„SilentRoute“ Trojos arklys: netikras VPN įrankis, užgrobiantis kredencialus po radaru

Patikimas vardas, virtus Trojos arkliu

Dar viena kibernetinio saugumo grėsmė kelia ažiotažą saugumo srityje, ir tai nėra įprastas įtariamasis. Ši Trojos arklys, pavadinta „SilentRoute“ , buvo aptiktas įterptas į suklastotą plačiai naudojamo „SonicWall“ „NetExtender“ VPN kliento versiją. Ataka nukreipta į vartotojus, norinčius atsisiųsti legalią programinę įrangą, apgaule priverčiant juos įdiegti pažeistą versiją.

Iš esmės „NetExtender“ skirtas saugiai prijungti nuotolinius vartotojus prie įmonės tinklų, leidžiant jiems pasiekti failus, vidines programas ir kitus išteklius taip, lyg jie sėdėtų prie stalo biure. Tačiau, kai ši jungtis paverčiama ginklu, kaip „SilentRoute“ atveju, ji tampa vartais užpuolikams pavogti jautrius duomenis tiesiai iš vartotojo įrenginio. Savaime suprantama, „SonicWall“ nėra susijusi su šios kenkėjiškos programos plitimu.

„SilentRoute“ infiltracijos metodas

Užkrėsta programinė įranga, prisistatanti „NetExtender“ 10.3.2.27 versija, buvo aptikta per apgaulingą svetainę, kuri vėliau buvo pašalinta iš interneto. Įtikinamą gudrybę daro tai, kad diegimo programa buvo pasirašyta skaitmeniniu būdu – matyt, teisėtos įmonės „CITYLIGHT MEDIA PRIVATE LIMITED“. Šis skaitmeninis parašas greičiausiai padėjo apeiti vartotojų skepticizmą ir saugumo kontrolę.

„Microsoft“, kuri bendradarbiavo su „SonicWall“ tirdama kampaniją, identifikavo Trojos arklį ir sekė jo platinimą. Atrodo, kad užpuolikai naudojo pažįstamus, bet veiksmingus metodus aukoms privilioti – tokius metodus kaip paieškos sistemų optimizavimo (SEO) užkrėtimas, sukčiavimas atakomis ir net kenkėjiška reklama, skirti padirbtai programinei įrangai platinti. Vartotojai, ieškantys „NetExtender“ internete, galėjo netyčia patekti į kenkėjišką svetainę, atsisiųsti netikrą klientą ir taip atskleisti savo prisijungimo duomenis.

Kaip „SilentRoute“ veikia užkulisiuose

Įdiegus kenkėjišką „NetExtender“ versiją, ji elgiasi apgaulingai kaip tikra programa. Tačiau po gaubtu du pagrindiniai jos komponentai – „NeService.exe“ ir „NetExtender.exe“ – buvo modifikuoti taip, kad nusiųstų konfigūracijos duomenis į užpuoliko kontroliuojamą serverį. Šie duomenys apima prisijungimo duomenis, tokius kaip vartotojo vardai, slaptažodžiai, domenų vardai ir kita konfigūracijos informacija, būtina VPN prieigai.

Kenkėjiška programa tai daro užgrobdama prisijungimo procesą. Kai vartotojai įveda savo VPN kredencialus ir paspaudžia „Prisijungti“, kenkėjiškas kodas perima informaciją ir perduoda ją į nuotolinį serverį per 8080 prievadą, naudodamas IP adresą 132.196.198.163. Pažymėtina, kad kenkėjiška programa taip pat apeina įprastus sertifikatų patikrinimus, užtikrindama, kad sugadinti failai nekeltų tiesioginių įspėjamųjų ženklų.

Ką tai reiškia vartotojams ir organizacijoms

Šios kampanijos pasekmės neapsiriboja vien individualių kredencialų vagyste. Kadangi VPN dažnai yra pirmoji prieigos prie saugaus įmonės tinklo linija, pažeisti kredencialai gali suteikti užpuolikams didelių privilegijų, sudarydami sąlygas horizontaliam judėjimui, duomenų nutekėjimui ir ilgalaikiam stebėjimui. Organizacijoms, kurios naudojasi nuotolinio darbo infrastruktūra, „SilentRoute“ kelia rimtą grėsmę vidinėms sistemoms ir jautriems duomenims.

Be to, apgaulingas skaitmeninių parašų naudojimas dar labiau apsunkina aptikimo procesą. Pasirašydami kenkėjišką programą tuo, kas atrodo kaip galiojantis sertifikatas, užpuolikai apeina daugelį įprastų antivirusinių ir galinių įrenginių apsaugos įrankių, ypač tų, kurie remiasi parašu pagrįstu aptikimu.

Platesnis grėsmių kraštovaizdis: „EvilConwi“ ir susijusios kampanijos

„SilentRoute“ nėra pavienis incidentas. Maždaug tuo pačiu metu Vokietijos kibernetinio saugumo įmonė „G DATA“ pranešė apie susijusį grėsmių klasterį, pavadintą „EvilConwi“ , kur užpuolikai panašiai manipuliavo patikimais įrankiais – šiuo atveju „ConnectWise“ diegimo programomis – kad dislokuotų kenkėjiškas programas. Šios kampanijos naudoja „authenticode stuffing“ – techniką, leidžiančią įterpti kenkėjišką kodą nepažeidžiant failo skaitmeninio parašo.

„EvilConwi“ atveju užkrėtimai dažnai prasideda sukčiavimo el. laiškais, nukreipiančiais į „Canva“ puslapį, iš kurio atsisiunčiama modifikuota „ConnectWise“ diegimo programa. Tuomet užpuolikai diegia netikrus „Windows“ naujinimų ekranus, kad neleistų aukoms išjungti savo sistemų, kol fone tyliai sukuriama nuotolinė prieiga.

Ši platesnė tendencija pabrėžia augantį grėsmių veikėjų taktikos spektrą: pasinaudoti gerai žinomos programinės įrangos teisėtumu, siekiant užmaskuoti savo operacijas, taip sunkiau aptikti jų veiklą ir lengviau ja pasitikėti.

Aplenkiant grėsmę

„SilentRoute“ kampanija pabrėžia budrumo svarbą atsisiunčiant programinę įrangą, ypač su saugumu ir nuotoline prieiga susijusias priemones. Vartotojai ir administratoriai visada turėtų patikrinti atsisiuntimų šaltinį, geriausia – gauti juos tiesiogiai iš oficialių tiekėjų svetainių, o ne pasikliauti paieškos sistemų rezultatais.

Organizacijoms tai taip pat yra žadinantis skambutis sustiprinti galinių taškų stebėjimą,, kur įmanoma, įdiegti sertifikatų prisegimą ir apsvarstyti elgesiu pagrįstus aptikimo mechanizmus, kurie gali pažymėti neįprastą tinklo veiklą ar failų pakeitimus.

Užpuolikams vis labiau įgudus maskuoti savo ketinimus patikimais kanalais, lygiagrečiai turi vystytis ir kibernetinio saugumo apsauga. „SilentRoute“ Trojos arklys laiku primena, kad pasitikėjimas, ypač programine įranga, turi būti nuolat tikrinamas, o ne daromas prielaidomis.