โทรจัน SilentRoute

อาชญากรไซเบอร์ได้ค้นพบวิธีที่จะใช้ซอฟต์แวร์ที่เชื่อถือได้เป็นอาวุธอีกครั้ง โดยในครั้งนี้คือการสร้าง NetExtender เวอร์ชันโทรจันของ SSL VPN แคมเปญโจมตีนี้ ซึ่งนักวิจัยด้านความปลอดภัยไซเบอร์ได้ค้นพบ ถือเป็นภัยคุกคามร้ายแรงต่อผู้ใช้ที่ต้องการเข้าถึงเครือข่ายระยะไกล

ทรอยจันในคราบปลอมตัว

ศูนย์กลางของแคมเปญนี้คือไคลเอนต์ SSL VPN NetExtender เวอร์ชันดัดแปลง ซึ่งเป็นเครื่องมือที่ถูกกฎหมายที่ออกแบบมาเพื่อให้ผู้ใช้ระยะไกลสามารถเชื่อมต่อกับเครือข่ายองค์กรได้อย่างปลอดภัย ช่วยให้ผู้ใช้สามารถเรียกใช้แอปพลิเคชันภายใน เข้าถึงไดรฟ์ที่แชร์ และถ่ายโอนไฟล์ได้ราวกับว่าไฟล์เหล่านั้นอยู่บนเครือข่ายบริษัทจริงๆ

น่าเสียดายที่กลุ่มภัยคุกคามที่ไม่รู้จักได้เผยแพร่ซอฟต์แวร์ปลอมนี้โดยแทรกมัลแวร์ที่มีชื่อว่า SilentRoute เข้าไป เมื่อติดตั้งแล้ว มัลแวร์เวอร์ชันปลอมนี้จะขโมยข้อมูลสำคัญจากผู้ใช้ไปอย่างเงียบๆ

การโจมตีทำงานอย่างไร

ผู้โจมตีใช้เว็บไซต์ปลอมเพื่อโฮสต์โปรแกรมติดตั้ง NetExtender ที่เป็นอันตราย โดยปลอมตัวเป็นเวอร์ชัน 10.3.2.27 ที่ถูกต้องตามกฎหมาย แม้ว่าเว็บไซต์ดังกล่าวจะถูกปิดไปแล้ว แต่โปรแกรมติดตั้งดังกล่าวมีลายเซ็นดิจิทัลจาก CITYLIGHT MEDIA PRIVATE LIMITED ทำให้ดูน่าเชื่อถืออย่างผิดๆ

เหยื่อมีแนวโน้มที่จะถูกล่อลวงให้ดาวน์โหลดมัลแวร์ผ่านทาง:

• เว็บไซต์ปลอมที่ปรากฎขึ้นในผลการค้นหาผ่านการวางยา SEO
• อีเมล์ฟิชชิ่งที่มีลิงค์ที่เป็นอันตราย
• แคมเปญโฆษณาแฝงและโพสต์บนโซเชียลมีเดียที่ให้ข้อมูลเข้าใจผิด

เมื่อดาวน์โหลดแล้ว โปรแกรมติดตั้งที่เป็นอันตรายจะติดตั้งเวอร์ชันที่แก้ไขของส่วนประกอบสำคัญ 2 ตัว ได้แก่ NeService.exe และ NetExtender.exe ซึ่งถูกแก้ไขเพื่อละเว้นการตรวจสอบใบรับรองดิจิทัล ส่วนประกอบเหล่านี้จะแอบขโมยข้อมูลการกำหนดค่าไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตีที่ 132.196.198.163:8080

อะไรถูกขโมยและทำอย่างไร

หลังจากที่ผู้ใช้ป้อนข้อมูลประจำตัว VPN และกดปุ่ม "เชื่อมต่อ" โทรจันจะทำการตรวจสอบด้วยตัวเองก่อนจะส่งข้อมูลที่ขโมยมาไปยังเซิร์ฟเวอร์ของผู้โจมตี ข้อมูลที่ถูกขโมยมาประกอบด้วย:

• ชื่อผู้ใช้
• รหัสผ่าน
• โดเมน
• รายละเอียดเซิร์ฟเวอร์ VPN และข้อมูลการกำหนดค่า

ข้อมูลที่ถูกขโมยนี้อาจทำให้ผู้โจมตีสามารถเข้าถึงสภาพแวดล้อมขององค์กรโดยไม่ได้รับอนุญาต ซึ่งทำให้กลายเป็นปัญหาความปลอดภัยทางไซเบอร์ที่สำคัญ

สิ่งสำคัญที่ต้องจำไว้เพื่อให้ได้รับการปกป้อง

เพื่อหลีกเลี่ยงการตกเป็นเหยื่อของภัยคุกคามดังกล่าว องค์กรและผู้ใช้ควรทำดังนี้:

• ดาวน์โหลด VPN และเครื่องมือการเข้าถึงระยะไกลจากเว็บไซต์อย่างเป็นทางการหรือผู้จำหน่ายที่ได้รับการตรวจสอบเท่านั้น
• ควรระมัดระวังเมื่อคลิกลิงก์ในอีเมล โฆษณา หรือผลการค้นหา โดยเฉพาะลิงก์ที่ให้ดาวน์โหลดซอฟต์แวร์

นอกจากนี้ ผู้ดูแลระบบเครือข่ายควรตรวจสอบการเชื่อมต่อขาออกที่ผิดปกติ และตรวจสอบให้แน่ใจว่าระบบป้องกันปลายทางได้รับการอัปเดตและกำหนดค่าให้ตรวจจับไฟล์ปฏิบัติการที่ถูกดัดแปลง

ความคิดสุดท้าย

แคมเปญ SilentRoute เน้นย้ำถึงความซับซ้อนที่เพิ่มมากขึ้นของการแพร่กระจายมัลแวร์ผ่านการปลอมตัวและการจัดการทางสังคม การเฝ้าระวังควบคู่ไปกับการรักษาสุขอนามัยดิจิทัลอย่างเข้มงวดยังคงเป็นแนวทางป้องกันที่ดีที่สุดต่อภัยคุกคามที่หลอกลวงดังกล่าว