СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
05.07.2025
#ИБ#Инфра

Атака через фальшивый NetExtender: украдены корпоративные учетные данные

Атака через фальшивый NetExtender: украдены корпоративные учетные данные

Источник: www.esentire.com

Вредоносный SSL VPN-клиент NetExtender от SonicWall: угроза корпоративной безопасности

В конце июня 2025 года пользователи неожиданно столкнулись с опасной кибератакой: была загружена скрытая, вредоносная версия SSL VPN-клиента NetExtender от SonicWall, получившая в Microsoft обозначение SilentRoute. Эта модифицированная версия практически неотличима от легитимного ПО, но содержит скрытые механизмы похищения конфиденциальных данных.

Механизм атаки и особенности вредоносного ПО

Атака начинается с того, что жертва пытается загрузить NetExtender с подлинного сайта и случайно попадает на поддельный веб-ресурс, имитирующий официальный портал SonicWall. В результате происходит загрузка подписанного вредоносного установщика под именем SonicWall-NetExtender.msi. Подпись сертификатом GlobalSign, известного центра сертификации, усиливает ощущение легитимности и снижает подозрения пользователей и систем безопасности.

Вредоносный установщик содержит изменённые версии двух ключевых исполняемых файлов:

  • NEService.exe
  • NetExtender.exe

Злоумышленники использовали сложный метод дизассемблирования и декомпиляции оригинальных файлов, внесли вредоносные изменения и повторно собрали исполняемые файлы, что позволило им незаметно интегрировать вредоносные функции.

Как происходит компрометация данных

При вводе пользователем своих учётных данных и попытке подключения изменённое ПО передаёт конфиденциальную информацию — домен, имя пользователя и пароль — на сервер злоумышленников с IP-адресом 132.196.198.163 через порт 8080. Эти данные используются для проникновения в корпоративные сети и проведения последующих несанкционированных операций.

Рекомендации по защите и предотвращению атак

Организациям следует принять комплекс мер для минимизации рисков:

  • Немедленно сменить пароли пользователей, которые могли загрузить троянское ПО;
  • Провести тщательные аудиты систем на предмет следов активности хакеров;
  • Внедрять образовательные программы для сотрудников о рисках загрузки программного обеспечения из непроверенных источников;
  • Использовать антивирусные решения нового поколения для своевременного обнаружения и сдерживания подобных угроз;
  • Создавать внутренние каталоги с проверенными и утверждёнными ссылками на официальное ПО, чтобы исключить использование сомнительных загрузок.

Данная атака подчёркивает важность строгого контроля над источниками загрузок и необходимости постоянного мониторинга безопасности корпоративной инфраструктуры.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: