概要:SEOポイズニングによるIvanti VPNクライアントの悪用
Zscalerのサイバーセキュリティ研究者たちは、正規のソフトウェアダウンロードを探している疑うことを知らないユーザーを標的とし、検索エンジン最適化(SEO)ポイズニングを悪用してIvanti Pulse Secure VPNクライアントのトロイの木馬化されたバージョンを配布する巧妙なマルウェアキャンペーンを発見しました。Zscalerの脅威ハンティングチームは最近、主にBing検索エンジンのユーザーを標的としたSEO操作を利用した悪意のある活動の急増を検出しました。サイバー犯罪者は、VPN認証情報を盗むために設計された偽のドメインと偽のダウンロードページを展開しており、これにより攻撃者は企業ネットワークへのゲートウェイを獲得しています。これは、悪名高いAkiraランサムウェアを含む壊滅的なランサムウェア攻撃と歴史的に関連付けられている手口です。
キャンペーンの仕組み
このキャンペーンは、ユーザーが検索エンジンで「Ivanti Pulse Secure Download」のような用語を検索すると、何気なく始まります。脅威アクターは検索結果を巧妙に汚染し、悪意のあるウェブサイトが目立つように表示されるようにしています。ユーザーは、2025年9月に登録された詐欺的なドメイン(例:ivanti-pulsesecure[.]com、ivanti-secure-access[.]org)に誘導されます。これらは正規のIvantiサイトを忠実に模倣しています。これらの偽のウェブサイトは、公式のIvanti Pulse Secureダウンロードページの説得力のあるレプリカを特徴としています。被害者がダウンロードボタンをクリックすると、バックグラウンドのHTTPリクエストによってトロイの木馬化されたMSIインストーラーファイルのダウンロードが開始されます。注目すべきは、この悪意のあるファイルがデジタル署名されていることです。これは、セキュリティ検出を回避し、ユーザーやセキュリティツールに対して偽の信頼性を確立するために設計された高度な手法です。分析時点では、VirusTotal上の58のアンチウイルスベンダーのうち、わずか2つしかこの悪意のあるインストーラーを検出しておらず、従来のセキュリティ対策を回避するキャンペーンの有効性を示しています。
巧妙な回避戦術
このキャンペーンを際立たせているのは、リファラーベースの条件付きコンテンツ配信の使用です。フィッシングウェブサイトは、アクセス方法に基づいて表示されるコンテンツを動的に調整します。直接アクセスされた場合、これらのドメインはダウンロードボタンのない無害なコンテンツを表示し、セキュリティアナリストには無害に見えます。しかし、Bingの検索結果を介してアクセスされた場合、悪意のあるダウンロードリンクを含む完全なフィッシングコンテンツが出現します。このHTTPリファラーヘッダーの巧妙な悪用により、攻撃者はセキュリティベンダーによる検出を回避しています。
マルウェアの機能
Hefei Qiangwei Network Technology Co., Ltd.によって署名された悪意のあるMSIインストーラーには、標的型攻撃シーケンスを実行する認証情報窃取DLL(dwmapi.dllおよびpulse_extension.dll)が含まれています。このマルウェアは、C:\ProgramData\Pulse Secure\ConnectionStore\connectionstore.datにあるIvanti Pulse Secureの接続ストレージファイルを特定し、VPNサーバーのURIを抽出し、盗まれた認証情報とハードコードされたユーザー名およびパスワード情報を含むデータ文字列を構築します。マルウェアは、Microsoft AzureインフラストラクチャでホストされているIPアドレス4[.]239[.]95[.]1のポート8080にあるコマンド&コントロール(C2)サーバーへの接続を確立します。これは、悪意のあるトラフィックを正規のクラウドサービスと混同させるように設計された「信頼されたサイトからの活動」(LOTS)手法です。XORベースの難読化解除を実行した後、マルウェアは盗まれたデータをHTTP POSTリクエストを介してC2パス/income_shitに外部送信します。これは、マルウェア開発において受信した盗難データを指す一般的なスラングです。
ランサムウェアとの関連性
この攻撃手法は、以前にAkiraランサムウェアの展開に関連付けられたキャンペーンの特徴を帯びています。VPN認証情報の窃取は、攻撃者に企業ネットワークへの初期アクセスを提供し、偵察、横方向の移動、そして最終的にはランサムウェアの展開を可能にし、組織に壊滅的な損害を与える可能性があります。
推奨事項と緩和策
組織は、すべてのリモートアクセスに対して多要素認証を直ちに実装し、未検証のソースからのソフトウェアダウンロードについてユーザーを教育し、不審なIPアドレスへの外部接続を監視する必要があります。セキュリティチームは、新規登録ドメインや.shopや.topのような安価なトップレベルドメインに特に警戒すべきです。Zscalerのクラウドセキュリティプラットフォームは、この脅威を複数のセキュリティ層でWin32_PWS_Agentとして検出しています。同社は、5000億件以上の日常的なトランザクションの分析を活用して、この進化するキャンペーンを監視し続け、損害を与える攻撃が実行される前に高度な脅威を特定しています。このキャンペーンは、デジタル署名されたソフトウェアや上位の検索結果でさえも無条件に信頼できない時代において、継続的な脅威ハンティングとプロアクティブなセキュリティ対策の極めて重要な重要性を強調しています。
侵害の痕跡(IoC)
- MD5:
- 6e258deec1e176516d180d758044c019
- 32a5dc3d82d381a63a383bf10dc3e337
- ファイル名: Ivanti-VPN.msi
- IPアドレス: 4[.]239[.]95[.]1
- ドメイン:
- netml[.]shop
- shopping5[.]shop
- ivanti-pulsesecure[.]com
- ivanti-secure-access[.]org
- URL:
- netml[.]shop/get?q=ivanti
- shopping5[.]shop/?file=ivanti
- C2パス: /income_shit