SonicWall NetExtenderは、リモートユーザーが安全に会社のネットワークにアクセスするためのVPNクライアントソフトウェアです。
Windows、Linux、Macユーザーが利用でき、ローカルネットワークにいるように、ファイル転送やネットワークドライブのマウント、リソースへのアクセスが可能です。
このソフトウェアのWindows版に酷似した別のものが配布されていることが確認されています。
- 偽装したWebサイト
正規のNetExtenderのダウンロードサイトを模したサイトを脅威アクターは用意し、ここにNetExtenderの最新バージョンに見えるものを配置して待ち構えます。 - 配布物の構成
被害者は、偽装サイトからNetExtenderのインストールパッケージのようなものをダウンロードして実行します。
インストールパッケージのなかの基本的なファイル構成は、正規のものと同じです。
しかし、内容は一部差し換えられています。- NeService.exe
これはNetExtenderアプリケーションで使用されるSonicWall NetExtender Windowsサービスとして実装されたファイルです。
本来であれば、このサービスが実行しようとしているファイルの電子証明書検証し、無効な場合には実行しないといった機能が実装されているものです。
しかし、脅威アクターが用意したこのファイルの改変版では、この機能が無効化されています。
無効な電子証明書でサインされたファイルも実行してしまうようになっています。 - NetExtender.exe
これはNetExtenderの本体部分のファイルです。
正規のモノであれば、これを起動して接続先に接続すると、指定した接続先に接続される動作を行います。
しかし、脅威アクターが用意した改変版では、その接続の際に追加動作を行うようになっています。
脅威アクターの用意したサーバに対し、接続先のドメイン、ユーザ名、パスワードといった接続に必要となる情報を送信します。
このファイルには機能が追加されていますので、exeとして配布するためにはbuildする必要があるのですが、その際にはいかにもありそうな名前の証明書でサインしたものを作成しています。
その証明書は正規の有効なものではないのですが、このファイルの実行時に本来実施されるはずの電子証明書の妥当性確認機構は無効化されていますので、証明書が妥当である必要はないのでした。
- NeService.exe
この脅威は被害者に気がつかれにくい内容になっています。
被害者は正規の接続ソフトウェアを入手したと思って、その偽ソフトウェアを使用します。
被害者はそのソフトウェアが本来想定した機能を利用できていますので、問題がある状態になっていることに気がつきません。
しかし、このマルウェアを使用すると、被害者の認証情報は脅威アクターの手に渡ってしまっているのです。
そのまま入手した認証情報が悪用されるかもしれませんし、他の脅威アクターに販売されてしまうかもしれません。
このマルウェアを使用した脅威においては、ソフトウェアの脆弱性は悪用されていません。
人間の脆弱な部分を悪用した活動となっています。
いまさらではありますが、ファイル入手時にはそのサイトが正規の配布サイトであるかを確認することが重要です。
Threat Actors Modify and Re-Create Commercial Software to Steal Users’ Information
https://www.sonicwall.com/blog/threat-actors-modify-and-re-create-commercial-software-to-steal-users-information
| この記事をシェア |
|
|---|
