SilentRoute trójai: egy hamis VPN eszköz, amely a radar alatt eltéríti a hitelesítő adatokat
Table of Contents
Egy megbízható névből trójai faló lett
Egy újabb kiberbiztonsági fenyegetés kavarja a fejét a biztonsági szektorban, és nem a szokásos gyanúsítottról van szó. A SilentRoute névre keresztelt trójai kártevőt a SonicWall széles körben használt NetExtender VPN kliensének egy hamisított verziójába ágyazva fedezték fel. A támadás azokat a felhasználókat célozza meg, akik legitim szoftvert szeretnének letölteni, és arra kényszeríti őket, hogy ehelyett egy feltört verziót telepítsenek.
A NetExtender lényege, hogy biztonságosan csatlakoztathassa a távoli felhasználókat a vállalati hálózatokhoz, lehetővé téve számukra a fájlok, belső alkalmazások és egyéb erőforrások elérését, mintha egy irodai íróasztalnál ülnének. Amikor azonban – mint a SilentRoute esetében – fegyverként alkalmazzák, ez a kapcsolat átjáróvá válik a támadók számára, hogy érzékeny adatokat lopjanak közvetlenül a felhasználó eszközéről. Mondani sem kell, hogy a SonicWall nem hozható összefüggésbe e rosszindulatú program elterjedésével.
A SilentRoute beszivárgási módszere
A fertőzött szoftvert, amely a NetExtender 10.3.2.27-es verziójának adta ki magát, egy csaló weboldalon keresztül fedezték fel, amelyet azóta eltávolítottak. A csel meggyőzővé teszi, hogy a telepítő digitálisan aláírva érkezett – nyilvánvalóan egy legitim, CITYLIGHT MEDIA PRIVATE LIMITED nevű cégtől. Ez a digitális aláírás valószínűleg segített megkerülni a felhasználói szkepticizmust és a biztonsági ellenőrzéseket.
A Microsoft, amely a SonicWall-lal együttműködve vizsgálta ki a kampányt, azonosította a trójai vírust és nyomon követte annak terjedését. A támadók úgy tűnik, ismerős, de hatékony módszereket alkalmaztak az áldozatok csábítására – olyan taktikákat alkalmaztak, mint a keresőoptimalizálási (SEO) mérgezés, a célzott adathalászat, sőt, még a rosszindulatú hirdetések is a hamisított szoftver terjesztésére. Azok a felhasználók, akik online a NetExtendert keresték, tudtukon kívül a rosszindulatú webhelyre juthattak, letölthették a hamis klienst, és eközben felfedhették hitelesítő adataikat.
Hogyan működik a SilentRoute a színfalak mögött?
A telepítés után a NetExtender rosszindulatú verziója megtévesztően úgy viselkedik, mint a valódi alkalmazás. A motorháztető alatt azonban két fő összetevője – a NeService.exe és a NetExtender.exe – úgy módosult, hogy konfigurációs adatokat küldjön a támadó által ellenőrzött szerverre. Ezek az adatok tartalmazzák a bejelentkezési hitelesítő adatokat, például felhasználóneveket, jelszavakat, domainneveket és egyéb, a VPN-hozzáféréshez kritikus konfigurációs információkat.
A rosszindulatú program ezt a csatlakozási folyamat eltérítésével teszi. Amikor a felhasználók megadják VPN-hitelesítő adataikat, és a „Csatlakozás” gombra kattintanak, a rosszindulatú kód elfogja az információkat, és a 8080-as porton keresztül egy távoli szerverre továbbítja azokat a 132.196.198.163 IP-cím használatával. Figyelemre méltó, hogy a rosszindulatú program a szokásos tanúsítvány-ellenőrzéseket is megkerüli, biztosítva, hogy a manipulált fájlok ne okozzanak azonnali vészjelzést.
Mit jelent ez a felhasználók és a szervezetek számára?
Ennek a kampánynak a következményei túlmutatnak az egyéni hitelesítő adatok ellopásán. Mivel a VPN-ek gyakran az első hozzáférési vonalat jelentik egy biztonságos vállalati hálózathoz, a feltört hitelesítő adatok jelentős jogosultságokat adhatnak a támadóknak, lehetővé téve az oldalirányú mozgást, az adatok elszivárgását és a hosszú távú megfigyelést. A távoli munkavégzésre épülő infrastruktúrára támaszkodó szervezetek számára a SilentRoute komoly kockázatot jelent a belső rendszerekre és az érzékeny adatokra nézve.
Ráadásul a digitális aláírások megtévesztő használata tovább bonyolítja az észlelési folyamatot. Azzal, hogy a rosszindulatú programot egy érvényesnek tűnő tanúsítvánnyal írják alá, a támadók számos hagyományos vírusvédelmi és végpontvédelmi eszközt megkerülnek, különösen azokat, amelyek aláírás-alapú észlelésre támaszkodnak.
A tágabb fenyegetési környezet: EvilConwi és a kapcsolódó kampányok
A SilentRoute nem elszigetelt eset. Körülbelül ugyanebben az időben a német G DATA kiberbiztonsági cég egy kapcsolódó fenyegetési klaszterről, az EvilConwi -ról számolt be, ahol a támadók hasonlóan manipulálták a megbízható eszközöket – ebben az esetben a ConnectWise telepítőit – rosszindulatú programok telepítéséhez. Ezek a kampányok az „authenticode stuffing”-ot alkalmazzák, egy olyan technikát, amely lehetővé teszi a rosszindulatú kód befecskendezését a fájl digitális aláírásának megsértése nélkül.
Az EvilConwi esetében a fertőzések gyakran adathalász e-mailekkel kezdődnek, amelyek egy Canva oldalra mutató linkeket tartalmaznak, majd letöltenek egy manipulált ConnectWise telepítőt. Innen a támadók hamis Windows frissítési képernyőket küldenek, hogy megakadályozzák az áldozatok rendszerének leállítását, miközben a távoli hozzáférés csendben létrejön a háttérben.
Ez az átfogóbb trend rávilágít egy egyre növekvő taktikára a fenyegető szereplők körében: kihasználják a jól ismert szoftverek legitimitását működésük leplezésére, így tevékenységeiket nehezebben észlelik és könnyebben megbíznak bennük.
A fenyegetés megelőzése
A SilentRoute kampány hangsúlyozza az éberség fontosságát szoftverek, különösen a biztonsággal és távoli hozzáféréssel kapcsolatos eszközök letöltésekor. A felhasználóknak és a rendszergazdáknak mindig ellenőrizniük kell a letöltések forrását, ideális esetben közvetlenül a hivatalos gyártói webhelyekről szerezve be azokat, ahelyett, hogy a keresőmotorok találataira hagyatkoznának.
A szervezetek számára ez egyben figyelmeztető jel is a végpontok monitorozásának megerősítésére, a tanúsítványok rögzítésének lehetőség szerinti bevezetésére, valamint a viselkedésalapú észlelési mechanizmusok megfontolására, amelyek jelezhetik a szokatlan hálózati tevékenységeket vagy fájlmódosításokat.
Ahogy a támadók egyre ügyesebben próbálják megbízható csatornákon keresztül elfedni szándékaikat, a kiberbiztonsági védelemnek is ezzel párhuzamosan kell fejlődnie. A SilentRoute trójai időszerű emlékeztetőül szolgál arra, hogy a bizalmat – különösen a szoftverekbe vetett bizalmat – folyamatosan ellenőrizni kell, nem pedig feltételezni.
