Хакеры используют SEO-отравление и подписанные трояны для кражи учетных данных VPN
Хакеры используют SEO-отравление и подписанные трояны для кражи учетных данных VPN
По данным отчёта исследовательской компании SecureWorks, с начала 2025 года группа злоумышленников, условно обозначенная как Storm-2561, проводит кампанию по краже учетных данных корпоративных пользователей VPN. В рамках этой кампании злоумышленники манипулируют результатами поисковых систем, продвигая поддельные версии популярных VPN-клиентов. Жертвы, пытаясь скачать легитимное программное обеспечение, перенаправляются на фальшивые сайты, откуда загружаются вредоносные пакеты.
В отчёте SecureWorks подтверждается, что злоумышленники используют SEO-отравление (SEO poisoning) для повышения рейтинга поддельных сайтов в поисковой выдаче. Это позволяет перехватывать трафик сотрудников компаний, которые ищут VPN-клиенты для удаленного доступа к корпоративным ресурсам. На поддельных ресурсах распространяются троянские программы, которые имеют цифровую подпись, что снижает подозрения у систем безопасности и пользователей.
После установки такого вредоносного ПО злоумышленники получают доступ к учетным данным VPN, что открывает им путь к внутренним сетям организаций. Использование подписанных троянов значительно усложняет обнаружение атаки, поскольку многие системы защиты доверяют подписанному коду.
Почему это важно для организаций с внешней поверхностью атаки
Компании, которые управляют большим количеством удаленных сотрудников и активно используют VPN-сервисы, оказываются в зоне повышенного риска. Атаки через SEO-отравление особенно опасны, так как эксплуатируют доверие пользователей к поисковым системам и официальному программному обеспечению. Кроме того, использование подписанных троянов указывает на высокий уровень подготовки злоумышленников и их способность обходить стандартные меры безопасности.
Для организаций это означает, что даже при наличии современных средств защиты и политики безопасности сотрудники могут стать уязвимым звеном, если не будут осведомлены о подобных методах атак. Потеря учетных данных VPN может привести к серьезным инцидентам с утечкой данных и нарушению работы корпоративных систем.
Практические рекомендации для команд безопасности
- Обучение сотрудников: Рекомендуется регулярно информировать пользователей о рисках загрузки программного обеспечения из непроверенных источников, а также о признаках фишинговых и поддельных сайтов.
- Проверка источников загрузки: Настройте корпоративные политики, ограничивающие установку ПО только из официальных магазинов или проверенных репозиториев.
- Мониторинг цифровых подписей: Внедрите инструменты, которые проверяют подлинность цифровых подписей и выявляют подозрительные сертификаты, используемые для подписания вредоносных программ.
- Анализ внешней поверхности атаки: Используйте решения по управлению внешней поверхностью атаки (EASM), чтобы выявлять и блокировать фальшивые сайты, имитирующие корпоративные ресурсы или популярное ПО.
- Многофакторная аутентификация (MFA): Внедрите MFA для доступа к VPN, чтобы минимизировать последствия компрометации учетных данных.
- Регулярное обновление ПО и политик безопасности: Обеспечьте своевременное обновление VPN-клиентов и систем безопасности, а также адаптацию политик под новые угрозы.
В условиях роста сложных атак на цепочку поставок и методы социальной инженерии организациям важно не только укреплять технические меры защиты, но и повышать осведомленность сотрудников. Комплексный подход к безопасности внешней поверхности атаки поможет снизить риски и защитить корпоративные сети от подобных угроз.
Источник: SecureWorks, отчет по угрозам 2025 года.
