Search, Click, Steal: The Hidden Threat of Spoofed Ivanti VPN Client Sites

Zscaler Threat Hunting^TMチームは最近、ユーザーを誘導して悪意のあるIvanti Pulse Secure VPNクライアントをダウンロードさせるSEOポイズニングを伴う活動の増加を検出しました。このキャンペーンは、検索エンジンでの正規のソフトウェアの検索を悪用し、ユーザーを攻撃者が管理するWebサイトにリダイレクトします。この初期アクセス攻撃の目的は、被害者のマシンからVPN資格情報を窃取し、さらなる侵害を可能にすることです。

重要なポイント

• Zscaler Threat Huntingは、主に検索エンジン「Bing」上で展開され、トロイの木馬を仕込んだIvanti Pulse Secure VPNクライアントを配信する、SEOポイズニングを用いたアクティブなキャンペーンを特定しました。
• 脅威アクターは類似ドメインを使用し、疑いを持たないユーザーには正当なものに見える偽のダウンロード ページをホストします。
• 悪意のあるインストーラーである署名されたMSIファイルには、資格情報を盗むDLLが含まれており、VPN接続の詳細を特定、解析、窃取するように設計されています。
• このマルウェアは特にconnectionstore.datファイルを標的とし、保存されているVPNサーバーURIを盗み出し、ハードコードされた資格情報と組み合わせてデータを抜き取ります。
• データは、Microsoft Azureインフラでホストされているコマンド＆コントロール(C2)サーバーに送信されます。
• このTTPは、VPN資格情報の窃取の脅威に続いてこれまで確認されてきました。攻撃者はこれらの資格情報を悪用して偵察やラテラル ムーブメントを実行します。これが、過去のキャンペーンでのAkiraランサムウェアの展開につながっています。
  

攻撃チェーン分析

Zscalerの脅威ハンティング チームは、トロイの木馬が仕込まれたVPNクライアントのダウンロードと実行につながる一連のイベントを再現しました。

フェーズ1: SEOポイズニング

攻撃は、ユーザーが検索エンジンで「Ivanti Pulse Secureダウンロード」などのキーワードを検索することから始まります。このキャンペーンの脅威アクターは検索エンジン「Bing」を重点的に狙い、検索結果を改ざんすることで、自らの悪意のあるサイトを検索結果の上位に表示させています。ユーザーの検索結果には、ivanti-pulsesecure[.]com (2025年9月19日に登録)やivanti-secure-access[.]org (2025年9月14日に登録)のような類似ドメインのページが表示されます。

フェーズ2:悪意のあるランディング ページ

Ivantiを装ったリンクをクリックすると、ユーザーは脅威アクターが管理するIvanti Pulse Secureの公式ダウンロード ページを装ったWebサイトに誘導されます。このサイトは本物そっくりの複製であり、ダウンロード用に正規のVPNクライアントを提供しているように見えます。

フェーズ3:トロイの木馬が仕込まれたインストーラーのダウンロード

ユーザーがダウンロード ボタンをクリックすると、Webサイトはバックグラウンドでshopping5[.]shop/?file=ivantiへのHTTPリクエストを開始します。このURLを通じて、netml[.]shop/get?q=ivantiからトロイの木馬が仕込まれたMSIインストーラーが容易にダウンロードされます。

• ファイル名：Ivanti-VPN[.]msi
• MD5: 6e258deec1e176516d180d758044c019 (VirusTotal)

注目すべきは、ダウンロードされたMSIファイルに署名がなされている点です。これは、セキュリティ検出を回避し、エンド ユーザーに間違った安心感を与えるために用いられる手法です。

この攻撃が注目に値する理由

この攻撃では、高度なSEOポイズニングと類似ドメインを用いてユーザーをだまし、トロイの木馬が仕込まれた署名済みのインストーラーをダウンロードさせようとします。この手法はセキュリティ ツールではほとんど検出されず、注目に値します。このキャンペーンは、攻撃者が検索エンジンや正当に見えるファイルへの信頼を悪用して防御を回避し、被害者への影響を最大化する手口を示しています。

このキャンペーンをさらに独特かつ検出困難なものにしているのは、参照元ベースの条件付きコンテンツ配信を使用している点です。この手口では、フィッシング サイトのコンテンツがアクセス方法に応じて動的に調整されます。直接アクセスした場合、このドメインにはダウンロード ボタンのない無害なコンテンツが表示されるため、ほとんどのアナリストやセキュリティ ツールには安全に見えます。しかし、Bing検索経由でアクセスすると(参照URLにBingが含まれている場合)、悪意のあるダウンロード リンクを含む元のフィッシング コンテンツが表示されます。この回避戦略では、HTTPリファラー ヘッダーと検索エンジンの参照に対する信頼性を悪用して、セキュリティ ベンダーやアナリストを欺き、ドメインを無害なものと分類するよう誘導します。

トロイの木馬が仕込まれたインストーラーの技術分析

Ivanti-VPN[.]msiファイルの解析により、正規のインストーラーに悪意のあるペイロードが組み込まれていることが確認されました。MSIが実行されると、複数のファイルがドロップされ、そのなかには最近変更された悪意のあるDLLのdwmapi.dllとpulse_extension.dllが含まれます。

署名者情報
署名日時：2025-09-26 15:18:00 UTC
署名者：Hefei Qiangwei Network Technology Co., Ltd.
発行者：Certumの拡張認証コード署名2021 CA
有効開始：04:00 AM 09/11/2025
有効期限：04:00 AM 09/11/2026
フィンガープリント：EC443DE3ED3D17515CE137FE271C885B4F09F03E
シリアル番号：03 DA 15 56 39 34 7F BB 82 41 45 02 43 F3 81 8E

悪意のある主なロジックは、これらのDLL内に存在します。実行されると、マルウェアはVPN資格情報を盗み出して抜き取るために、以下の手順に従います。

1. 構成ファイルの特定：マルウェアはハードコードされたパスのC:\ProgramData\Pulse Secure\ConnectionStore\connectionstore.datにあるIvanti Pulse Secure接続ストレージ ファイルを検索します。
   
2. URIの解析：次に、この.datファイルを読み取って解析し、ユーザーが保存したVPNサーバーURI (URL/サーバー アドレス)を抽出します。
   
3. データの構築：マルウェアは、抽出されたURIとハードコードされたユーザー名やパスワードを含むデータ文字列を構築します。

4. C2接続の確立：IPアドレス4[.]239[.]95[.]1のハードコードされたC2サーバーにポート8080でネットワーク接続を確立します。このIPアドレスはMicrosoft Azureの範囲内にあり、信頼されたサイトの悪用(LOTS)と呼ばれる手法を用いて検出を回避する可能性があります。LOTSの検出の詳細は、2025年版 Zscaler脅威ハンティング レポートをご覧ください。

   

    

5. データの窃取：マルウェアはデータを送信する前に、サーバーとのハンドシェイク中に単純なXORベースの難読化解除ルーチンを実行します。その後、収集した資格情報をHTTP POSTリクエストで/income_shitのC2パスに送信します。このパス名はマルウェア開発における俗語であり、盗まれたデータや「戦利品」を受信する場所となります。

   

IPアドレス4[.]239[.]95[.]1:8080にC2サーバーへの接続が成功した場合、これは資格情報の窃取が成功した強力な指標となります。

Akiraランサムウェアへのリンク

この手口は新しいものではありません。過去には、このキャンペーンに一致するインフラやTTPが、初期アクセスのためにトロイの木馬が仕込まれたソフトウェアを配信する目的で使用されてきました。VPN資格情報の窃取は、脅威アクターにとって重要なステップであり、企業ネットワーク内での足場の確保を可能にします。このアクセスは、ラテラル ムーブメント、さらなる偵察、そして最終的にはランサムウェアの展開に悪用されます。同様の特徴を持つ過去の事例は、Akiraランサムウェアの展開に至ったケースに関連しています。

Zscaler Threat Hunting Advancedは、許可されていないVPNアクティビティーを定期的に追跡し、このブログで説明されているような脅威に関連するリスクを軽減できるよう支援します。

Zscaler Threat Hunting

Zscaler Threat Huntingの「マクロの視点による脅威ハンティング」機能は、攻撃チェーンの複数の段階において、この脅威に対するクラウドソーシング型の保護を提供します。

最も危険な脅威は、ブロックされる脅威ではなく、検出されずに通過してしまう脅威です。現代の高度な攻撃は正規のトラフィックに紛れ込み、従来のセキュリティ制御を回避し、信頼されたアクセスを密かに悪用します。そのため、脅威ハンティングはこれまで以上に重要となっています。脅威ハンティングは侵害の兆候を予防的に特定することで、このセキュリティの盲点に対応します。高度なサイバー攻撃者に打ち勝つためには、最もステルス性の高い活動でさえも特定できる熟練した脅威ハンターが必要です。

Zscaler Threat Huntingは強力なクラウド テレメトリーを活用し、Zscaler Zero Trust Exchange™内で毎日5,000億件以上のトランザクションを分析しています。この優れた可視性によって、脅威ハンティングの専門家は見逃されているステルス性の高い高度な攻撃を特定し、攻撃ライフサイクルの早い段階で脅威を検出できます。そのため、攻撃者がコマンドを実行したり、永続性を確立したりする前の対応が可能になります。

修復と検出の機会

影響を受けた可能性が疑われる場合には、以下の対応を推奨します。

• 感染の可能性があるデバイスを直ちにネットワークから隔離します。感染を調査して修復し、すべてのマルウェアの痕跡が削除されていることを確認します。
• すべてのリモート アクセスに多要素認証(MFA)を施行し、資格情報が盗まれるリスクを軽減します。
• ログやフォレンジック アーティファクトを検索し、IPアドレス4[.]239[.]95[.]1のポート8080への送信接続を検索することで、トロイの木馬が仕込まれたファイルが実行されたかどうかを検証します。
• 新規登録ドメインおよびその他不明なURLカテゴリーに対して、トランザクションのブロックやブラウザー分離の施行など、予防や監視制御を追加することを検討してください。
• 検証されていないソースからソフトウェアをダウンロードすることの危険性や、既知のソフトウェアであっても検索エンジンの結果に注意するようユーザーを教育します。
• 信頼されたサイトの悪用(LOTS)を検出する他の機会については、2025年版 Zscaler脅威ハンティング レポートをご覧ください。
• 環境内の安いTLD (.topや.shop)に注意してください。
• 未知の高度な脅威を24時間体制で継続的に追跡します。
  

Zscalerの対応範囲

Zscalerの多層クラウド セキュリティ プラットフォームは、以下の脅威名で悪意のあるIvantiインストーラーに関連するさまざまなレベルの指標を検出します。

Win32_PWS_Agent

まとめ

このキャンペーンは、SEOポイズニングが初期アクセス経路として効果的であることを証明しています。信頼されたソフトウェアを装い、署名付き実行ファイルを使用することで、脅威アクターはユーザーを容易にだますことができます。VPN資格情報の窃取は、組織のネットワークへの直接的な侵入経路となり、境界防御を回避し、ランサムウェアのような壊滅的な攻撃への道を開きます。Zscaler Threat Huntingは引き続きこのキャンペーンを監視しており、新たな情報が入り次第、最新情報を提供していきます。

侵害の痕跡(IoC)