„SilentRoute“ Trojos arklys
Kibernetiniai nusikaltėliai vėl rado būdą, kaip paversti patikimą programinę įrangą ginklu – šį kartą sukurdami trojanu užkrėstą SSL VPN „NetExtender“ versiją. Ši kibernetinio saugumo tyrėjų atskleista atakų kampanija kelia rimtą grėsmę vartotojams, norintiems nuotolinės prieigos prie tinklo.
Turinys
Užmaskuotas Trojos arklys
Šios kampanijos centre – modifikuota SSL VPN „NetExtender“ kliento versija – teisėtas įrankis, skirtas nuotoliniams vartotojams saugiai prisijungti prie įmonės tinklų. Jis leidžia vartotojams paleisti vidines programas, pasiekti bendrinamus diskus ir perkelti failus taip, lyg jie fiziškai būtų įmonės tinkle.
Deja, nežinoma grėsmių grupė platina netikrą šios programinės įrangos versiją, į ją įterpdama kenkėjišką programą, pavadintą „SilentRoute“. Įdiegus šią klastotę versiją, ji tyliai vagia neskelbtinus vartotojo duomenis.
Kaip veikia ataka
Užpuolikai naudoja netikrą svetainę, kurioje talpina kenkėjišką „NetExtender“ diegimo programą, užmaskuotą kaip teisėta 10.3.2.27 versija. Nors svetainė buvo uždaryta, pranešama, kad diegimo programą skaitmeniniu parašu pasirašė „CITYLIGHT MEDIA PRIVATE LIMITED“, taip sukurdami klaidingą teisėtumo įspūdį.
Aukos greičiausiai bus priviliotos atsisiųsti kenkėjišką programą šiais būdais:
- Apgaulingų svetainių, rodomų paieškos rezultatuose dėl SEO užkrėtimo, rodymas
- Sukčiavimo elektroniniai laiškai su kenkėjiškomis nuorodomis
- Kenkėjiškos reklamos kampanijos ir klaidinantys socialinių tinklų įrašai
Atsisiuntus kenkėjišką diegimo programą, įdiegiamos modifikuotos dviejų svarbių komponentų – „NeService.exe“ ir „NetExtender.exe“ – versijos, kurios buvo pakeistos taip, kad ignoruotų skaitmeninio sertifikato patvirtinimą. Šie komponentai tyliai išfiltruoja konfigūracijos duomenis į užpuoliko kontroliuojamą serverį, esantį adresu 132.196.198.163:8080.
Kas pavogta ir kaip
Vartotojui įvedus savo VPN prisijungimo duomenis ir paspaudus mygtuką „Prisijungti“, Trojos arklys atlieka savo patikrinimus prieš perduodamas pavogtus duomenis užpuoliko serveriui. Išfiltruota informacija apima:
- Vartotojo vardas
- Slaptažodis
- Domenas
- VPN serverio informacija ir konfigūracijos duomenys
Ši pavogta informacija gali suteikti užpuolikams neteisėtą prieigą prie įmonės aplinkos, todėl tai kelia didelį kibernetinio saugumo susirūpinimą.
Svarbiausi patarimai, kaip išlikti apsaugotam
Kad netaptų tokių grėsmių aukomis, organizacijos ir vartotojai turėtų:
- VPN ir nuotolinės prieigos įrankius siųskite tik iš oficialių svetainių arba patikrintų tiekėjų.
- Būkite atsargūs spustelėdami nuorodas el. laiškuose, skelbimuose ar paieškos rezultatuose, ypač tas, kuriose siūloma atsisiųsti programinę įrangą.
Be to, tinklo administratoriai turėtų stebėti neįprastus išeinančius ryšius ir užtikrinti, kad galinių taškų apsaugos sistemos būtų atnaujintos ir sukonfigūruotos aptikti neteisėtai modifikuotus vykdomuosius failus.
Baigiamosios mintys
„SilentRoute“ kampanija pabrėžia vis sudėtingesnį kenkėjiškų programų platinimą apsimetinėjant kitais asmenimis ir naudojant socialinę inžineriją. Budrumas kartu su stipria skaitmenine higiena išlieka geriausia apsauga nuo tokių apgaulingų grėsmių.
