مایکروسافت جزئیات یک کمپین پیچیده سرقت اعتبارنامههای VPN را منتشر کرده است که در آن گروه تهدیدات سایبری Storm-2561 از تکنیکهای SEO Poisoning برای گسترش کلاینتهای VPN تروجانشده و سرقت اعتبارنامههای VPN کاربران استفاده میکند. این کمپین بهویژه از اعتماد کاربران به نتایج جستجوی موتورهای جستجو و برندهای معتبر نرمافزاری برای هدایت کاربران به وبسایتهای جعلی سوءاستفاده میکند. در نهایت این حمله منجر به سرقت اعتبارنامههای VPN کاربران میشود.
طبق گزارش تیمهای Microsoft Threat Intelligence و Microsoft Defender Experts، مهاجمان از نتایج جستجوی نرمافزارهای معتبر سازمانی استفاده کرده و کاربران را به دانلود فایلهای ZIP آلوده از وبسایتهای مخرب هدایت میکنند. این فایلها در ظاهر نرمافزارهای VPN قانونی با امضای دیجیتال معتبر هستند، اما در واقع تروجانهایی هستند که برای سرقت اعتبارنامههای VPN طراحی شدهاند.
Storm-2561: گروه تهدیدات سایبری که از SEO Poisoning برای توزیع بدافزار استفاده میکند
بر اساس گزارشهای مایکروسافت، فعالیت این کمپین از اواسط ژانویه 2026 شناسایی شده و به گروه تهدیدات سایبری Storm-2561 نسبت داده میشود. این گروه از SEO Poisoning برای گسترش بدافزار و جعل هویت شرکتهای نرمافزاری شناختهشده از جمله SonicWall، Hanwha Vision و Pulse Secure استفاده میکند. مهاجمان با دستکاری نتایج موتور جستجو، لینکهای مخرب را بهطور عمدی در نتایج بالای جستجو قرار میدهند تا کاربران هنگام جستجوی نرمافزارهای معتبر، بهجای سایتهای رسمی، به وبسایتهای جعلی هدایت شوند.
سابقه حملات Storm-2561 و توزیع کلاینت VPN تروجانشده Ivanti
گروه Storm-2561 فعالیتهای خود را با استفاده از SEO Poisoning و حملات MSI Installer که در وبسایتهای جعلی میزبانی میشود، گسترش داده است. شرکت Zscaler در اکتبر 2025، نسخه جدیدی از این کمپین را شناسایی کرد که در آن مهاجمان از نتایج جستجوی کاربران برای نرمافزارهای معتبر Ivanti Pulse Secure VPN استفاده میکنند. کاربران که به دامنههای جعلی مانند ivanti-vpn[.]org هدایت میشوند، در نهایت کلاینت VPN تروجانشده را دانلود کرده و اطلاعات ورود VPN آنها به سرقت میرود.
استفاده از پلتفرمهای معتبر مانند GitHub برای میزبانی بدافزار
یکی از نکات قابل توجه در این کمپین، سوءاستفاده از پلتفرمهای معتبر برای میزبانی بدافزار است. مهاجمان از GitHub برای میزبانی فایلهای آلوده استفاده کرده و در آن یک مخزن شامل فایلهای ZIP قرار میدهند که درون آن یک MSI Installer جعلی است. این فایل بهظاهر یک نرمافزار VPN معتبر است، اما در زمان نصب، با استفاده از تکنیک DLL Sideloading فایلهای مخرب را بارگذاری میکند که موجب اجرای بدافزار در سیستم قربانی میشود.
سرقت اطلاعات با استفاده از Infostealer به نام Hyrax
هدف اصلی مهاجمان در این کمپین، استفاده از نسخهای تغییر یافته از Infostealer به نام Hyrax برای سرقت اطلاعات VPN کاربران است. پس از نصب کلاینت VPN تروجانشده، یک پنجره ورود مشابه نسخه اصلی نمایش داده میشود و کاربر اطلاعات ورود خود را وارد میکند. پس از وارد کردن اطلاعات، بدافزار بلافاصله آنها را استخراج کرده و به سرقت میبرد. همچنین، کاربر پس از وارد کردن اطلاعات با پیام خطای جعلی روبرو میشود که از او میخواهد نسخه اصلی نرمافزار VPN را دانلود کند.
مکانیزم ماندگاری بدافزار در سیستم قربانی
برای حفظ دسترسی در سیستم قربانی، بدافزار از کلید رجیستری Windows RunOnce استفاده میکند. این کلید باعث میشود که پس از هر بار راهاندازی مجدد سیستم، بدافزار بهطور خودکار اجرا شده و فرآیند سرقت دادهها ادامه یابد.
اقدامات مایکروسافت برای مقابله با حمله
مایکروسافت در پاسخ به این کمپین، اقدامات زیر را برای مقابله با حمله انجام داده است:
- حذف مخازن GitHub مورد استفاده مهاجمان
- ابطال گواهی دیجیتال بدافزار
- بهروزرسانی سیستمهای شناسایی تهدید در Microsoft Defender
- ارتقاء راهکارهای دفاعی در برابر حملات SEO Poisoning
راهکارهای امنیتی برای مقابله با حملات SEO Poisoning
برای کاهش ریسک این حملات، کارشناسان امنیتی توصیه میکنند:
- فعالسازی احراز هویت چندمرحلهای (MFA): استفاده از MFA میتواند اثرات سرقت اعتبارنامهها را کاهش دهد.
- دانلود نرمافزار از منابع رسمی: کاربران باید نرمافزارهای VPN و سایر نرمافزارها را فقط از سایتهای معتبر و رسمی تولیدکنندگان دانلود کنند.
- بررسی دقیق دامنه و توسعهدهنده نرمافزار: قبل از دانلود هر فایل نصب، باید دقت شود که دامنه وبسایت معتبر باشد و گواهی دیجیتال فایل بررسی شود.
- آموزش کاربران در تشخیص سایتهای جعلی: آموزش کاربران برای تشخیص وبسایتهای جعلی و آگاهسازی از تهدیدات میتواند احتمال موفقیت حمله را کاهش دهد.
