SilentRoute 트로이 목마

사이버 범죄자들이 신뢰할 수 있는 소프트웨어를 무기화하는 방법을 다시 한번 찾아냈습니다. 이번에는 SSL VPN NetExtender의 트로이 목마 버전을 개발했습니다. 사이버 보안 연구원들이 발견한 이 공격 캠페인은 원격 네트워크 접속을 원하는 사용자에게 심각한 위협을 가하고 있습니다.

변장한 트로이 목마

이 캠페인의 중심에는 원격 사용자가 기업 네트워크에 안전하게 연결할 수 있도록 설계된 합법적인 도구인 SSL VPN NetExtender 클라이언트의 수정된 버전이 있습니다. 이를 통해 사용자는 마치 회사 네트워크에 실제로 있는 것처럼 내부 애플리케이션을 실행하고, 공유 드라이브에 액세스하고, 파일을 전송할 수 있습니다.

안타깝게도 알려지지 않은 위협 그룹이 이 소프트웨어의 가짜 버전을 유포하고 있으며, SilentRoute라는 악성코드를 주입하고 있습니다. 이 악성 버전은 설치되면 사용자의 민감한 데이터를 은밀하게 훔칩니다.

공격 작동 방식

공격자들은 악성 NetExtender 설치 프로그램을 호스팅하기 위해 가짜 웹사이트를 이용하고 있으며, 정식 버전인 10.3.2.27로 위장하고 있습니다. 해당 웹사이트는 폐쇄되었지만, 설치 프로그램은 CITYLIGHT MEDIA PRIVATE LIMITED의 디지털 서명을 받은 것으로 알려지면서, 마치 합법적인 것처럼 위장하고 있습니다.

피해자는 다음을 통해 맬웨어를 다운로드하도록 유인될 가능성이 높습니다.

• SEO 포이즌을 통해 검색 결과에 나타나는 스푸핑 웹사이트
• 악성 링크가 포함된 스피어피싱 이메일
• 악성 광고 캠페인 및 오해의 소지가 있는 소셜 미디어 게시물

악성 설치 프로그램이 다운로드되면 NeService.exe와 NetExtender.exe라는 두 가지 중요 구성 요소의 수정된 버전을 배포합니다. 이 구성 요소는 디지털 인증서 유효성 검사를 무시하도록 변경되었습니다. 이 구성 요소는 공격자가 제어하는 132.196.198.163:8080 서버로 구성 데이터를 은밀하게 유출합니다.

무엇이 도난당하고 어떻게 도난당하는가

사용자가 VPN 자격 증명을 입력하고 '연결' 버튼을 누르면, 트로이 목마는 훔친 데이터를 공격자 서버로 전송하기 전에 자체적인 검사를 수행합니다. 유출된 정보는 다음과 같습니다.

• 사용자 이름
• 비밀번호
• 도메인
• VPN 서버 세부 정보 및 구성 데이터

도난당한 정보는 공격자에게 기업 환경에 대한 무단 접근 권한을 부여할 수 있으므로 심각한 사이버 보안 문제가 될 수 있습니다.

보호를 유지하기 위한 주요 사항

이러한 위협의 희생자가 되지 않으려면 조직과 사용자는 다음을 수행해야 합니다.

• 공식 웹사이트나 검증된 공급업체에서만 VPN 및 원격 접속 도구를 다운로드하세요.
• 이메일, 광고 또는 검색 결과에 있는 링크, 특히 소프트웨어 다운로드를 제공하는 링크를 클릭할 때는 주의하세요.

또한, 네트워크 관리자는 비정상적인 아웃바운드 연결을 모니터링하고 엔드포인트 보호 시스템이 최신 상태이며 변조된 실행 파일을 감지하도록 구성되어 있는지 확인해야 합니다.

마지막 생각

SilentRoute 캠페인은 사칭과 사회 공학을 통한 악성코드 유포가 점점 더 정교해지고 있음을 보여줍니다. 경계와 강력한 디지털 위생 관리가 이러한 사기성 위협에 맞서는 최선의 방어책입니다.