Bilinmeyen tehdit aktörleri, yüklemiş olabilecek şüpheli kullanıcılardan kimlik bilgilerini çalmak için Sonicwall’un SSL VPN NetExtender uygulamasının truva atlı bir versiyonunu dağıtıyor.
Sonicwall araştırmacısı Sravan Ganachari, “NetExtender, uzak kullanıcıların şirket ağında uygulamaları güvenli bir şekilde bağlamasını ve çalıştırmalarını sağlıyor.” Dedi. “Kullanıcılar dosyaları yükleyebilir ve indirebilir, ağ sürücülerine erişebilir ve yerel ağdaymış gibi diğer kaynakları kullanabilir.”
Rogue VPN yazılımı aracılığıyla sunulan kötü amaçlı yük, Microsoft tarafından Silentroute olarak adlandırılmıştır ve kampanyayı ağ güvenlik şirketi ile birlikte algılar.
Sonicwall, kötü amaçlı yazılım bağlı NetExtender’ın yazılımın en son sürümünü taklit ettiğini (10.3.2.27) ve o zamandan beri kaldırılan sahte bir web sitesi aracılığıyla dağıtıldığını söyledi. Yükleyici, Citylight Media Private Limited tarafından dijital olarak imzalanmıştır. “
Bu, kampanyanın Google veya Bing gibi arama motorlarında NetExtender’ı arayan kullanıcıları hedeflediğini ve onları mızrak aktı, arama motoru optimizasyonu (SEO) zehirlenmesi, kötü niyetli veya sosyal medya yayınları gibi bilinen teknikler aracılığıyla yüklemeye kandırmayı kandırdığını gösteriyor.
Yükleyicinin iki farklı bileşeni, yapılandırma bilgilerinin saldırganın kontrolü altındaki uzak bir sunucuya eksfiltrasyonunu kolaylaştırmak için değiştirilmiştir.
Bunlar, dijital sertifikaların çeşitli NetExtender bileşenlerinin doğrulanmasını atlamak ve doğrulama sonuçlarından bağımsız olarak yürütmeye devam etmek için değiştirilmiş ve 132.196.198’e yayılmaya devam etmek için değiştirilmiş “Neservice.exe” ve “NetExtender.exe” yer alıyor.[.]163 Port 8080 üzerinden.
Ganachari, “Tehdit oyuncusu sahte NetExtender’ın yüklü ikili dosyalarına kod ekledi, böylece VPN yapılandırmasıyla ilgili bilgiler çalındı ve uzak bir sunucuya gönderildi.” Dedi.
“VPN yapılandırma ayrıntıları girildikten ve” Bağlan “düğmesi tıklandıktan sonra, kötü amaçlı kod, verileri uzak sunucuya göndermeden önce kendi doğrulamasını gerçekleştirir. Çalınan yapılandırma bilgileri, kullanıcı adı, şifre, etki alanı ve daha fazlasını içerir.”
Tehdit Oyuncuları Kötüye Kullanıyor Connectwise Authenticode İmzaları
Geliştirme, dijital imzayı geçersiz kılmadan Authenticode doldurma adı verilen bir teknik kullanarak kötü amaçlı kod gömmek için Bağlantıya Karşı İstismar eden kötü aktörleri içeren EvilConwi olarak adlandırılan bir tehdit etkinliği kümesi detaylı olarak gelir.
Alman siber güvenlik şirketi, Mart 2025’ten bu yana bu tekniği kullanarak saldırılarda bir artış gözlemlediğini söyledi. Enfeksiyon zincirleri öncelikle kimlik avı e -postalarını ilk erişim vektörü olarak veya Facebook’ta yapay zeka (AI) araçları olarak ilan edilen sahte siteler aracılığıyla kullanıyor.
Bu e -posta mesajları, alıcıları bir Canva sayfasına yönlendiren bir onedrive bağlantısı içerir ve “PDF görüntüleyin” düğmesine sahip, bu da ConnectWise yükleyicinin gizli indirilmesine ve yürütülmesine neden olur.
Saldırılar, sahte bir Windows Güncelleme ekranını sunmak ve kullanıcıların sistemlerini kapatmasını önlemek için Authenticode imzası içindeki kimlik doğrulanmamış özniteliklerine kötü niyetli yapılandırmaları implante ederek çalışır ve ayrıca kalıcı erişim için uzak bağlantının oluşturulması gereken harici URL hakkında bilgi ekleyerek çalışır.
EvilConwi’yi dikkate değer kılan şey, kötü niyetli aktörlere güvenilir, meşru ve belki de yükseltilmiş bir sistem veya yazılım süreci kullanarak onları hain operasyonlar için bir kapak sunması ve böylece radarın altında uçmalarına izin vermesidir.
Güvenlik araştırmacısı Karsten Hahn, “Bu ayarları değiştirerek, tehdit aktörleri Google Chrome tarafından imaja dönüştürücü gibi farklı bir yazılım gibi davranan kendi uzaktan erişim kötü amaçlı yazılımlarını oluşturuyor.” Dedi. “Tehdit aktörleri uzaktan kendilerine bağlanırken kullanıcı sistemi kapatmaması için genellikle sahte Windows güncelleme görüntüleri ve mesajları eklerler.”