В последние годы удалённый доступ стал неотъемлемой частью корпоративной инфраструктуры, обеспечивая сотрудникам возможность работать из любого места и эффективно взаимодействовать с внутренними ресурсами компании. Одним из популярных решений для организации защищённого подключения является VPN-клиент SonicWall NetExtender, позволяющий безопасно подключаться к корпоративной сети и использовать все её возможности, как если бы пользователь был в офисе. Однако, как показывает практика, злоумышленники не дремлют: недавно были выявлены случаи распространения троянской версии этого клиента, а также опасная кампания, в которой злоумышленники используют уязвимости и техники злоупотребления цифровыми сертификатами ConnectWise для организации скрытых удалённых доступов к системам жертв.Ненастоящий VPN-клиент SonicWall NetExtender, заражённый трояном, распространяется через поддельные сайты, которые маскируются под официальный ресурс поставщика. Данная вредоносная программа получила кодовое имя SilentRoute, которое присвоили ей специалисты Microsoft и совместно с исследователями SonicWall выявили активность данной кампании.
Основная цель злоумышленников — похитить конфигурационные данные VPN-подключения, включая имена пользователей, пароли и доменную информацию. Получив эти данные, атакующие могут без труда получить доступ к корпоративной инфраструктуре и осуществлять дальнейшие действия, оставаясь незамеченными.Изменения внесены в два ключевых компонента программы — NeService.exe и NetExtender.exe, которые теперь обходят проверку цифровых сертификатов и продолжают работу даже при обнаружении недостоверности подписи.
Это позволяет трояну избегать обнаружения и отправлять конфигурационные данные на удалённый сервер злоумышленников, расположенный по IP-адресу 132.196.198.163 через порт 8080. Атака тщательно продумана: вредоносный код активируется в момент нажатия кнопки подключения, что гарантирует получение актуальной и точной информации о VPN-учётных данных пользователя.
Распространение трояна включает использование различных популярных методов, таких как фишинговые рассылки, оптимизация поисковых запросов (SEO poisoning), вредоносная реклама (malvertising) и активность в социальных сетях. Все эти методы направлены на введение пользователя в заблуждение с целью заставить его загрузить, а затем и установить поддельное ПО. Отметим, что поражение происходит далеко не только потому, что жертва скачивает программу. Вредоносный объект использует цепочку модификаций, которые позволяют обойти стандартные меры безопасности, что создает дополнительные сложности для систем защиты.Параллельно растёт число атак, связанных с использованием техники, известной как «authenticode stuffing», связанной с платформой ConnectWise.
ConnectWise — это популярное решение для управления IT-сервисами, обладающее высокой степенью доверия со стороны пользователей и систем безопасности благодаря использованию электронных подписей (Authenticode) для проверки подлинности приложений. К сожалению, злоумышленники научились внедрять вредоносный код в неаутентифицированные атрибуты подписей, не нарушая при этом саму цифровую подпись, что значительно усложняет выявление подобных угроз.Кибератаки под кодовым названием EvilConwi используют именно эту технику. В качестве начальной фазы атаки применяются фишинговые электронные письма или фальшивые сайты, замаскированные под инструменты искусственного интеллекта, распространённые через социальные платформы, например Facebook. Рассылка содержит ссылки на облачные хранилища OneDrive, которые перенаправляют пользователя на страницы, созданные на Canva с предложением открыть PDF-файл.
При нажатии на кнопку «View PDF» происходит скрытая загрузка и выполнение инсталлятора ConnectWise с вредоносными настройками.Ключевая специфика атаки состоит в том, что злоумышленники используют неаутентифицированные поля подписи для внедрения конфигураций, которые ложно отображают на экране пользователя «обновление Windows». Эта уловка не позволяет пользователю выключить или перезагрузить устройство, давая возможность злоумышленникам устанавливать постоянное удалённое подключение без прерывания. При этом вредоносное ПО маскируется под программу, например, AI-конвертер изображений от Google Chrome, что обеспечивает дополнительный уровень социальной инженерии.Такой метод атаки предоставляет хакерам серьезные преимущества.
Использование легитимного программного обеспечения с проверенной цифровой подписью позволяет выйти из-под поля зрения традиционных систем обнаружения угроз. Подобные процессы часто выполняются с повышенными привилегиями, что открывает злоумышленникам широкие возможности для манипуляций с системой и доступа к конфиденциальным данным. Ряд компаний, среди которых и ConnectWise, уже отреагировали на эту угрозу и аннулировали скомпрометированные сертификаты, однако злонамеренные группы продолжают совершенствовать свои методы работы.В условиях роста количества подобных атак особую важность приобретает грамотная политика информационной безопасности в организациях. Во-первых, пользователям настоятельно рекомендуется загружать корпоративные решения, такие как SonicWall NetExtender, только с официальных ресурсов компании или их проверенных источников.
Во-вторых, необходимо своевременно обновлять версии программного обеспечения и регулярно применять патчи, закрывающие известные уязвимости. Регулярное обучение сотрудников основам кибергигиены и распознаванию признаков фишинговых сообщений значительно снижает риск попадания вредоносного ПО в корпоративную среду.Администраторы IT-инфраструктуры должны внедрять многоуровневые системы защиты, включая проактивный мониторинг и анализ сетевого трафика на предмет необычной активности. Использование технологий обнаружения аномалий и поведенческих индикаторов позволит оперативно реагировать на подозрительные действия и предотвращать дальнейшее распространение угрозы. В случае подозрений на компрометацию приложения стоит провести глубокий аудит цифровых сертификатов и проверить целостность подписей используемых компонентов.
Кроме того, важным этапом защиты становится применение комплексных решений по управлению доступом — внедрение многофакторной аутентификации, ограничение прав пользователей и разграничение доступа по принципу минимальных привилегий исключают возможность несанкционированного проникновения даже при компрометации учётных данных. Использование современных платформ по мониторингу и управлению идентификацией помогает обнаруживать подозрительную активность и оперативно реагировать на попытки злоумышленников.Ситуация с троянеобразным SonicWall NetExtender и злоупотреблениями сертификатами ConnectWise напоминает о том, насколько важно сохранять бдительность и постоянно совершенствовать систему защиты в условиях быстро меняющегося ландшафта киберугроз. Вредоносные кампании становятся всё более изощрёнными, используя методы социальной инженерии, обхода защитных механизмов и эксплуатации доверия к цифровым подписям. Только комплексный подход к информационной безопасности, включающий технологические, организационные и образовательные меры, поможет снизить риски и обеспечить безопасность корпоративных систем.
Таким образом, современные удалённые атаки с использованием трояна SilentRoute и техники EvilConwi показывают новые тенденции в развитии киберпреступности, связанные с эксплуатацией популярных программ и доверия пользователей к цифровой подписи. Повышение осведомлённости, внедрение современных средств безопасности и строгое соблюдение рекомендаций от производителей программного обеспечения — залог устойчивой защиты от подобных угроз для любой организации. В условиях постоянно меняющихся тактик злоумышленников нельзя недооценивать важность своевременного реагирования и расширения возможностей защиты корпоративной инфраструктуры.
