Ağ Güvenlik Duvarları, Ağ Erişim Kontrolü, Güvenlik İşlemleri
Trojanize NetExtender yükleyici verileri sabit kodlu IP adresine ekler
Akhabokan Akan (Athokan_akhsha) •
25 Haziran 2025
Kaliforniya Ağ Güvenlik Şirketi Pazartesi günü uyardı.
Ayrıca bakınız: Bulut güvenliği ve güvenlik duvarının gelişen rolü
Bir hackleme kampanyası, uzak kullanıcıların şirket ağında uygulamaları bağlamasını ve çalıştırmasını sağlayan NetExtender yazılımının ayarlanmış bir sürümünü dağıttı. Kampanyanın arkasındaki tehdit oyuncusu, Sonicwall’u taklit eden web sitelerinde barındıran, yazılımın en son sürümü olan NetExtender sürümü 10.3.2.27’nin kötü niyetli bir sürümü. Kötü amaçlı yazılım “Citylight Media Private Limited” tarafından imzalanmıştır.
Şirket, “Tehdit oyuncusu sahte NetExtender’ın yüklü ikili dosyalarına kod ekledi, böylece VPN yapılandırmasıyla ilgili bilgiler çalındı ve uzak bir sunucuya gönderildi.” Dedi.
Sonicwall, “Citylight Media” sertifikası geçersiz olduğundan, truva atışçısının arkasındaki geliştiricilerin dijital imzaları doğrulamak için Sonicwall yürütülebilir dosyasını değiştirdiğini söyledi. Ayrıca IP adresine bağlantı kurmak için bir modül değiştirdiler 32.196.198.163. Bu adrese gönderilen veriler kullanıcı adlarını, şifreleri ve etki alanlarını içerir.
Sonicwall, Microsoft ile birlikte, uygulamayı barındıran kötü amaçlı web sitelerini indirmek ve Citylight Media Sertifikasını iptal etmek için harekete geçti. Şirket, uygulamaları yalnızca “güvenilir kaynaklardan” indirmelidir.
Google CTO Charles Carmakal, Sonicwall’un bilgisayar korsanlarıyla bu şekilde boğuşan tek şirket olmadığını söyledi. LinkedIn, “Finansal olarak motive edilen birkaç tehdit aktörü, çalışanlar tarafından yaygın olarak kullanılan yazılımların truva atlı sürümlerine ev sahipliği yapmak için benzeyen web siteleri kurdu.”
Carmakal, VPN’ler, sanal masaüstleri ve yazılım geliştirme araçları gibi araçların imposter sürümleri “genellikle infostalers ile bağlanıyor. Bu siteleri kuran aktörler genellikle fidye yazılımı dağıtan ve çok yönlü gasp yapan gruplarla işbirliği yapıyor” dedi.
Güvenlik firması ESET, bu yılın başlarında, meşru yazılım yükleyicisini değiştirerek Güney Koreli bir VPN geliştiricisinin tedarik zincirini hedefleyen bir Çin ulus devlet kampanyası ortaya çıkardı.