Trojan SilentRoute: fałszywe narzędzie VPN przechwytujące dane uwierzytelniające pod radarem
Table of Contents
Zaufana nazwa stała się koniem trojańskim
Kolejne zagrożenie cyberbezpieczeństwa wywołuje poruszenie w krajobrazie bezpieczeństwa i nie jest to typowy podejrzany. Ten trojan malware, nazwany SilentRoute , został odkryty jako osadzony w fałszywej wersji powszechnie używanego klienta VPN NetExtender firmy SonicWall. Atak jest skierowany do użytkowników, którzy chcą pobrać legalne oprogramowanie, oszukując ich, aby zainstalowali zamiast tego zainfekowaną wersję.
W swojej istocie NetExtender ma bezpiecznie łączyć użytkowników zdalnych z sieciami korporacyjnymi, umożliwiając im dostęp do plików, aplikacji wewnętrznych i innych zasobów, tak jakby siedzieli przy biurku w biurze. Jednak gdy jest uzbrojony, jak w przypadku SilentRoute, ta łączność staje się bramą dla atakujących, aby ukraść poufne dane bezpośrednio z urządzenia użytkownika. Nie trzeba dodawać, że SonicWall nie jest związany z rozprzestrzenianiem się tego złośliwego oprogramowania.
Metoda infiltracji SilentRoute
Zainfekowane oprogramowanie, podszywające się pod wersję 10.3.2.27 NetExtender, zostało odkryte i było dostarczane za pośrednictwem fałszywej witryny, która została od tego czasu wyłączona. Podstęp jest przekonujący, ponieważ instalator został podpisany cyfrowo — najwyraźniej przez legalną firmę o nazwie CITYLIGHT MEDIA PRIVATE LIMITED. Ten podpis cyfrowy prawdopodobnie pomógł ominąć sceptycyzm użytkowników i kontrole bezpieczeństwa.
Firma Microsoft, która nawiązała współpracę z SonicWall w celu zbadania kampanii, zidentyfikowała trojana i śledziła jego dystrybucję. Napastnicy najwyraźniej zastosowali znane, ale skuteczne metody, aby zwabić ofiary — stosując taktyki takie jak zatruwanie optymalizacji pod kątem wyszukiwarek (SEO), spear-phishing, a nawet złośliwe reklamy, aby rozprzestrzeniać fałszywe oprogramowanie. Użytkownicy szukający NetExtender online mogli nieświadomie trafić na złośliwą stronę, pobrać fałszywego klienta i ujawnić swoje dane uwierzytelniające.
Jak SilentRoute działa za kulisami
Po zainstalowaniu złośliwa wersja NetExtender zachowuje się oszukująco jak prawdziwa aplikacja. Ale pod maską dwa jej główne komponenty — NeService.exe i NetExtender.exe — zostały zmodyfikowane, aby wysyłać dane konfiguracyjne do serwera kontrolowanego przez atakującego. Dane te obejmują dane logowania, takie jak nazwy użytkowników, hasła, nazwy domen i inne informacje konfiguracyjne krytyczne dla dostępu do sieci VPN.
Malware robi to, przejmując proces połączenia. Gdy użytkownicy wprowadzają swoje dane uwierzytelniające VPN i naciskają „Połącz”, złośliwy kod przechwytuje informacje i przesyła je do zdalnego serwera przez port 8080, używając adresu IP 132.196.198.163. Co ciekawe, malware omija również typowe sprawdzanie certyfikatów, zapewniając, że naruszone pliki nie wzbudzają natychmiastowych podejrzeń.
Co to oznacza dla użytkowników i organizacji
Konsekwencje tej kampanii wykraczają poza kradzież indywidualnych danych uwierzytelniających. Ponieważ sieci VPN są często pierwszą linią dostępu do bezpiecznej sieci korporacyjnej, naruszone dane uwierzytelniające mogą przyznać atakującym znaczne uprawnienia, umożliwiając ruch boczny, eksfiltrację danych i długoterminowy nadzór. Dla organizacji polegających na infrastrukturze pracy zdalnej SilentRoute stwarza poważne ryzyko dla wewnętrznych systemów i poufnych danych.
Co więcej, oszukańcze użycie podpisów cyfrowych jeszcze bardziej komplikuje proces wykrywania. Podpisując złośliwe oprogramowanie tym, co wydaje się być ważnym certyfikatem, atakujący omijają wiele konwencjonalnych narzędzi antywirusowych i ochrony punktów końcowych, zwłaszcza tych, które polegają na wykrywaniu opartym na sygnaturach.
Szerszy krajobraz zagrożeń: EvilConwi i powiązane kampanie
SilentRoute nie jest odosobnionym incydentem. W tym samym czasie niemiecka firma zajmująca się cyberbezpieczeństwem G DATA poinformowała o powiązanym klastrze zagrożeń nazwanym EvilConwi , w którym atakujący podobnie manipulowali zaufanymi narzędziami — w tym przypadku instalatorami ConnectWise — w celu wdrażania złośliwego oprogramowania. Te kampanie wykorzystują „wypychanie kodu uwierzytelniającego”, technikę umożliwiającą wstrzykiwanie złośliwego kodu bez łamania cyfrowego podpisu pliku.
Infekcje w przypadku EvilConwi często zaczynają się od wiadomości phishingowych z linkiem do strony Canva, która następnie pobiera zmodyfikowany instalator ConnectWise. Stamtąd atakujący wdrażają fałszywe ekrany aktualizacji systemu Windows, aby uniemożliwić ofiarom wyłączenie systemów, podczas gdy zdalny dostęp jest cicho ustanawiany w tle.
Ten szerszy trend uwypukla coraz popularniejszą taktykę stosowaną przez podmioty cyberprzestępcze: wykorzystywanie legalności znanego oprogramowania do maskowania swoich działań, dzięki czemu ich działania są trudniejsze do wykrycia i łatwiej im zaufać.
Wyprzedzić zagrożenie
Kampania SilentRoute podkreśla znaczenie czujności podczas pobierania oprogramowania, zwłaszcza narzędzi związanych z bezpieczeństwem i dostępem zdalnym. Użytkownicy i administratorzy powinni zawsze weryfikować źródło pobierania, najlepiej pobierając je bezpośrednio z oficjalnych witryn dostawców, a nie polegając na wynikach wyszukiwania.
Dla organizacji jest to również sygnał ostrzegawczy, że należy wzmocnić monitorowanie punktów końcowych, wdrożyć przypinanie certyfikatów tam, gdzie to możliwe, oraz rozważyć mechanizmy wykrywania oparte na zachowaniu, które mogą sygnalizować nietypową aktywność sieciową lub modyfikacje plików.
W miarę jak atakujący stają się coraz bardziej biegli w maskowaniu swoich intencji za pomocą zaufanych kanałów, obrona cyberbezpieczeństwa musi ewoluować równolegle. Trojan SilentRoute służy jako aktualne przypomnienie, że zaufanie — zwłaszcza w przypadku oprogramowania — musi być stale weryfikowane, a nie zakładane.
