SilentRouteトロイの木馬:気付かれずに認証情報を盗み出す偽VPNツール
Table of Contents
信頼された名前がトロイの木馬に
セキュリティ業界に新たなサイバーセキュリティの脅威が波紋を広げています。しかも、それはいつもの容疑者とは一線を画すものです。 「SilentRoute」と呼ばれるこのトロイの木馬型マルウェアは、広く利用されているSonicWallのVPNクライアント「NetExtender」の偽バージョンに埋め込まれているのが発見されました。この攻撃は、正規のソフトウェアをダウンロードしようとしているユーザーを標的とし、不正なバージョンをインストールさせるように仕向けます。
NetExtenderの本質は、リモートユーザーを企業ネットワークに安全に接続し、オフィスのデスクにいるかのようにファイル、社内アプリケーション、その他のリソースにアクセスできるようにすることです。しかし、SilentRouteのように、この接続が武器化されると、攻撃者がユーザーのデバイスから機密データを盗み出すためのゲートウェイとなってしまいます。言うまでもなく、 SonicWallはこのマルウェアの拡散には一切関与していません。
SilentRouteの侵入方法
NetExtenderのバージョン10.3.2.27を装った感染ソフトウェアは、その後オフラインとなった詐欺ウェブサイトを通じて配信されていたことが判明しました。この詐欺行為が説得力を持つのは、インストーラーがCITYLIGHT MEDIA PRIVATE LIMITEDという正当な企業によってデジタル署名されていたためです。このデジタル署名は、ユーザーの疑念やセキュリティ対策を回避できたと考えられます。
SonicWallと提携してこのキャンペーンを調査したMicrosoftは、トロイの木馬を特定し、その拡散を追跡しました。攻撃者は、検索エンジン最適化(SEO)ポイズニング、スピアフィッシング、さらにはマルバタイジングといった、よく知られた効果的な手法を用いて被害者を誘い込み、偽造ソフトウェアを拡散させていたようです。NetExtenderをオンラインで検索していたユーザーは、知らず知らずのうちに悪意のあるサイトにアクセスし、偽クライアントをダウンロードし、その過程で認証情報を入手した可能性があります。
SilentRoute の舞台裏の仕組み
NetExtenderの悪意あるバージョンは、インストールされると、本物のアプリケーションのように動作します。しかし、実際には、その主要コンポーネントであるNeService.exeとNetExtender.exeが改変されており、攻撃者が管理するサーバーに設定データを送信するようになっています。このデータには、ユーザー名、パスワード、ドメイン名などのログイン認証情報や、VPNアクセスに不可欠なその他の設定情報が含まれます。
このマルウェアは接続プロセスを乗っ取ることでこれを実現します。ユーザーがVPN認証情報を入力して「接続」ボタンを押すと、悪意のあるコードが情報を傍受し、IPアドレス132.196.198.163を使用してポート8080経由でリモートサーバーに送信します。注目すべきは、このマルウェアは一般的な証明書チェックも回避するため、改ざんされたファイルが即座に警告を発しないようにしている点です。
ユーザーと組織にとっての意味
このキャンペーンの影響は、個人の認証情報の盗難だけにとどまりません。VPNは多くの場合、安全な企業ネットワークへの最初のアクセス経路となるため、侵害された認証情報は攻撃者に重要な権限を与え、ラテラルムーブメント、データ窃取、そして長期的な監視を可能にする可能性があります。リモートワークインフラに依存している組織にとって、SilentRouteは社内システムと機密データに深刻なリスクをもたらします。
さらに、デジタル署名の欺瞞的な使用は、検出プロセスをさらに複雑化させます。攻撃者は、マルウェアに有効な証明書を装った署名を使用することで、多くの従来のウイルス対策ツールやエンドポイント保護ツール、特にシグネチャベースの検出に依存するツールを回避しています。
より広範な脅威の状況:EvilConwi と関連キャンペーン
SilentRouteは単発のインシデントではありません。同時期に、ドイツのサイバーセキュリティ企業G DATAは、 EvilConwiと呼ばれる関連する脅威クラスターについて報告しました。このクラスターでは、攻撃者が同様に信頼できるツール(この場合はConnectWiseのインストーラー)を操作してマルウェアを展開していました。これらのキャンペーンは、「認証コードスタッフィング」と呼ばれる手法を利用しており、これはファイルのデジタル署名を破ることなく悪意のあるコードを挿入できる手法です。
EvilConwi の感染は、多くの場合、Canva ページにリンクするフィッシングメールから始まり、改ざんされた ConnectWise インストーラーをダウンロードさせます。その後、攻撃者は偽の Windows Update 画面を表示し、被害者がシステムをシャットダウンできないようにすると同時に、バックグラウンドで密かにリモートアクセスを確立します。
この広範な傾向は、脅威の主体が、よく知られたソフトウェアの正当性を利用して自らの活動を隠蔽し、その活動を検出しにくくして信頼しやすくするという戦術をますます採用していることを浮き彫りにしています。
脅威に先手を打つ
SilentRouteキャンペーンは、ソフトウェア、特にセキュリティやリモートアクセス関連のツールをダウンロードする際の警戒の重要性を改めて浮き彫りにしています。ユーザーと管理者は、ダウンロード元を常に確認し、検索エンジンの検索結果に頼るのではなく、ベンダーの公式ウェブサイトから直接入手することが理想的です。
組織にとって、これはエンドポイント監視を強化し、可能な場合は証明書ピンニングを実装し、異常なネットワークアクティビティやファイルの変更を警告できる動作ベースの検出メカニズムを検討するための警鐘でもあります。
攻撃者が信頼できるチャネルを通じて意図を巧みに隠蔽するようになるにつれ、サイバーセキュリティ対策もそれに合わせて進化する必要があります。SilentRouteトロイの木馬は、特にソフトウェアにおける信頼は、前提とするのではなく、常に検証する必要があることを改めて認識させてくれるものです。
