Совместное расследование Microsoft Threat Intelligence (MSTIC) и компании SonicWall выявило опасную кампанию, в рамках которой злоумышленники распространяют взломанную и модифицированную версию SSL VPN-клиента NetExtender. Этот инструмент предназначен для безопасного удаленного подключения сотрудников к корпоративным сетям, позволяя загружать файлы, получать доступ к сетевым ресурсам и работать так, будто пользователь находится в локальной сети. Однако поддельное приложение, внешне практически неотличимое от оригинала, содержит вредоносный код, похищающий конфиденциальные данные.
Описание
Как работает атака
Фальшивая версия NetExtender размещена на сайте, имитирующем официальный ресурс SonicWall. Установочный файл соответствует последней версии приложения (10.3.2.27), но подписан цифровым сертификатом подозрительной компании CITYLIGHT MEDIA PRIVATE LIMITED. Встроенный вредоносный код модифицирует ключевые компоненты программы, чтобы перехватывать учетные данные VPN и отправлять их на удаленный сервер.
Технические детали атаки
Основные изменения внесены в два исполняемых файла: NeService.exe и NetExtender.exe. Первый отвечает за проверку цифровых подписей компонентов VPN-клиента. В оригинальной версии, если проверка не пройдена, программа завершает работу. Однако злоумышленники модифицировали код, чтобы обойти эту защиту - теперь приложение продолжает работу независимо от результатов валидации.
Второй файл, NetExtender.exe, был дополнен функционалом для сбора и передачи конфиденциальных данных. Как только пользователь вводит свои учетные данные и нажимает кнопку подключения, вредоносный код отправляет логин, пароль, домен и другие параметры на сервер злоумышленников с IP-адресом 132.196.198.163 через порт 8080.
Меры защиты
Компании SonicWall и Microsoft оперативно отреагировали на угрозу: поддельные сайты были заблокированы, а цифровой сертификат, использованный для подписи вредоносного ПО, отозван. Однако атака демонстрирует, насколько изощренными становятся методы киберпреступников, использующих легитимное ПО в своих целях.
Эксперты настоятельно рекомендуют загружать приложения SonicWall исключительно с официальных источников: sonicwall.com или mysonicwall.com. Кроме того, пользователям следует:
- Внимательно проверять цифровые подписи установочных файлов.
- Не отключать антивирусные системы, даже если программа кажется легитимной.
- Использовать многофакторную аутентификацию для доступа к VPN, чтобы минимизировать риски даже в случае утечки паролей.
Вывод
Данный инцидент подчеркивает важность проверки источников загрузки программного обеспечения и необходимости постоянного мониторинга сетевой активности. Киберпреступники становятся все более изобретательными, и даже доверенные приложения могут оказаться угрозой, если они были модифицированы злоумышленниками. Компаниям следует обучать сотрудников основам кибербезопасности и внедрять дополнительные меры защиты, такие как системы анализа поведения пользователей (UEBA) и защита конечных точек (EDR), чтобы минимизировать риски подобных атак.
Индикаторы компрометации
IPv4
- 132.196.198.163
IPv4 Port Combinations
- 132.196.198.163:8080
SHA256
- 71110e641b60022f23f17ca6ded64d985579e2774d72bcff3fdbb3412cb91efd
- d883c067f060e0f9643667d83ff7bc55a218151df600b18991b50a4ead513364
- e30793412d9aaa49ffe0dbaaf834b6ef6600541abea418b274290447ca2e168b
