Hackers are abusing trusted tools to fly under the radar
تحذير من برنامج NetExtender مزيف واستغلال ConnectWise لنشر برمجيات خبيثة وسرقة بيانات الدخول.
هجمات اختراق عبر إصدار مزيف من SonicWall NetExtender واستغلالات ConnectWise
تروجان في برنامج NetExtender لسرقة بيانات الدخول
كشف باحثو SonicWall وشركة مايكروسوفت عن حملة سيبرانية تستهدف المستخدمين من خلال توزيع نسخة مزيفة من تطبيق NetExtender الخاص بشركة SonicWall، والمصمم لتأمين الاتصال عن بُعد بالشبكات.
النسخة الضارة تُعرَف باسم SilentRoute، وهي موقعة رقمياً من شركة CITYLIGHT MEDIA PRIVATE LIMITED، وتُوزع عبر موقع مزيف تم إزالته لاحقًا.
طرق توزيع البرنامج المزيف
- نشر المواقع المزيفة عبر تقنيات الهندسة الاجتماعية مثل التصيد الاحتيالي، ترويج المواقع الضارة عبر نتائج البحث، الإعلانات المضللة، ومنشورات على مواقع التواصل الاجتماعي.
التعديلات البرمجية وسرقة البيانات
- تعديل مكونات "NeService.exe" و"NetExtender.exe" لتخطي التحقق من الشهادات الرقمية والاستمرار في العمل.
- نقل معلومات التهيئة مثل اسم المستخدم وكلمة المرور والنطاق إلى خادم خارجي على عنوان IP: 132.196.198[.]163 عبر المنفذ 8080.
استغلال ConnectWise في هجمات EvilConwi
في تطور آخر، رصدت شركة G DATA الألمانية مجموعة تهديدات تُعرف باسم EvilConwi تقوم بإساءة استخدام توقيعات Authenticode في برنامج ConnectWise لإخفاء الشيفرة الخبيثة دون إبطال التوقيع الرقمي.
آلية الهجوم في EvilConwi
- الاعتماد على رسائل تصيد تحتوي على رابط OneDrive يحوّل الضحية إلى صفحة Canva بها زر "عرض PDF" يُنفذ تحميل برنامج ConnectWise الضار.
- زرع إعدادات خبيثة داخل توقيع Authenticode تُظهر شاشة تحديث وهمية لنظام ويندوز وتمنع المستخدم من إغلاق الجهاز.
- تُستخدم هذه التقنية لتثبيت وصول دائم عبر عنوان URL خارجي.
الهدف من الهجمات واستخدام البرمجيات الموثوقة كغطاء
تميّز مجموعة EvilConwi في استخدام برامج موثوقة ومنصات مشروعة كغطاء لشنّ الهجمات، مما يصعّب اكتشاف نشاطها الخبيث. غالبًا ما تتنكر كأدوات ذكاء اصطناعي لتحويل النصوص إلى صور وتُظهر رسائل تحديث وهمية لحجب نواياها الحقيقية.