SilentRoute 木馬

網路犯罪分子再次找到了利用受信任軟體進行攻擊的方法，這次是透過創建 SSL VPN NetExtender 的木馬版本。網路安全研究人員發現的這次攻擊活動對尋求遠端網路存取的用戶構成了嚴重威脅。

偽裝的特洛伊人

這次攻擊活動的核心是 SSL VPN NetExtender 用戶端的修改版本，該用戶端是一款合法工具，旨在允許遠端使用者安全地連接到企業網路。它允許用戶運行內部應用程式、訪問共享驅動器並傳輸文件，就像他們實際位於公司網路上一樣。

不幸的是，一個未知的威脅組織一直在傳播該軟體的假版本，並在其中註入了一種名為 SilentRoute 的惡意軟體。一旦安裝，這個惡意版本就會悄悄地竊取使用者的敏感資料。

攻擊如何運作

攻擊者使用一個虛假網站託管惡意的 NetExtender 安裝程序，並將其偽裝成合法版本 10.3.2.27。雖然該網站已關閉，但據報導，該安裝程序已由 CITYLIGHT MEDIA PRIVATE LIMITED 進行數位簽名，使其具有虛假的合法性。

受害者可能會透過以下方式被誘騙下載惡意軟體：

• 透過 SEO 中毒，欺騙性網站出現在搜尋結果中
• 帶有惡意連結的魚叉式網路釣魚電子郵件
• 惡意廣告活動和誤導性社交媒體帖子

下載後，惡意安裝程式會部署兩個關鍵元件 NeService.exe 和 NetExtender.exe 的修改版本，這兩個元件已被修改為忽略數位憑證驗證。這些元件會悄悄地將設定資料外洩到攻擊者控制的伺服器 132.196.198.163:8080。

哪些資訊會被盜以及如何被盜

使用者輸入 VPN 憑證並點擊「連線」按鈕後，木馬會進行自身檢查，然後將竊取的資料傳輸到攻擊者的伺服器。竊取的資訊包括：

• 使用者名稱
• 密碼
• 領域
• VPN 伺服器詳細資訊和設定數據

這些被盜資訊可能使攻擊者能夠未經授權存取公司環境，這是一個重大的網路安全問題。

保持安全的關鍵要點

為了避免成為此類威脅的受害者，組織和使用者應該：

• 僅從官方網站或經過驗證的供應商下載 VPN 和遠端存取工具。
• 點擊電子郵件、廣告或搜尋結果中的連結時要小心，尤其是那些提供軟體下載的連結。

此外，網路管理員應監控異常的出站連接，並確保端點保護系統是最新的並配置為檢測被篡改的可執行檔。

最後的想法

SilentRoute 活動凸顯了惡意軟體透過冒充和社會工程手段傳播的日益複雜化。保持警惕，加上良好的數位安全措施，仍然是抵禦此類欺騙性威脅的最佳途徑。