微軟報告稱，一個名為 Storm-2561 的威脅行為者正在發起一場新的憑證竊取活動，目標是 VPN 用戶。Storm-2561 至少從 2025 年 5 月起就已活躍，它以利用搜尋引擎優化 (SEO) 投毒進行惡意軟體傳播以及冒充熱門軟體供應商來吸引受害者訪問惡意網站而聞名。

新發現的攻擊活動始於 1 月中旬，其目的是誘使尋找 VPN 軟體的用戶下載使用合法數位憑證簽署的木馬程序，以逃避偵測。攻擊者不僅濫用了用戶對搜尋引擎排名的信任，而且還將惡意負載託管在 GitHub 儲存庫上，進一步增加了感染成功的幾率。

在與該活動相關的儲存庫中（已刪除），Storm-2561 託管了一個 ZIP 文件， 其中包含一個 MSI 安裝程式文件，偽裝成合法的 VPN 軟體 Pulse Secure。攻擊者利用搜尋引擎優化（SEO）投毒技術，確保搜尋「Pulse VPN 下載」或「Pulse Secure 用戶端」的使用者會在搜尋結果頁面頂部看到惡意結果。微軟表示，此次攻擊活動還冒充了其他品牌。

使用者點擊惡意結果後會被帶到惡意下載網站，但有效載荷是以從 GitHub 取得的 ZIP 檔案的形式提供的。在安裝過程中，ZIP 文件內的 MSI 程式側載了一個 DLL 文件，用於投放並啟動 Hyrax 資訊竊取程式的變種，該變​​種程式會收集 URI 和 VPN 憑證，並將它們洩漏到攻擊者控制的命令與控制 (C&C) 伺服器。

MSI 文件和 DLL 文件均使用太原利華近資訊科技有限公司頒發的有效證書進行簽名，但該證書現已被吊銷。此外，還發現了其他使用相同憑證簽署的文件，這些文件均偽裝成 VPN 應用程式。

這次攻擊中安裝的偽造 VPN 用戶端模仿了合法應用程序，顯示一個圖形用戶界面，提示受害者輸入憑證。登入資訊會立即傳送到攻擊者的 C&C 伺服器。

也觀察到，MSI 安裝透過 Windows RunOnce 註冊表項建立持久性，方法是將虛假的 VPN 應用程式新增至啟動項目。在收集到受害者的憑證後，該虛假軟體會顯示安裝錯誤訊息，提供如何下載合法的 Pulse VPN 用戶端的說明，並且在某些情況下，還會打開瀏覽器訪問合法的 VPN 網站。

微軟指出：“如果用戶之後成功安裝並使用了正版VPN軟體，且VPN連接運行正常，則最終用戶不會察覺到任何安全漏洞。用戶很可能會將初始安裝失敗歸咎於技術問題，而不是惡意軟體。”

資料來源：https://www.securityweek.com/threat-actor-targeting-vpn-users-in-new-credential-theft-campaign/