SilentRoute Trojas zirgs
Kibernoziedznieki atkal ir atraduši veidu, kā pārvērst uzticamu programmatūru par ieroci, šoreiz izveidojot ar trojāniem inficētu SSL VPN NetExtender versiju. Šī uzbrukuma kampaņa, ko atklāja kiberdrošības pētnieki, rada nopietnus draudus lietotājiem, kas meklē attālinātu piekļuvi tīklam.
Satura rādītājs
Trojas zirgs maskēšanās stilā
Šīs kampaņas centrā ir modificēta SSL VPN NetExtender klienta versija — likumīgs rīks, kas paredzēts, lai attālinātie lietotāji varētu droši izveidot savienojumu ar uzņēmumu tīkliem. Tas ļauj lietotājiem palaist iekšējās lietojumprogrammas, piekļūt koplietotajiem diskiem un pārsūtīt failus tā, it kā viņi fiziski atrastos uzņēmuma tīklā.
Diemžēl nezināma apdraudējumu grupa ir izplatījusi šīs programmatūras viltotu versiju, ievadot tajā ļaunprogrammatūru ar nosaukumu SilentRoute. Pēc instalēšanas šī negodīgā versija nemanāmi zog lietotāja sensitīvus datus.
Kā darbojas uzbrukums
Uzbrucēji izmanto viltotu vietni, lai mitinātu ļaunprātīgo NetExtender instalētāju, kas maskēts kā likumīga versija 10.3.2.27. Lai gan vietne ir slēgta, instalētāju, kā ziņots, digitāli parakstīja CITYLIGHT MEDIA PRIVATE LIMITED, radot tam viltus leģitimitātes iespaidu.
Cietušie, visticamāk, tiek pievilināti lejupielādēt ļaunprogrammatūru, izmantojot:
- Viltotas tīmekļa vietnes, kas parādās meklēšanas rezultātos, izmantojot SEO piesārņojumu
- Pikšķerēšanas e-pasti ar ļaunprātīgām saitēm
- Ļaunprātīgas reklāmas kampaņas un maldinoši ieraksti sociālajos medijos
Pēc lejupielādes ļaunprātīgais instalētājs izvieto divu kritisku komponentu — NeService.exe un NetExtender.exe — modificētas versijas, kas ir mainītas, lai ignorētu digitālo sertifikātu validāciju. Šie komponenti nemanāmi nosūta konfigurācijas datus uzbrucēja kontrolētā serverī ar adresi 132.196.198.163:8080.
Kas tiek nozagts un kā
Pēc tam, kad lietotājs ir ievadījis savus VPN akreditācijas datus un nospiedis pogu “Savienot”, Trojas zirgs veic savas pārbaudes, pirms nozagto datu pārsūtīšanas uzbrucēja serverim. Iegūtā informācija ietver:
- Lietotājvārds
- Parole
- Domēns
- VPN servera informācija un konfigurācijas dati
Šī nozagtā informācija varētu nodrošināt uzbrucējiem nesankcionētu piekļuvi korporatīvajai videi, radot nopietnas bažas par kiberdrošību.
Galvenie secinājumi, lai saglabātu aizsardzību
Lai nekļūtu par šādu draudu upuriem, organizācijām un lietotājiem vajadzētu:
- Lejupielādējiet VPN un attālās piekļuves rīkus tikai no oficiālām vietnēm vai pārbaudītiem pārdevējiem.
- Esiet piesardzīgs, noklikšķinot uz saitēm e-pastos, reklāmās vai meklēšanas rezultātos, īpaši uz tām, kas piedāvā programmatūras lejupielādi.
Turklāt tīkla administratoriem ir jāuzrauga neparasti izejošie savienojumi un jānodrošina, lai galapunktu aizsardzības sistēmas būtu atjauninātas un konfigurētas tā, lai atklātu viltotus izpildāmos failus.
Noslēguma domas
SilentRoute kampaņa izceļ ļaunprogrammatūras izplatīšanas pieaugošo sarežģītību, izmantojot personības uzdošanos un sociālo inženieriju. Modrība apvienojumā ar stingru digitālo higiēnu joprojām ir labākā aizsardzība pret šādiem maldinošiem draudiem.
