защите

На фоне использования злоумышленниками методов социальной инженерии и технических трюков организации должны укреплять как технические, так и организационные меры защиты. Рекомендуемые шаги:

  • Загружать дистрибутивы ПО только с официальных сайтов вендоров и проверять URL перед загрузкой;
  • Проверять цифровую подпись и статус сертификата (CRL/OCSP) у загружаемых установщиков; учитывать, что наличие подписи не гарантирует безопасности, если сертификат позже был скомпрометирован или отозван;
  • Внедрять и принудительно использовать многофакторную аутентификацию (MFA) для доступа по VPN;
  • Ограничивать выполнение кода из временных каталогов и мест загрузки браузера, применять application allowlisting;
  • Мониторить изменения в реестре (включая RunOnce) и подозрительную подгрузку DLL‑компонентов; отслеживать поведение процессов установщиков;
  • Использовать современные EDR/AV‑решения с актуальными сигнатурами и поведенческим анализом, в том числе Microsoft Defender и аналогичные продукты;
  • Проводить регулярное обучение сотрудников цифровой гигиене: как распознавать фишинговые страницы, не загружать ПО по ссылкам из результатов поиска и проверять подлинность сайтов;
  • Ограничивать права пользователей и сегментировать сеть, чтобы при компрометации учетной записи минимизировать доступ к критическим ресурсам.

Вывод

Кампания Storm-2561 демонстрирует, что классические угрозы — фишинг, поддельные инсталляторы и социальная инженерия — остаются эффективными при сочетании с техническими приёмами маскировки. Даже в 2026 году злоумышленники продолжают использовать SEO‑отравление и цифровые подписи, чтобы повысить вероятность успешной компрометации. Надёжные технические контрмеры и систематическое обучение пользователей остаются ключом к снижению рисков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: