Storm-2561 koristi lažne VPN klijente za krađu korporativnih kredencijala
Grupa Storm-2561 distribuira lažne VPN instalacije za proizvode kompanija Ivanti, Cisco i Fortinet koristeći SEO trovanje rezultata pretrage za upite poput „Pulse VPN download“. Žrtve se preusmeravaju na lažne sajtove koji nude MSI instalere sa Hyrax infostealer malverom. Instalacija prikazuje legitimni VPN login ekran kako bi ukrala korisnička imena, lozinke i VPN konfiguracije, nakon čega se podaci šalju na C2 infrastrukturu napadača.
Pojašnjenje
Napadi koji koriste lažni enterprise softver ciljaju zaposlene koji samostalno instaliraju VPN klijente za pristup korporativnim mrežama. Kompromitovani VPN kredencijali omogućavaju napadačima direktan pristup internim sistemima bez potrebe za eksploatacijom ranjivosti.
Preporuke
- Preuzimati VPN klijente isključivo sa zvaničnih vendor sajtova
- Uvesti MFA za sve VPN pristupe
- Pratiti instalaciju neautorizovanih VPN klijenata na endpointima
- Detektovati pristup konekcijskim fajlovima poput connectionsstore.dat