Code Nguyen
Writer
Một nhóm tin tặc chưa rõ danh tính đã đánh cắp và chỉnh sửa bản cài đặt phần mềm VPN NetExtender của SonicWall, biến nó thành công cụ phát tán mã độc, đánh cắp thông tin người dùng. Đây là vụ việc mới nhất trong chuỗi các chiến dịch lợi dụng phần mềm hợp pháp để phát tán Trojan.
Trong báo cáo được công bố đầu tuần này, SonicWall cho biết họ phát hiện một phiên bản NetExtender bị thay đổi, có chứa mã độc, được lưu hành với mục đích giả mạo ứng dụng VPN doanh nghiệp. Khi người dùng cài đặt ứng dụng bị nhiễm, dữ liệu cấu hình như tên đăng nhập và mật khẩu có thể bị gửi về máy chủ của kẻ tấn công.
Cách thức tấn công là lợi dụng sự tin tưởng của người dùng: họ tìm kiếm phần mềm VPN chính hãng, nhưng lại vô tình truy cập vào trang web giả mạo do kẻ xấu vận hành. Sau đó, khi người dùng cài đặt phần mềm này và bấm “Kết nối”, mã độc được kích hoạt để gửi thông tin cấu hình VPN, bao gồm tên người dùng, mật khẩu và tên miền, về máy chủ từ xa qua địa chỉ IP 132.196.198.163, cổng 8080.
Hai thành phần trong bộ cài bị thay đổi gồm NeService.exe và NetExtender.exe. NeService.exe bị vá để bỏ qua xác thực chứng chỉ số, trong khi NetExtender.exe chứa mã gửi thông tin cấu hình về máy chủ của tin tặc.
SonicWall đã phối hợp với nhóm Microsoft Threat Intelligence để xác định mối đe dọa, gỡ bỏ các trang web liên quan và thu hồi chứng chỉ số. Các sản phẩm bảo mật như SonicWall Capture ATP với RTDMI, Microsoft Defender và dịch vụ bảo mật SonicWall đều đã cập nhật nhận diện để ngăn chặn phần mềm này.
SonicWall khuyến cáo người dùng chỉ nên tải phần mềm từ các trang chính thức như sonicwall.com hoặc mysonicwall.com. Họ xác nhận không có tên miền phụ chính thức nào bị lợi dụng trong chiến dịch này.
Ông Best cũng cảnh báo rằng nhiều phần mềm hợp pháp từ các nhà cung cấp khác có thể đã bị chỉnh sửa tương tự. Đại diện SonicWall cho biết đây là lần đầu tiên họ ghi nhận trường hợp NetExtender bị mạo danh theo cách này, và vẫn chưa xác định được danh tính kẻ tấn công.
Dù chưa có kết luận chính thức, các nhà nghiên cứu bảo mật đang tích cực theo dõi và phân tích, với hy vọng sớm tìm ra thủ phạm đứng sau chiến dịch này.
DarkReading
Nguồn bài viết: https://www.darkreading.com/identit...at-actor-trojanizes-sonicwall-netextender-vpn
Chi tiết về vụ tấn công và các dấu hiệu nhận biết
Phần mềm bị giả mạo được gắn nhãn là phiên bản 10.3.2.27, ký bởi một công ty tên là "CITYLIGHT MEDIA PRIVATE LIMITED" có trụ sở tại Ấn Độ. Tuy nhiên, chưa rõ liệu công ty này có liên quan gì đến vụ việc hay không.Cách thức tấn công là lợi dụng sự tin tưởng của người dùng: họ tìm kiếm phần mềm VPN chính hãng, nhưng lại vô tình truy cập vào trang web giả mạo do kẻ xấu vận hành. Sau đó, khi người dùng cài đặt phần mềm này và bấm “Kết nối”, mã độc được kích hoạt để gửi thông tin cấu hình VPN, bao gồm tên người dùng, mật khẩu và tên miền, về máy chủ từ xa qua địa chỉ IP 132.196.198.163, cổng 8080.
Hai thành phần trong bộ cài bị thay đổi gồm NeService.exe và NetExtender.exe. NeService.exe bị vá để bỏ qua xác thực chứng chỉ số, trong khi NetExtender.exe chứa mã gửi thông tin cấu hình về máy chủ của tin tặc.
SonicWall đã phối hợp với nhóm Microsoft Threat Intelligence để xác định mối đe dọa, gỡ bỏ các trang web liên quan và thu hồi chứng chỉ số. Các sản phẩm bảo mật như SonicWall Capture ATP với RTDMI, Microsoft Defender và dịch vụ bảo mật SonicWall đều đã cập nhật nhận diện để ngăn chặn phần mềm này.
SonicWall khuyến cáo người dùng chỉ nên tải phần mềm từ các trang chính thức như sonicwall.com hoặc mysonicwall.com. Họ xác nhận không có tên miền phụ chính thức nào bị lợi dụng trong chiến dịch này.
Các chuyên gia đánh giá và cảnh báo thêm
Lonnie Best, chuyên gia tại Rapid7, nhận định mã độc trong vụ việc này không quá tinh vi so với các chiến dịch tấn công khác mà họ từng ghi nhận, như việc sử dụng dịch vụ quảng cáo Google hoặc thủ thuật SEO để phát tán phần mềm độc hại. Tuy nhiên, việc lợi dụng chứng chỉ số để làm phần mềm trông hợp pháp hơn là một chiến thuật khá phổ biến.Ông Best cũng cảnh báo rằng nhiều phần mềm hợp pháp từ các nhà cung cấp khác có thể đã bị chỉnh sửa tương tự. Đại diện SonicWall cho biết đây là lần đầu tiên họ ghi nhận trường hợp NetExtender bị mạo danh theo cách này, và vẫn chưa xác định được danh tính kẻ tấn công.
Dù chưa có kết luận chính thức, các nhà nghiên cứu bảo mật đang tích cực theo dõi và phân tích, với hy vọng sớm tìm ra thủ phạm đứng sau chiến dịch này.
DarkReading
