Malicious Ivanti VPN Client Sites in Google Search Deliver Malware — Users Warned
2025/10/16 gbhackers — Ivanti Pulse Secure VPN クライアント用の RAT (Remote Access Trojan) を、SEO ポイズニングを介して配布する高度なマルウェア・キャンペーンを、Zscaler のサイバー・セキュリティ研究者たちが発見した。このキャンペーンが標的とするのは、ソフトウェア・ダウンロードを求める無防備なユーザーである。先日に Zscaler Threat Hunting チームが検出したのは、SEO 操作を悪用するサイバー犯罪の急増である。このキャンペーンでは、主に Bing 検索エンジンのユーザーが標的にされる。
VPN 認証情報を盗むために設計された、疑似ドメインや偽のダウンロード・ページを展開する脅威アクターは、企業ネットワークへの侵入情報を盗み出そうとしている。この戦術は、Akira などの壊滅的なランサムウェア攻撃と、歴史的に関連付けられている。
“Ivanti Pulse Secure ダウンロード” などの用語でユーザーが検索するところから、このキャンペーンは始まる。
すでに SEO ポイズニングに成功している脅威アクターにより、検索結果では悪意の Web サイトが目立つように表示される。ユーザーは2025年9月に登録されたivanti-pulsesecure[.]comやivanti-secure-access[.]orgといった正規のIvanti サイトに酷似した不正ドメインに誘導される。
これらの偽 Web サイトは、公式の Ivanti Pulse Secure ダウンロード・ページを巧妙に模倣している。そしてユーザーがダウンロード・ボタンをクリックすると、バックグラウンドで HTTP リクエストが送信され、RAT 化された MSI インストーラファイルのダウンロードが開始される。
注目すべきは、この悪意のダウンロード・ファイルがデジタル署名されている点である。それによりセキュリティ検出が回避され、ユーザーとセキュリティ・ツールの双方による、偽の信頼感が与えられることになる。
この分析が行われた時点で悪意のインストーラを検知したのは、VirusTotal に登録されている 58 のウイルス対策ベンダーのうち、わずか2社のみだった。したがって、このキャンペーンが示すのは、従来のセキュリティ対策を回避する上で、きわめて効果的な手法が用いられていることだ。
高度な回避戦術
このキャンペーンの特徴は、リファラー・ベースの条件付きコンテンツ配信手法にある。つまり、このフィッシング・サイトは、アクセス経路に応じてコンテンツの表示を動的に調整している。
これらのドメインに直接アクセスすると、ダウンロード・ボタンのない無害なコンテンツが表示されるため、セキュリティ・アナリストによる調査では問題が発見されにくい。しかし、Bing の検索結果からアクセスすると、悪意のダウンロード・リンクを取り込んだフィッシング・コンテンツが出現する。HTTP リファラー・ヘッダーの巧妙な悪用により、この攻撃者はセキュリティ・ベンダーによる検出を回避している。
Hefei Qiangwei Network Technology Co., Ltd. により署名された悪意の MSI インストーラーには、標的型の攻撃シーケンスを構成する、認証情報窃取 DLL (dwmapi.dll/pulse_extension.dll と同名) が含まれている。
このマルウェアが見つけ出すのは、”C:\ProgramData\Pulse Secure\ConnectionStore\connectionstore.dat” にある、Ivanti Pulse Secure 接続ストレージ・ファイルだ。それにより、VPN サーバの URI を抽出し、窃取した認証情報とハードコードされたユーザー名/パスワード情報を取り込んだ、データ文字列を構築する。
続いて、このマルウェアは、Microsoft Azure インフラでホストされている、IP アドレス “4[.]239[.]95[.]1″ と ポート8080 を介して、C2 (Command and Control) サーバに接続する。それは、正規のクラウド・サービスと悪意のトラフィック混合する、”LOTS:Living off of Trusted Sites” 攻撃の手法である。
このマルウェアは、XOR ベースの難読化を解除した後に、 C2 パス “/income_shit” への HTTP POST リクエストを介して、窃取したデータを外部に持ち出す。
ランサムウェアとの関連性
この攻撃手法が備えているのは、以前の Akira ランサムウェアのデプロイメントと関連付けられたキャンペーンの特徴である。VPN 認証情報を窃取した攻撃者に、企業ネットワークへの初期アクセスを取得するため、偵察とラテラル・ムーブメントに加えて、最終的なランサムウェア展開へとつなげる可能性を持つ。
ユーザー組織にとって必要なことは、すべてのリモート・アクセスに対して多要素認証(MFA) を直ちに導入し、未検証のソースからのソフトウェア・ダウンロードに関するユーザー教育を実施し、不審なIP へのアウト・バウンド接続を監視することである。その一方でセキュリティ・チームは、新規登録ドメインや “.shop”/”.top” などの安易な TDL (top-level domain) に注意を払うべきである。
Zscaler のクラウド・セキュリティ・プラットフォームは、複数のセキュリティ・レイヤーをカバーし、この脅威を Win32_PWS_Agent として検出した。Zscaler は、この進化するキャンペーンを継続して監視している。1日あたり 5,000億件を超えるトランザクションの分析を活用して、有害な攻撃が仕掛けられる前に特定している。
デジタル署名されたソフトウェアや上位の検索結果でさえも暗黙に信頼できない時代において、継続的な脅威ハンティングとプロアクティブなセキュリティ対策が重要なことを、このキャンペーンは浮き彫りにしている。
侵害の兆候 (IoC)
| Type | Indicator |
|---|---|
| MD5 | 6e258deec1e176516d180d758044c019 |
| 32a5dc3d82d381a63a383bf10dc3e337 | |
| Filename | Ivanti-VPN.msi |
| IP Address | 4[.]239[.]95[.]1 |
| Domains | netml[.]shop |
| shopping5[.]shop | |
| ivanti-pulsesecure[.]com | |
| ivanti-secure-access[.]org | |
| URLs | netml[.]shop/get?q=ivanti |
| shopping5[.]shop/?file=ivanti | |
| C2 Path | /income_shit |
まず検索結果を汚染する SEOポイズニングにより、正規サイトに酷似した偽ドメインへとユーザーを誘導するところから、この攻撃は始まります。そこに組み合わせられるのが、HTTP リファラーを使った条件付き配信やクリップボード経由のコマンド書き込みといった、解析や検出を逃れる高度な回避手法です。さらに、デジタル署名された悪意の MSI によりウイルス検出が阻害され、一連の攻撃チェーンが成立していきます。よろしければ、SEO で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.