SilentRoute Trojan

サイバー犯罪者は、信頼できるソフトウェアを武器化する方法を再び発見しました。今回は、SSL VPN NetExtenderのトロイの木馬版を作成することで実現しました。サイバーセキュリティ研究者によって発見されたこの攻撃キャンペーンは、リモートネットワークアクセスを求めるユーザーにとって深刻な脅威となります。

変装したトロイの木馬

このキャンペーンの中心となっているのは、SSL VPN NetExtenderクライアントの改変版です。これは、リモートユーザーが企業ネットワークに安全に接続できるように設計された正規ツールです。ユーザーは、社内ネットワークに物理的に存在するかのように、社内アプリケーションの実行、共有ドライブへのアクセス、ファイル転送などを行うことができます。

残念ながら、正体不明の脅威グループがこのソフトウェアの偽バージョンを拡散させており、SilentRouteと呼ばれるマルウェアが埋め込まれています。インストールされると、この不正バージョンはユーザーの機密データを密かに盗み出します。

攻撃の仕組み

攻撃者は、正規バージョン10.3.2.27を装った悪意のあるNetExtenderインストーラを偽装ウェブサイト上に設置しています。このウェブサイトはすでに削除されていますが、インストーラはCITYLIGHT MEDIA PRIVATE LIMITEDによってデジタル署名されており、あたかも正規のものであるかのように見せかけています。

被害者は、次のような方法でマルウェアをダウンロードするよう誘導される可能性があります。

• SEOポイズニングにより偽装ウェブサイトが検索結果に表示される
• 悪意のあるリンクを含むスピアフィッシングメール
• マルバタイジングキャンペーンと誤解を招くソーシャルメディア投稿

ダウンロードされると、悪意のあるインストーラは、2つの重要なコンポーネント（NeService.exeとNetExtender.exe）の改変版を展開します。これらのコンポーネントは、デジタル証明書の検証を無視するように改変されています。これらのコンポーネントは、攻撃者が管理するサーバー（132.196.198.163:8080）に構成データを密かに流出させます。

何が盗まれ、どのように盗まれるのか

ユーザーがVPN認証情報を入力し「接続」ボタンをクリックすると、トロイの木馬は独自のチェックを実行し、盗んだデータを攻撃者のサーバーに送信します。盗み出された情報には以下が含まれます。

• ユーザー名
• パスワード
• ドメイン
• VPNサーバーの詳細と構成データ

盗まれた情報により、攻撃者は企業環境に不正アクセスできる可能性があり、これは重大なサイバーセキュリティ上の懸念事項となります。

保護を維持するための重要なポイント

このような脅威の被害に遭わないために、組織とユーザーは次のことを行う必要があります。

• VPN およびリモート アクセス ツールは、公式 Web サイトまたは検証済みのベンダーからのみダウンロードしてください。
• 電子メール、広告、検索結果内のリンク、特にソフトウェアのダウンロードを提供するリンクをクリックするときは注意してください。

さらに、ネットワーク管理者は異常な送信接続を監視し、エンドポイント保護システムが最新であり、改ざんされた実行可能ファイルを検出するように構成されていることを確認する必要があります。

最後に

SilentRouteキャンペーンは、なりすましやソーシャルエンジニアリングを通じたマルウェア拡散の巧妙化を浮き彫りにしています。このような欺瞞的な脅威に対する最善の防御策は、警戒心と強固なデジタル衛生管理を併用することです。