详细内容或原文请订阅后点击阅览
黑客部署伪造的Sonicwall VPN应用程序以窃取公司凭据
黑客传播了Sonicwall VPN应用程序的Trojanized版本,以窃取访问公司网络的用户的登录凭据。未知的威胁参与者正在分发Sonicwall NetExtender SSL VPN应用程序的Trojanized版本,以窃取用户凭据。合法的NetExtender应用程序使远程用户可以像现场一样安全地访问和使用公司网络资源。 […]
来源:Security Affairs _恶意软件黑客部署伪造的Sonicwall VPN应用程序以窃取公司凭据
黑客传播了Sonicwall VPN应用程序的Trojanized版本,以窃取访问公司网络的用户的登录凭据。
未知的威胁参与者正在分发SonicWall NetExtender SSL VPN应用程序的Trojanized版本,以窃取用户凭据。合法的NetExtender应用程序使远程用户可以像现场一样安全地访问和使用公司网络资源。
Microsoft威胁智能(MSTIC)跟踪为SilentRoute的恶意软件版本,模仿合法软件,该软件允许远程访问公司网络。随着攻击者利用它来获得未经授权的访问并窃取敏感信息,因此安装Rogue应用程序的用户会在不知不觉中曝光他们的数据。
silentroute一个伪造的NetExtender网站托管了由“ Citylight Media Private Limited”签名的Trojanized版本,该版本可窃取VPN配置数据并将其发送到远程服务器,Sononwall警告。
“威胁参与者修改了以下组件文件”,读取“是NetExtender Installer的一部分,以执行应用程序并将配置信息发送到远程服务器:
阅读咨询- NetExtender.exe(修改文件;无数字签名)” neservice.exe(修改文件;数字签名无效)
Sonicwall NetExtender服务通常在运行前检查其组件数字证书的有效性。如果验证失败,则停止。在Trojanized版本中,攻击者修改了代码以绕过这些检查,即使验证失败,也让程序运行。他们还向NetExtender.exe注入代码,以窃取VPN凭据,例如用户名,密码和域,并将它们发送到远程服务器(132 [。] 196.198.163:8080),一旦用户单击“连接。”。
该公司还发布了有关此威胁的妥协(IOC)的指标。
@securityaffairs Facebook