SilentRoute 木马

翻译为：

网络犯罪分子再次找到了利用受信任软件进行攻击的方法，这次是通过创建 SSL VPN NetExtender 的木马版本。网络安全研究人员发现的这次攻击活动对寻求远程网络访问的用户构成了严重威胁。

此次攻击活动的核心是 SSL VPN NetExtender 客户端的修改版本，该客户端是一款合法工具，旨在允许远程用户安全地连接到企业网络。它允许用户运行内部应用程序、访问共享驱动器并传输文件，就像他们实际位于公司网络上一样。

不幸的是，一个未知的威胁组织一直在传播该软件的假版本，并在其中注入了一种名为 SilentRoute 的恶意软件。一旦安装，这个恶意版本就会悄无声息地窃取用户的敏感数据。

攻击者使用一个虚假网站托管恶意的 NetExtender 安装程序，并将其伪装成合法版本 10.3.2.27。虽然该网站已被关闭，但据报道，该安装程序已由 CITYLIGHT MEDIA PRIVATE LIMITED 进行数字签名，使其具有虚假的合法性。

受害者可能会通过以下方式被诱骗下载恶意软件：

下载后，恶意安装程序会部署两个关键组件 NeService.exe 和 NetExtender.exe 的修改版本，这两个组件已被修改为忽略数字证书验证。这些组件会悄悄地将配置数据泄露到攻击者控制的服务器 132.196.198.163:8080。

用户输入 VPN 凭证并点击“连接”按钮后，该木马会进行自身检查，然后将窃取的数据传输到攻击者的服务器。窃取的信息包括：

这些被盗信息可能使攻击者能够未经授权访问公司环境，这是一个重大的网络安全问题。

为了避免成为此类威胁的受害者，组织和用户应该：

此外，网络管理员应监控异常的出站连接，并确保端点保护系统是最新的并配置为检测被篡改的可执行文件。

SilentRoute 活动凸显了恶意软件通过冒充和社会工程手段传播的日益复杂化。保持警惕，加上良好的数字安全措施，仍然是抵御此类欺骗性威胁的最佳途径。

搜索