Bilinmeyen saldırganlar Sonicwall’un SSL-VPN NetExtender uygulamasını truva etti, şirket Pazartesi günü uyardı ve kullanıcıları benzeri bir siteden (S?) İndirmeye kandırıyor.
Trojanize sonicwall netExtender yükleyicisi
Sonicwall NetExtender, şirketler tarafından uzaktan çalışanlara dahili ağlarına güvenli erişim sağlamak için kullanılan bir SSL – VPN müşterisidir.
Sonicwall, şirketin taklit eden ve NetExtender’ın tehlikeye atılmış versiyonunu sunan benzer sitelere ne kadar potansiyel kurbanların çekildiğinden bahsetmiyor, ancak uygulamanın “Citylight Media Private Limited” tarafından dijital olarak imzalandığını söyledi.
Tehdit oyuncusu, meşru NetExtender yükleyicisinin iki bileşen dosyasını değiştirdi: Neservice.exe (Geçersiz bir dijital imzayla) ve NetExtender.exe (dijital imza olmadan).
Neservice.exeMeşru NetExtender uygulaması tarafından kullanılan bir Windows hizmeti, NetExtender bileşenlerinin dijital sertifikalarını kontrol etmek için bir işlev kullanır ve kontrol sonucuna bağlı olarak, programın yürütülmesine veya yürütülmesine izin verir.
Sonicwall, “Kötü niyetli yükleyicide, bu dosya işlev sonuçlarının değerlendirildiği tüm konumlarda yamalanır. Yama kontrolü atlar ve yürütmenin doğrulama sonuçlarından bağımsız olarak devam etmesine izin verir” diyor Sonicwall.
NetExtender.exe 132.196.198.163 numaralı telefondan bulunan VPN yapılandırma bilgilerini – kullanıcı adı, şifre, etki alanı, vb.
Veri Sınırlama Kodu (Kaynak: Sonicwall)
Kullanılan dijital sertifika iptal edildi
“Aldatıcı” kampanyası Sonicwall ve Microsoft’un tehdit analistleri tarafından tespit edildi, ancak kullanılan aldatmacanın doğası hakkında hiçbir ayrıntı paylaşılmadı.
Bu hedefli bir e -posta kampanyası mıydı? Mağdurlar kötü niyetli reklamlar veya arama sonuçları ile sitelere yönlendirildi mi? Sonicwall’dan bu cephede daha fazla ayrıntı istedik ve bu makaleyi onlardan duyduğumuzda güncelleyeceğiz.
Taklitçi web siteleri kaldırıldı ve truva atı yükleyicisini imzalamak için kullanılan dijital sertifika iptal edildi, şirket onayladı ve kullanıcıları her zaman sonicwall uygulamalarını ya da her zaman sonikwall uygulamalarını indirmeye çağırdı. Sonicwall.com veya mysonicwall.com.
Trojanize yükleyici şimdi Microsoft Defender Antivirus ve Sonicwall’un yakalanması ATP çok motorlu sanal alan tarafından tespit ediliyor ve kaldırıldı.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!