快连VPN:速度和安全性最佳的VPN服务
2020年9月21日,研究人員觀察到,數位攻擊者將一個免費的虛擬私人網路(VPN)和廣告攔截服務的安裝程式與後門捆綁在一起,旨在竊取受害者的資料。
VPN漏洞:來自惡意來源的可疑文件
趨勢科技發現了一次攻擊嘗試,用戶在下載看似來自VPN提供者官方下載中心的Windscribe安裝程式時,實際上卻是從其他來源下載的。這個捆綁包確實包含了真實的Windscribe安裝程序,但同時也包含了一個惡意檔案(lscm.exe),該檔案包含了VPN後門,以及一個用於運行該檔案的應用程式(win.vbs)。
當使用者打開這個捆綁的應用程式時,Windscribe安裝畫面會在受害者的電腦上彈出。這種行為讓使用者覺得沒有任何可疑之處——至少在表面上看是這樣。捆綁應用程式在後台呼叫了win.vbs。完成這個步驟後,它運行了lscm.exe,趨勢科技偵測到這個檔案被稱為「Trojan.MSIL.BLADABINDI.THIOABO」。
此步驟導致該文件從一個網站下載其有效負載。接下來,該位置將使用者引導到另一個頁面,以下載名為「Dracula.jpg」的檔案。解密該檔案後,趨勢科技發現VPN後門有效負載,研究人員將其偵測為「Backdoor.MSIL.BLADABINDI.THA」。成功安裝此後門後,攻擊者能夠下載、執行和上傳文件,並截取受害者螢幕的截圖。
這個有效負載還收集了感染電腦上運行的防毒產品列表,以及電腦名稱、作業系統和使用者名稱。然後,它將這些資料傳送到攻擊者控制的伺服器。
其他涉及VPN安全和後門的攻擊
惡意行為者以前曾發動涉及VPN安全和後門的攻擊。 2019年8月,網站Dr. Web偵測到一項活動,數位罪犯創建了流行軟體的假網站。他們的目標包括知名的VPN服務NordVPN。這些網站欺騙訪客下載他們認為是合法的應用程式。實際上,他們下載的是樣本Win32.Bolik.2,這種木馬旨在竊取資料、記錄按鍵、攔截流量並執行其他惡意功能。
不到一年後, ClearSky研究團隊披露,他們發現了一項名為「Fox Kitten Campaign」的攻擊性數位行動。伊朗APT團體利用VPN漏洞以及遠端桌面協定(RDP)服務來獲得立足點。透過這種方式,他們可以進入全球數十家公司的網絡,並利用這種存取權限來竊取受害者的資料。
關於上述BLADABINDI活動的消息傳出之際,網路搜尋「VPN」一詞的數量緩慢上升。谷歌透露,這些搜尋在去年的二月和三月達到了峰值,因為全球許多組織將員工轉移到遠端工作,以實施社交距離。
VPN安全提示
鑑於VPN使用的增加,組織需要保護自己免受假VPN安裝程式的攻擊。組織可以透過制定安全政策,禁止員工從可疑網站下載VPN,來實現這一目標。這些政策也應清楚定義與IT合作的流程,以引入核准的硬體/軟體來確保VPN安全,從而最小化陰影IT帶來的風險。
同時,實體應建立防護措施,以協助偵測惡意行為者。具體來說,他們可以監控以確保沒有人能夠在企業網路中橫向移動。此外,他們可以阻止後門,防止惡意行為者竊取數據,並使用監控工具密切關注網路上的可疑活動,以增強VPN安全性。
透過以上的內容,使用者可以更了解VPN的安全風險及其防護措施,為自己的網路安全提供保障。
