SilentRoute 木馬：一款低調劫持憑證的假 VPN 工具

一個值得信賴的名字變成了特洛伊木馬

又一個網路安全威脅正在安全領域掀起波瀾，而且它並非尋常的「嫌疑犯」。這款名為SilentRoute的木馬惡意軟體被發現嵌入在 SonicWall 廣為使用的 NetExtender VPN 用戶端的仿冒版本中。該攻擊針對的是那些想要下載合法軟體的用戶，誘騙他們安裝受感染的版本。

NetExtender 的核心功能是將遠端使用者安全地連接到公司網絡，使他們能夠像坐在辦公室辦公桌前一樣存取文件、內部應用程式和其他資源。然而，當它被武器化時，例如 SilentRoute，這種連接就會成為攻擊者從用戶設備竊取敏感資料的入口網站。毋庸置疑， SonicWall與該惡意軟體的擴散無關。

SilentRoute 的滲透方法

受感染的軟體偽裝成 NetExtender 10.3.2.27 版本，被發現透過一個詐騙網站提供，該網站現已下線。該騙局之所以令人信服，是因為安裝程式帶有數位簽名——顯然是由一家名為 CITYLIGHT MEDIA PRIVATE LIMITED 的合法公司簽署的。這個數位簽章很可能有助於繞過使用者的疑慮和安全控制。

微軟與 SonicWall 合作調查了此次攻擊活動，識別出了該木馬並追蹤了其傳播情況。攻擊者似乎採用了熟悉但有效的方法來引誘受害者——使用搜尋引擎優化 (SEO) 中毒、魚叉式網路釣魚，甚至惡意廣告等手段來傳播假冒軟體。在線上搜尋 NetExtender 的用戶可能在不知情的情況下進入了惡意網站，下載了虛假客戶端，並在此過程中暴露了他們的憑證。

SilentRoute 的幕後運作原理

一旦安裝，惡意版本的 NetExtender 就會像真正的應用程式一樣，表現出欺騙性。但在底層，它的兩個主要元件——NeService.exe和NetExtender.exe——已被修改，用於將設定資料傳送到攻擊者控制的伺服器。這些資料包括登入憑證，例如使用者名稱、密碼、網域名稱以及其他對 VPN 存取至關重要的設定資訊。

該惡意軟體透過劫持連接過程來實現這一點。當使用者輸入VPN憑證並點擊「連線」時，惡意程式碼會攔截訊息，並透過連接埠8080將其傳輸到IP位址為132.196.198.163的遠端伺服器。值得注意的是，該惡意軟體還能繞過常見的憑證檢查，確保被竄改的檔案不會立即引發警報。

這對使用者和組織意味著什麼

這次攻擊活動的影響遠不止於個人憑證盜竊。由於VPN通常是進入安全企業網路的第一道防線，因此被盜用的憑證可能會賦予攻擊者重大權限，從而實現橫向移動、資料外洩和長期監視。對於依賴遠距辦公基礎設施的組織而言，SilentRoute 會對內部系統和敏感資料構成嚴重風險。

此外，欺騙性地使用數位簽名進一步增加了檢測過程的複雜性。透過使用看似有效的憑證對惡意軟體進行簽名，攻擊者可以繞過許多傳統的防毒和端點保護工具，尤其是那些依賴基於簽名的偵測的工具。

更廣泛的威脅情勢：EvilConwi 及相關活動

SilentRoute 並非個案。大約在同一時間，德國網路安全公司 G DATA 報告了一個名為EvilConwi 的相關威脅集群，攻擊者同樣操縱受信任的工具（在本例中為 ConnectWise 安裝程式）來部署惡意軟體。這些攻擊活動利用了「身份驗證碼填充」技術，這種技術可以在不破壞檔案數位簽章的情況下注入惡意程式碼。

EvilConwi 案例中的感染通常始於指向 Canva 頁面的釣魚郵件，該頁面隨後會下載被篡改的 ConnectWise 安裝程式。攻擊者會利用這個漏洞部署虛假的 Windows 更新介面，阻止受害者關閉系統，並在後台悄悄建立遠端存取。

這種更廣泛的趨勢凸顯了威脅行為者日益增長的一種策略：利用知名軟體的合法性來掩蓋他們的行動，使他們的活動更難被發現且更容易被信任。

領先威脅

SilentRoute 活動強調了下載軟體時保持警覺的重要性，尤其是與安全性和遠端存取相關的工具。使用者和管理員應始終驗證下載來源，最好直接從官方供應商網站獲取，而不是依賴搜尋引擎結果。

對組織來說，這也是一個警鐘，提醒他們加強端點監控，盡可能實施憑證固定，並考慮基於行為的偵測機制，以標記異常的網路活動或檔案修改。

隨著攻擊者越來越擅長透過可信任管道掩蓋其意圖，網路安全防禦也必須同步發展。 SilentRoute 木馬及時提醒我們，信任（尤其是在軟體方面）必須不斷驗證，而不是臆斷。