Storm-2561 saxta VPN kampaniyası ilə istifadəçiləri hədəf alır

Microsoft şirkəti axtarış sistemlərinin manipulyasiyası (SEO poisoning) üsulu ilə saxta VPN tətbiqlərinin yayılması və istifadəçi hesab məlumatlarının ələ keçirilməsinə yönəlilmiş kibercinayət kampaniyası aşkarladığını açıqlayıb.

Məlumata görə kampaniya çərçivəsində qanuni korporativ proqram təminatını axtaran istifadəçilər hücumçuların nəzarətində olan veb-saytlarda yerləşdirilmiş zərərli ZIP fayllarına yönləndirilir. Həmin fayllar etibarlı VPN müştəriləri kimi təqdim olunur, lakin əslində trojanlaşdırılmış və rəqəmsal olaraq imzalanmış zərərli proqramların quraşdırılmasına xidmət edir. Bu proqramlar istifadəçilərin VPN giriş məlumatlarını toplamaq məqsədi daşıyır.

Microsoft’un bildirdiyinə görə bu fəaliyyət 2026-cı ilin yanvar ayının ortalarında müşahidə olunub və 2025-ci ilin may ayından etibarən SEO manipulyasiyası vasitəsilə zərərli proqramlar yaymaq və tanınmış proqram təminatlarını təqlid etməklə əlaqələndirilən Storm-2561 adlı təhdid qrupu ilə əlaqələndirilir. Qeyd olunur ki, sözügedən qrup daha əvvəl də oxşar üsullardan istifadə edərək istifadəçiləri saxta proqram təminatı yükləməyə sövq edib və onların autentifikasiya məlumatlarını ələ keçirib.

Microsoft'un qiymətləndirməsinə əsasən bu fəaliyyət təhdid aktorlarının axtarış sistemlərindəki sıralamaya və tanınmış proqram təminatı brendlərinə olan etimaddan sosial mühəndislik aləti kimi istifadə etdiyini göstərir. Təhdidi daha da artıran amillərdən biri isə quraşdırma fayllarının yerləşdirilməsi üçün GitHub kimi etibarlı platformalardan sui-istifadə olunmasıdır.

Texniki təhlilə əsasən GitHub deposunda yerləşdirilmiş ZIP arxivinin tərkibində qanuni VPN proqramı kimi təqdim olunan MSI quraşdırıcı faylı mövcuddur. Lakin quraşdırma prosesi zamanı bu fayl zərərli DLL fayllarını yan yükləmə (DLL sideloading) yolu ilə sistemə daxil edir. Kampaniyanın əsas məqsədi Hyrax adlı məlumat oğurlayan zərərli proqram vasitəsilə VPN giriş məlumatlarını toplamaq və xarici serverlərə ötürməkdir.

İstifadəçilərin məlumatlarını ələ keçirmək üçün onlara saxta, lakin inandırıcı görünən VPN giriş pəncərəsi təqdim olunur. İstifadəçi həmin pəncərəyə öz məlumatlarını daxil etdikdən sonra ona xəta mesajı göstərilir və bu dəfə guya qanuni VPN müştərisini endirməsi tövsiyə olunur. Bəzi hallarda isə istifadəçi birbaşa qanuni VPN xidmətinin rəsmi saytına yönləndirilir.

Microsoft bildirib ki, zərərli komponentlər “Taiyuan Lihua Near Information Technology Co., Ltd.” adına verilmiş rəqəmsal sertifikatla imzalanıb. Məlumata əsasən Microsoft artıq hücumçuların nəzarətində olan GitHub depolarını silib və istifadə olunmuş qanuni sertifikatı ləğv edərək əməliyyatı neytrallaşdırıb.

Bundan əlavə, müəyyən edilib ki, zərərli proqram davamlılığın təmin olunması üçün Windows sistemindəki RunOnce reyestr açarından istifadə edir. Bu isə sistem yenidən başladıldıqdan sonra zərərli komponentin avtomatik şəkildə icra olunmasına imkan yaradır.

Belə təhdidlərə qarşı müdafiə məqsədilə istifadəçilərə və təşkilatlara bütün hesablar üzrə çoxfaktorlu autentifikasiyanın (MFA) tətbiqi, proqram təminatının yalnız etibarlı və rəsmi mənbələrdən yüklənməsi, eləcə də endirilən faylların autentikliyinin diqqətlə yoxlanılması tövsiyə olunur.