SonicWall、偽装されたNetExtenderアプリによる情報窃取キャンペーンを警告|セキュリティニュースのセキュリティ対策 Lab

投稿日時: 2025年06月26日更新日時: 2025年06月25日

SonicWallとMicrosoft Threat Intelligence（MSTIC）は、SonicWallのSSL VPNクライアント「NetExtender」の正規アプリを装ったトロイの木馬（Trojan）型マルウェアが配布されていることを共同で発表しました。今回のサイバー攻撃では、NetExtenderバージョン10.3.2.27に酷似した偽造アプリケーションが利用され、ユーザーのVPN構成情報が窃取される被害が報告されています。

1 偽装アプリの特徴と手口
2
3 攻撃の技術的詳細
4 検出・対策
5 セキュリティ推奨
- 5.1 IOC（Indicator of Compromise）情報

偽装アプリの特徴と手口

攻撃者は「CITYLIGHT MEDIA PRIVATE LIMITED」の名義でデジタル署名された偽のインストーラを使用し、正規のNetExtenderと同様の外観を保ちながら、内部に情報窃取のコードを埋め込んでいます。改ざんされたファイルは以下の通りです

NeService.exe（署名無効化、検証処理をバイパス）
NetExtender.exe（署名なし、VPN情報を外部送信）

画像：SonicWall

特にNetExtender.exeには、VPN接続情報（ユーザー名、パスワード、ドメインなど）をIPアドレス「132.196.198.163」宛にポート8080を使って送信するコードが追加されており、接続ボタンをクリックすると即座に情報が漏洩する仕組みです。

攻撃の技術的詳細

攻撃者は、正規のインストーラに含まれる「NeService.exe」と「NetExtender.exe」を改ざんしています。

「NeService.exe」はNetExtenderのサービスとしてWindowsで実行されるコンポーネントで、通常はアプリケーションに含まれる各バイナリのデジタル署名を検証する機能を持っています。

しかし、改ざんされたバージョンではこの署名検証処理が無効化されており、署名が無効または欠如していてもそのまま実行が継続されます。

一方、「NetExtender.exe」には、ユーザーがVPN接続情報を入力して「接続」ボタンを押すと、その情報を外部サーバー（132.196.198.163:8080）に送信するコードが追加されています。送信される情報には、ユーザー名、パスワード、接続先ドメインなどが含まれており、VPN構成情報の窃取を目的とした明確な悪意ある挙動が見られます。

このように、インストーラ全体が不正に操作されており、通常の正規アプリと見分けがつかない見た目でユーザーを騙す手口が取られています。

検出・対策

SonicWallとMicrosoftはすでに偽装Webサイトの閉鎖およびデジタル証明書の無効化を実施済みです。また、以下のセキュリティソリューションが本件の検出に対応しています：

SonicWall：Fake-NetExtender（Trojan）
Microsoft Defender：TrojanSpy:Win32/SilentRoute.A

セキュリティ推奨

SonicWallアプリケーションは必ず公式サイト（sonicwall.com / mysonicwall.com）からのみダウンロードしてください。
既に偽装インストーラをダウンロード・実行した可能性がある場合は、即座にセキュリティ製品でスキャンを行い、ネットワークトラフィックの監視を強化してください。

IOC（Indicator of Compromise）情報

マルウェアインストーラSHA256：d883c067f060e0f9643667d83ff7bc55a218151df600b18991b50a4ead513364
NeService.exe：71110e641b60022f23f17ca6ded64d985579e2774d72bcff3fdbb3412cb91efd
NetExtender.exe：e30793412d9aaa49ffe0dbaaf834b6ef6600541abea418b274290447ca2e168b
通信先IP：132.196.198.163

参照

https://www.sonicwall.com/blog/threat-actors-modify-and-re-create-commercial-software-to-steal-users-information