出典: Michael Vi via Alamy Stock Photo
未確認の攻撃者が、SonicWall VPN製品の改ざんされたコピーに悪意のあるバイナリを隠し、それをインストールした人の詳細を収集しようとしました。
SonicWallは月曜日に、脅威アクターが同社のSSL VPNアプリケーションNetExtenderの「ハッキングされ改ざんされた」バージョンをどのように配布したかについての脅威調査を発表しました。正規のアプリケーションがトロイの木馬化されることは一般的に見られます。例えば、Kaspersky Labは最近、写真を盗むマルウェアがTikTokの改ざんされたバージョンを含むモバイルアプリで配布されたことを説明する研究を発表しました。SonicWall自身も昨年、Androidを標的としたトロイの木馬について報告しました。
この最新の事例が注目されるのは、脅威アクターが企業VPNを装い、ユーザーパスワードなどの構成データを収集するためにどれほどの手間をかけたかという点です。そして、SonicWallによれば、このキャンペーンの背後にいる攻撃者によって他のソフトウェアベンダーの企業アプリも改ざんされた可能性があります。
偽のNetExtender
SonicWallは、Microsoft Threat Intelligenceチームと協力して脅威を特定し、それを軽減し、それぞれの製品に検出機能を追加しましたと、SonicWallのシニアプリンシパルエンジニアであるSravan Ganachariがブログ投稿で述べています。
脅威アクターは、”CITYLIGHT MEDIA PRIVATE LIMITED”という名義でデジタル署名されたNetExtenderバージョン10.3.2.27の感染バージョンをホストしました。この名義は2020年12月にインドで設立された会社と同じ名前を共有していますが、脅威キャンペーンとの関連は現在不明です。
被害者が正規のNetExtenderバージョンを検索し、誤って脅威アクターが運営するウェブサイトにたどり着き、トロイの木馬化されたVPNアプリをインストールするという考えです。「脅威アクターは、偽のNetExtenderのインストールされたバイナリにコードを追加し、VPN構成に関連する情報が盗まれ、リモートサーバーに送信されるようにしました」とGanachariは書いています。
攻撃者はNetExtenderインストーラーの2つのコンポーネント、「NeService.exe」と「NetExtender.exe」を改ざんしました。NeService.exeには、デジタル証明書の検証機能をバイパスするパッチが含まれています。一方、NetExtender.exeには、構成データを脅威アクターと共有するコードが含まれています。
「VPN構成情報をIPアドレス132.196.198.163のリモートサーバーにポート8080を介して送信するための追加コードが追加されました。VPN構成の詳細が入力され、『接続』ボタンがクリックされると、悪意のあるコードが独自の検証を行い、データをリモートサーバーに送信します」とGanachariは書いています。「盗まれた構成情報には、ユーザー名、パスワード、ドメインなどが含まれます。」
ブログ投稿によると、SonicWallとMicrosoftは関連するウェブサイトを削除し、インストーラーのデジタル証明書を取り消すために行動しました。SonicWall Capture ATP with RTDMI、SonicWall Managed Security Services、Microsoft Defenderはすべてインストーラーの検出機能を備えています。それでも、研究ブログ投稿では「ユーザーはSonicWallアプリケーションを信頼できるソース、つまりsonicwall.comまたはmysonicwall.comからのみダウンロードすることを強く推奨します」と述べています。
SonicWallのソフトウェアエンジニアリング担当副社長であるSoumyadipta Dasは、Dark Readingに対し、このキャンペーンにはSonicWallのサブドメインは関与していないと述べています。
ブログ投稿には、侵害の指標も含まれています。
専門家の見解
Rapid7の検出および対応サービスのシニアマネージャーであるLonnie Bestは、Dark Readingに対し、トロイの木馬化されたインストーラーは、最近同社が観察した類似のバイナリと比較して「それほど目立たないように見える」と述べています。
「最近では、SEOポイズニングやGoogle Ad Servicesなどによって広まる傾向があるいくつかのキャンペーンがあり、さまざまなレベルの洗練度があります」とBestは言います。「例えば、現在追跡しているキャンペーンの1つは、そのコードにステガノグラフィを利用しており、表面的にはこのNetExtenderトロイの木馬と比較して洗練度の面で目立つように見えます。」
Bestはまた、アプリの偽装におけるデジタル証明書の悪用はよくある手法であると述べています。「コード署名においても、奇妙な会社名のコード署名証明書を利用してマルウェアがより正当なものに見え、特定のチェックを通過するようにする脅威アクターの類似性を観察しています」と彼は言います。
メールで、DasはDark Readingに対し、SonicWallがこのようにNetExtenderを偽装する脅威アクターを観察したのは初めてであると述べています。彼は、攻撃者の潜在的な身元について現時点で共有する情報はないが、複数の研究者がこの活動を追跡しているため、「脅威アクターに関するコンセンサスがすぐに得られると信じています」と述べています。
「他のソフトウェアベンダーのパッケージも同様に改ざんされたと理解しています」と彼は言います。