駭客偽造 SonicWall NetExtender VPN 應用程式 竊取安裝者的個資

攻擊者在經過竄改的SonicWall VPN產品中隱藏了惡意執行檔，能竊取安裝者的個資。SonicWall 發布資安威脅報告，詳細說明駭客如何散布該公司SSL VPN軟體NetExtender的竄改版本，竊取使用者密碼等配置資料。

攻擊手法分析

SonicWall與微軟威脅情報團隊合作識別威脅，發現駭客透過網路散播遭植入惡意程式的NetExtender 10.3.2.27版本，該版本使用「CITYLIGHT MEDIA PRIVATE LIMITED」公司的數位簽章。攻擊者讓受害者在搜尋正版NetExtender時，意外進入駭客操作的網站，並安裝被植入木馬的VPN應用程式。

駭客修改了NetExtender安裝程式的兩個關鍵元件：「NeService.exe」包含能繞過數位憑證驗證功能的修補程式，「NetExtender.exe」則包含將配置數據傳送給攻擊者的程式碼。當用戶輸入VPN配置資訊並點擊連接後，惡意程式碼會透過8080連接埠將使用者名稱、密碼和網域等敏感資料傳送至132.196.198.163的遠端伺服器。

SonicWall與微軟已關閉相關網站並撤銷安裝程式的數位憑證。SonicWall Capture ATP、資安管理服務以及微軟Defender均已加入對該安裝程式的偵測機制。官方強烈建議使用者僅從可信任的官方來源下載SonicWall應用程式。

專家評論

Rapid7偵測與應變服務資深經理Lonnie Best表示，從技術複雜度來看，這次被植入木馬的安裝程式「並不特別突出」。濫用數位憑證進行應用程式偽裝是常見攻擊手法，駭客利用可疑公司的程式碼簽署憑證，使惡意軟體看起來更合法。

最近有攻擊活動透過搜尋引擎優化投毒和Google廣告服務傳播，其中一些利用隱寫術技術的攻擊活動複雜程度更高。這是SonicWall首次發現威脅行為者以此方式冒充NetExtender，據悉其他軟體廠商的產品也遭受類似竄改手法。

企業組織應建立完善的軟體下載政策，確保所有軟體都從官方管道取得，並部署端點偵測與回應解決方案監控異常網路連線。對於VPN等關鍵軟體，建議實施額外的驗證機制，包括檢查數位簽章有效性和軟體來源可信度。

使用者應提高對軟體來源的警覺性，避免透過搜尋引擎隨意下載軟體，在安裝前應確認數位簽章和來源的合法性。

本文轉載自 DarkReading。