未知威胁组织正通过分发遭木马化的SonicWall NetExtender SSL VPN应用程序窃取用户凭证。该合法程序本用于让远程用户安全访问企业内网资源,如同本地操作。
微软威胁情报中心(MSTIC)将这款恶意软件命名为"SilentRoute",其伪装成正规远程接入软件。用户一旦安装便会无意泄露数据,攻击者可借此获取未授权访问权限并窃取敏感信息。
SonicWall警告称,虚假的NetExtender网站提供了由"CITYLIGHT MEDIA PRIVATE LIMITED"签名的木马化版本,会窃取VPN配置数据并发送至远程服务器。
安全公告指出:"威胁分子修改了NetExtender安装包中的以下组件文件,用于执行应用程序并将配置信息发送至远程服务器:
-
NetExtender.exe(被篡改文件,无数字签名)
-
NeService.exe(被篡改文件,数字签名无效)"
正常情况下,SonicWall NetExtender服务会在运行前检查组件数字证书的有效性。若验证失败,服务将终止运行。但在木马化版本中,攻击者篡改了代码以绕过这些安全检查,使得程序即使验证失败也能继续运行。
攻击者还在NetExtender.exe中注入恶意代码,用于窃取VPN凭据(包括用户名、密码及域信息)。一旦用户点击"连接",这些数据就会被发送至远程服务器(132.196.198.163:8080)。
SonicWall与微软已迅速关停托管木马化NetExtender的恶意网站,并吊销了相关证书。用户应仅通过官方渠道下载该应用程序。这款被命名为"SilentRoute"的恶意软件现已被SonicWall和微软的安全防护工具识别。
该公司还公布了此次攻击活动的入侵指标(IoC)。
原文始发于微信公众号(黑猫安全):黑客利用伪造的SonicWall VPN应用窃取企业凭证
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论