Эксперты Zscaler Threat Hunting зафиксировали рост кампании по распространению вредоносной версии VPN-клиента Ivanti Pulse Secure через механизмы SEO-отравления. Атака нацелена на пользователей, ищущих легитимное программное обеспечение в поисковых системах, и может привести к компрометации корпоративных сетей с последующим развертыванием программ-вымогателей.
Описание
Атакующие активно используют поисковую систему Bing для продвижения поддельных сайтов, имитирующих официальный портал загрузки Ivanti. Жертвы, вводящие запросы вроде «Ivanti Pulse Secure Download», попадают на домены-двойники, такие как ivanti-pulsesecure[.]com или ivanti-secure-access[.]org, зарегистрированные в сентябре 2025 года. Эти ресурсы точно копируют дизайн настоящего сайта Ivanti, предлагая пользователям загрузить троянизированный установщик.
Особенностью кампании является использование условной выдачи контента в зависимости от источника перехода. При прямом посещении мошеннические домены отображают безвредное содержимое, что затрудняет их обнаружение системами безопасности. Однако при переходе из результатов поиска Bing появляется страница с кнопкой загрузки вредоносного файла.
Загружаемый файл Ivanti-VPN[.]msi представляет собой подписанный MSI-пакет, содержащий легитимный установщик вместе с вредоносной библиотекой dwmapi.dll. На момент анализа лишь два из 58 антивирусных движков в VirusTotal детектировали угрозу. Цифровая подпись была выдана на имя Hefei Qiangwei Network Technology Co., Ltd., что создавало ложное ощущение безопасности.
После запуска установщика вредоносный код выполняет поиск файла конфигурации C:\ProgramData\Pulse Secure\ConnectionStore\connectionstore.dat, извлекает URI VPN-сервера и комбинирует его с жестко прописанными учетными данными. Собранная информация передается на командный сервер с IP-адресом 4[.]239[.]95[.]1 через порт 8080 с использованием HTTP-запроса на эндпоинт /income_shit.
Использование инфраструктуры Microsoft Azure позволяет злоумышленникам маскировать трафик под легитимный, применяя технику Living off of Trusted Sites. Перед отправкой данных выполняется простейшая деобфускация с помощью операции XOR.
Исторически аналогичные тактики использовались для последующего развертывания программ-вымогателей Akira. Компрометация VPN-учетных записей предоставляет киберпреступникам первоначальный доступ в корпоративную сеть, позволяя проводить разведку и горизонтальное перемещение.
Для предотвращения инцидентов специалисты рекомендуют изолировать потенциально зараженные устройства, внедрить многофакторную аутентификацию для удаленного доступа и отслеживать подключения к указанному IP-адресу. Пользователям следует избегать загрузки программного обеспечения из непроверенных источников, даже при его появлении в результатах авторитетных поисковых систем.
Индикаторы компрометации
IPv4
- 4.239.95.1
Domains
- ivanti-pulsesecure.com
- ivanti-secure-access.org
- netml.shop
- shopping5.shop
URLs
- netml.shop/get?q=ivanti
- shopping5.shop/?file=ivanti
MD5
- 32a5dc3d82d381a63a383bf10dc3e337
- 6e258deec1e176516d180d758044c019
