Sonicwall, müşterilere tehdit aktörlerinin VPN kimlik bilgilerini çalmak için kullanılan NetExtender SSL VPN istemcisinin trojanize bir versiyonunu dağıttıklarını uyarıyor.
Sonicwall ve Microsoft Tehdit İstihbarat (MSTIC) araştırmacıları tarafından keşfedilen sahte yazılım, mevcut en son sürüm olan meşru NetExtender v10.3.2.27’yi taklit ediyor.
Kötü niyetli yükleyici dosyası, ziyaretçileri Sonicwall’dan yazılım indirdiklerini düşünmeye yönelik otantik görünmek için yapılmış sahte bir web sitesinde barındırılmıştır.
Yükleyici dosyası Sonicwall tarafından dijital olarak imzalanmasa da, “Citylight Media Private Limited” tarafından imzalanır ve temel savunmaları atlamasına izin verir.
Kaynak: Sonicwall
Trojanize uygulamanın amacı VPN yapılandırmasını ve hesap kimlik bilgilerini çalmak ve bunları saldırgana eklemektir.
SonicWall NetExtender, kullanıcıların kuruluşlarının dahili ağına uzak konumlardan güvenli bir şekilde bağlanmalarını sağlayan bir uzaktan erişim VPN istemcisidir.
Sonicwall SSL VPN aletleri ve güvenlik duvarları ile çalışmak için özel olarak tasarlanmıştır ve genellikle küçük ve orta ölçekli işletmeler, BT yöneticileri ve yüklenicilerin uzak personel tarafından geniş bir endüstri türü spektrumunda kullanılır.
Sonicwall ve Microsoft, ürünlerinin kötü niyetli sahte siteler tarafından dağıtılan iki değiştirilmiş ikili dosyasını buldular.
Modifiye Neservice.exe Doğrulama mantığı ile dijital sertifika kontrolleri ve NetExtender.exe Veri çalmak için değiştirilen dosya.
Sonicwall Danışmanlığı, “Port 8080 üzerinden 132.196.198.163 IP adresi ile VPN yapılandırma bilgilerini uzak bir sunucuya göndermek için ek kod eklendi.”
“VPN yapılandırma ayrıntıları girildikten ve“ Bağlan ”düğmesi tıklandıktan sonra, kötü amaçlı kod, verileri uzak sunucuya göndermeden önce kendi doğrulamasını gerçekleştirir. Çalınan yapılandırma bilgileri, kullanıcı adı, şifre, etki alanı ve daha fazlasını içerir.”
Kaynak: Sonicwall
Sonicwall, kullanıcıların yalnızca Sonicwall.com ve mysonicwall.com adresindeki resmi portallardan yazılım indirmesini önerir.
Firmanın güvenlik araçları ve Microsoft Defender artık kötü amaçlı yükleyicileri algılıyor ve engelliyor, ancak diğer güvenlik araçları olmasa da.
Tipik olarak, insanlar kötü niyetli, SEO zehirlenmesi, doğrudan mesajlar, forum yayınları ve YouTube veya Tiktok videoları yoluyla truva atışçılar sunan sahte web sitelerine yönlendirilir.
Yazılım indirirken, satıcının resmi web sitesini kullanın ve tanıtılan tüm sonuçları atlayın. Ayrıca, indirilen dosyaları cihazınızda yürütmeden önce her zaman güncel bir AV’de tarayın.
Yama, karmaşık senaryolar, uzun saatler ve sonsuz yangın tatbikatları anlamına gelir. Artık değil.
Bu yeni kılavuzda Tines, modern BT kuruluşlarının otomasyonla nasıl dengelendiğini bozuyor. Daha hızlı yama, ek yükü azaltın ve stratejik çalışmaya odaklanın – karmaşık komut dosyaları gerekmez.