駭客組織Storm-2561假借提供企業級VPN用戶端軟體,意圖竊取企業VPN憑證
攻擊手法與技術細節
駭客組織Storm-2561透過假造企業級VPN用戶端軟體,冒充思科(Cisco)、飛塔(Fortinet)、Ivanti等知名廠商的官方產品,誘導使用者下載惡意軟體。
該組織利用「SEO投毒(SEO poisoning)」技術,操控搜尋引擎結果,讓惡意網站出現在前段,使使用者誤以為是合法軟體,進而下載偽造的VPN客戶端。
惡意行為與竊取機制
當使用者輸入企業VPN憑證後,會被重定向至攻擊者控制的頁面,這些頁面模擬合法的VPN登入界面,以偽裝問題已解決,實際上卻成功竊取用戶的登入憑證。
部分攻擊案例顯示,攻擊者為每個目標組織設置了自訂的VPN登入頁面,以提高欺騙性與成功率。
影響範圍與案例
- 根據報告,已有超過130家企業遭此類攻擊影響。
- 攻擊行為已擴展至美國企業,並透過電話與電子郵件方式進一步滲透。
相關來源與技術背景
此事件與Ivanti Connect Secure產品的零日漏洞有關,顯示企業級VPN系統在設計與部署上存在重大安全風險。
相關資訊由微軟與資安研究機構公開,並被多國資安單位關注。