AnaSayfaHaberler* Saldırganlar, giriş bilgilerini çalmak için SonicWall'ın NetExtender VPN uygulamasının trojanlaştırılmış bir sürümünü yayıyor.
Sahte yazılım, SilentRoute adıyla, sahte bir web sitesinden dağıtılmakta ve gerçek gibi görünmesi için dijital olarak imzalanmaktadır.
Kurulumda yer alan kötü niyetli kod, yakalanan VPN yapılandırma bilgilerini—kullanıcı adları ve şifreler dahil—uzak bir sunucuya gönderir.
EvilConwi olarak bilinen başka bir kampanya, ConnectWise imzalarını kötüye kullanarak kimlik avı ve sahte siteler aracılığıyla uzaktan erişim kötü amaçlı yazılımı dağıtıyor.
Her iki tehdit de güvenilir imzalar ve yanıltıcı görseller kullanarak kullanıcıları kandırmakta ve yaygın güvenlik kontrollerini aşmaktadır.
Bilinmeyen saldırganlar, kullanıcı kimlik bilgilerini ele geçirmek için SonicWall NetExtender SSL VPN uygulamasının trojan bulaşmış bir versiyonunu dağıttı. Haziran 2025'te keşfedilen değiştirilen yükleyici, resmi versiyon olarak gizlenmiş ve o zamandan beri kapatılan sahte bir web sitesi aracılığıyla dağıtılmıştır.
Reklam - SonicWall araştırmacısı Sravan Ganachari'ye göre, meşru NetExtender uygulaması, uzaktan kullanıcıların şirket ağ kaynaklarına güvenli bir şekilde erişmesine olanak tanır. Microsoft ile çalışan şirket, kullanıcıların hassas VPN yapılandırma bilgilerini toplayan kötü niyetli varyantı - kod adı SilentRoute - tespit etti.
Tehdit aktörü, sahte NetExtender'ın kurulu ikili dosyalarına kod ekleyerek VPN yapılandırmasıyla ilgili bilgilerin çalınıp uzaktaki bir sunucuya gönderilmesini sağladı, dedi Ganachari. CITYLIGHT MEDIA PRIVATE LIMITED tarafından imzalanan değiştirilmiş yükleyici, dijital sertifika kontrolünü atlatıyor. Bir kullanıcı VPN kimlik bilgilerini girdiğinde ve "Bağlan" butonuna tıkladığında, kötü amaçlı yazılım kullanıcı adı, şifre ve alan gibi ayrıntıları internet üzerinden uzaktaki bir sunucuya iletiyor.
Bu kötü niyetli yazılımın yayılması, muhtemelen NetExtender uygulamasını arama motorlarında arayan kullanıcıları hedef aldı ve onları arama motoru optimizasyonu, kötü amaçlı reklamcılık veya sosyal medya bağlantıları gibi taktiklerle kimlik avı sitelerine yönlendirdi. Soruşturmacılar, değiştirilen yükleyicide veri hırsızlığı ve sertifika doğrulama atlatma için her ikisi de değiştirilmiş iki ana bileşen, "NeService.exe" ve "NetExtender.exe" bulundu.
Bu arada, Alman şirketi G DATA tarafından tanımlanan ayrı bir kampanya, EvilConwi adındaki bir faaliyet grubunda ConnectWise yazılım imzalarını istismar etti. Saldırganlar, programın güvenilir dijital imzasını bozmadan kötü amaçlı kod ekleyen Authenticode stuffing adı verilen bir yöntemi kullandılar. Bu yöntem, meşru görünen yazılım süreçlerini kullanarak tehditlerin tespit edilmeden geçmesine olanak tanıdı.
Bu saldırılar, sahte indirmelere yol açan oltalama e-postalarıyla başlar. Kötü amaçlı yazılımlar, tanıdık markaların arkasına gizlenmiş casus yazılımlar yerleştirir ve bazen kullanıcıları bilgisayarlarını kapatmaktan alıkoymak için sahte Windows güncelleme ekranları gösterir. Güvenlik araştırmacısı Karsten Hahn, saldırganların sahte AI araç tanıtımları ve yanıltıcı güncelleme görselleri kullanarak kullanıcıları kandırdığını ve sistemlerini uzaktan erişime karşı savunmasız bıraktığını belirtti.
Her iki kampanya da, saldırganların kullanıcı verilerini toplamalarına olanak tanıyan ve standart güvenlik araçları tarafından tespit edilme olasılığını en aza indiren bilinen güvenlik açıklarına dayanıyordu.
Reklam - #### Önceki Makaleler:
Cumhuriyet, SpaceX ve Anthropic'i İzleyen Ayna Token'ları Perakende Yatırımcılara Sunacak
Bitcoin, Fed faiz indirim umutları ve jeopolitik korkuların azalmasıyla 107K$'a yükseldi.
CoinDesk 20 Endeksi %0.5 Artış Gösterdi; BCH, SOL Önde; APT, AAVE Geri Kalıyor
Pro-İran Hacktivistler Suudi Oyun Atletleri ve Ziyaretçi Verilerini İnternete Sızdırdı
Hana Bank, Kore'nin Stabilcoin Konsorsiyumuna Katıldı, Ticari Marka Başvurusunda Bulundu
Reklam -
View Original
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
Trojanize edilmiş SonicWall NetExtender, VPN kullanıcılarını kimlik bilgisi hırsızlığı için hedef alıyor
AnaSayfaHaberler* Saldırganlar, giriş bilgilerini çalmak için SonicWall'ın NetExtender VPN uygulamasının trojanlaştırılmış bir sürümünü yayıyor.
Tehdit aktörü, sahte NetExtender'ın kurulu ikili dosyalarına kod ekleyerek VPN yapılandırmasıyla ilgili bilgilerin çalınıp uzaktaki bir sunucuya gönderilmesini sağladı, dedi Ganachari. CITYLIGHT MEDIA PRIVATE LIMITED tarafından imzalanan değiştirilmiş yükleyici, dijital sertifika kontrolünü atlatıyor. Bir kullanıcı VPN kimlik bilgilerini girdiğinde ve "Bağlan" butonuna tıkladığında, kötü amaçlı yazılım kullanıcı adı, şifre ve alan gibi ayrıntıları internet üzerinden uzaktaki bir sunucuya iletiyor.
Bu kötü niyetli yazılımın yayılması, muhtemelen NetExtender uygulamasını arama motorlarında arayan kullanıcıları hedef aldı ve onları arama motoru optimizasyonu, kötü amaçlı reklamcılık veya sosyal medya bağlantıları gibi taktiklerle kimlik avı sitelerine yönlendirdi. Soruşturmacılar, değiştirilen yükleyicide veri hırsızlığı ve sertifika doğrulama atlatma için her ikisi de değiştirilmiş iki ana bileşen, "NeService.exe" ve "NetExtender.exe" bulundu.
Bu arada, Alman şirketi G DATA tarafından tanımlanan ayrı bir kampanya, EvilConwi adındaki bir faaliyet grubunda ConnectWise yazılım imzalarını istismar etti. Saldırganlar, programın güvenilir dijital imzasını bozmadan kötü amaçlı kod ekleyen Authenticode stuffing adı verilen bir yöntemi kullandılar. Bu yöntem, meşru görünen yazılım süreçlerini kullanarak tehditlerin tespit edilmeden geçmesine olanak tanıdı.
Bu saldırılar, sahte indirmelere yol açan oltalama e-postalarıyla başlar. Kötü amaçlı yazılımlar, tanıdık markaların arkasına gizlenmiş casus yazılımlar yerleştirir ve bazen kullanıcıları bilgisayarlarını kapatmaktan alıkoymak için sahte Windows güncelleme ekranları gösterir. Güvenlik araştırmacısı Karsten Hahn, saldırganların sahte AI araç tanıtımları ve yanıltıcı güncelleme görselleri kullanarak kullanıcıları kandırdığını ve sistemlerini uzaktan erişime karşı savunmasız bıraktığını belirtti.
Her iki kampanya da, saldırganların kullanıcı verilerini toplamalarına olanak tanıyan ve standart güvenlik araçları tarafından tespit edilme olasılığını en aza indiren bilinen güvenlik açıklarına dayanıyordu.