SilentRoute 木马：一款低调劫持凭证的虚假 VPN 工具

一个值得信赖的名字变成了特洛伊木马

又一个网络安全威胁正在安全领域掀起波澜，而且它并非寻常的“嫌疑犯”。这款名为SilentRoute的木马恶意软件被发现嵌入在 SonicWall 广为使用的 NetExtender VPN 客户端的仿冒版本中。该攻击针对的是那些想要下载合法软件的用户，诱骗他们安装受感染的版本。

NetExtender 的核心功能是将远程用户安全地连接到公司网络，使他们能够像坐在办公室办公桌前一样访问文件、内部应用程序和其他资源。然而，当它被武器化时，例如 SilentRoute，这种连接就会成为攻击者从用户设备窃取敏感数据的门户。毋庸置疑， SonicWall与该恶意软件的扩散无关。

SilentRoute 的渗透方法

受感染的软件伪装成 NetExtender 10.3.2.27 版本，被发现通过一个欺诈网站提供，该网站现已下线。该骗局之所以令人信服，是因为安装程序带有数字签名——显然是由一家名为 CITYLIGHT MEDIA PRIVATE LIMITED 的合法公司签名的。这个数字签名很可能有助于绕过用户的疑虑和安全控制。

微软与 SonicWall 合作调查了此次攻击活动，识别出了该木马并追踪了其传播情况。攻击者似乎采用了熟悉但有效的方法来引诱受害者——使用搜索引擎优化 (SEO) 中毒、鱼叉式网络钓鱼，甚至恶意广告等手段来传播假冒软件。在线搜索 NetExtender 的用户可能在不知情的情况下进入了恶意网站，下载了虚假客户端，并在此过程中暴露了他们的凭据。

SilentRoute 的幕后工作原理

一旦安装，恶意版本的 NetExtender 就会像真正的应用程序一样，表现出欺骗性。但在底层，它的两个主要组件——NeService.exe和NetExtender.exe——已被修改，用于将配置数据发送到攻击者控制的服务器。这些数据包括登录凭据，例如用户名、密码、域名以及其他对 VPN 访问至关重要的配置信息。

该恶意软件通过劫持连接过程来实现这一点。当用户输入VPN凭证并点击“连接”时，恶意代码会拦截信息，并通过端口8080将其传输到IP地址为132.196.198.163的远程服务器。值得注意的是，该恶意软件还能绕过常见的证书检查，确保被篡改的文件不会立即引发警报。

这对用户和组织意味着什么

此次攻击活动的影响远不止个人凭证盗窃。由于VPN通常是进入安全企业网络的第一道防线，因此被盗用的凭证可能会赋予攻击者重大权限，从而实现横向移动、数据泄露和长期监视。对于依赖远程办公基础设施的组织而言，SilentRoute 会对内部系统和敏感数据构成严重风险。

此外，欺骗性地使用数字签名进一步增加了检测过程的复杂性。通过使用看似有效的证书对恶意软件进行签名，攻击者可以绕过许多传统的防病毒和端点保护工具，尤其是那些依赖基于签名的检测的工具。

更广泛的威胁形势：EvilConwi 及相关活动

SilentRoute 并非孤立事件。大约在同一时间，德国网络安全公司 G DATA 报告了一个名为EvilConwi 的相关威胁集群，攻击者同样操纵受信任的工具（在本例中为 ConnectWise 安装程序）来部署恶意软件。这些攻击活动利用了“身份验证码填充”技术，这种技术可以在不破坏文件数字签名的情况下注入恶意代码。

EvilConwi 案例中的感染通常始于指向 Canva 页面的钓鱼邮件，该页面随后会下载被篡改的 ConnectWise 安装程序。攻击者会利用这个漏洞部署虚假的 Windows 更新界面，阻止受害者关闭系统，并在后台悄悄建立远程访问。

这种更广泛的趋势凸显了威胁行为者日益增长的一种策略：利用知名软件的合法性来掩盖他们的行动，使他们的活动更难被发现且更容易被信任。

领先于威胁

SilentRoute 活动强调了下载软件时保持警惕的重要性，尤其是与安全和远程访问相关的工具。用户和管理员应始终验证下载来源，最好直接从官方供应商网站获取，而不是依赖搜索引擎结果。

对于组织来说，这也是一个警钟，提醒他们加强端点监控，尽可能实施证书固定，并考虑基于行为的检测机制，以标记异常的网络活动或文件修改。

随着攻击者越来越擅长通过可信渠道掩盖其意图，网络安全防御也必须同步发展。SilentRoute 木马及时提醒我们，信任（尤其是在软件方面）必须不断验证，而不是臆断。