问题—— 微软威胁情报与防护团队披露,近期出现一条以窃取企业远程接入凭据为主要目的的攻击链;攻击者将木马伪装成“可信VPN客户端”——通过搜索结果引流——让用户不知情的情况下下载安装并输入账号密码,导致凭据被窃取、后续入侵风险增加。微软称,该活动于2026年1月中旬被监测到,并将其归类为“Storm-2561”威胁活动集群。 原因—— 从手法看,此类攻击主要依赖“借用信任”与“伪装路径”的组合: 一是操纵搜索排名。攻击者通过搜索引擎优化投毒等方式提升仿冒站点在涉及的关键词下的曝光,重点瞄准“企业VPN”“安全接入”等高频需求场景,利用用户赶时间、习惯性下载的心理促成安装。 二是冒用品牌与签名背书。恶意程序常伪装成知名厂商客户端,甚至表现为“已签名”等外观特征,以“看起来正规”降低用户警惕。 三是借助可信平台分发。通报显示,攻击者还滥用代码托管等平台存放压缩包和安装文件,借“正规平台”的外观继续弱化风险感知,也增加组织安全策略的识别难度。 四是以“先骗取、再纠错”的社工闭环提高成功率。用户提交信息后会被提示“登录失败”或“版本错误”,随后被引导下载所谓“真正的客户端”;部分情况下甚至跳转至合法官网,用以掩盖凭据已被截取的事实。 影响—— VPN凭据是企业远程接入的重要入口,一旦泄露,往往带来连锁风险。首先,攻击者可利用合法账号绕过部分边界防护,继续进行横向移动、数据窃取或勒索等行为;其次,若组织存在弱口令、重复口令或账号体系复用,风险可能从VPN扩散到邮件、协作平台、运维系统等关键资源;再次,攻击链中出现“侧载恶意DLL”“通过注册表项维持驻留”等细节,说明这并非一次性钓鱼,而是具备持续控制和二次投放能力。微软指出,该集群特征与以经济利益为驱动的网络犯罪行动一致,反映出黑灰产对远程办公、远程运维场景的长期盯防。 对策—— 针对以搜索引流与伪装安装包为核心的攻击路径,防护建议从“入口治理、过程校验、账户加固、应急处置”四上同步推进。 一是强化下载来源治理。企业可通过内部门户、软件仓库或白名单机制统一提供安装包,尽量减少员工临时搜索下载;确需外部下载时,要求核验域名、证书、发布者信息及校验值,避免被仿冒站点误导。 二是提升终端与网关检测能力。围绕安装行为、异常DLL加载、可疑ZIP/MSI来源、注册表RunOnce等持久化迹象建立告警规则,并结合日志关联分析,尽早识别“先投放、后伪装”的攻击链条。 三是加强账户与访问控制。对VPN及关键系统全面启用多因素认证,落实最小权限与分级授权,并通过条件访问限制异常地点、异常设备、异常时段登录;同时完善口令策略与泄露检测,降低凭据被盗后的可用性。 四是完善处置闭环。建立“发现—隔离—取证—通报—修复”的响应流程:对疑似受影响终端立即隔离并重置凭据,对关联账户强制登出并开展访问审计;对外部平台上的恶意资源及时提交处置请求,缩短分发窗口。微软表示,已采取关闭攻击者控制的相关托管资源并撤销涉事证书等措施,以降低传播和信任滥用带来的危害。 前景—— 业内普遍认为,围绕“搜索入口”的攻击还会继续演化:品牌影响力越强的软件与安全工具,越容易成为仿冒对象;攻击者也会不断寻找新的“可信分发”载体,并用更逼真的交互设计提升迷惑性。可以预见,仅依赖用户自觉或传统黑名单拦截难以覆盖全部风险,组织需要将软件下载管理、身份认证、终端可观测性与安全培训纳入统一治理,通过制度和技术协同降低“被搜索结果带偏”的概率。
这起事件提醒企业,网络攻击正在从单纯的技术对抗延伸到对信任链条的利用。要在复杂环境中守住数据与业务安全,需要把警惕心落实到流程、工具和日常管理中:规范下载入口、强化身份验证、提升监测处置能力,并持续提高员工对仿冒与引流手法的识别能力。