Zscaler’deki siber güvenlik araştırmacıları, Ivanti Pulse Secure VPN istemcisinin truva atı haline getirilmiş bir sürümünü dağıtmak için arama motoru optimizasyonu (SEO) zehirlenmesinden yararlanan ve meşru yazılım indirmeleri arayan şüphelenmeyen kullanıcıları hedef alan karmaşık bir kötü amaçlı yazılım kampanyasını ortaya çıkardı.
Zscaler Tehdit Avcılığı ekibi yakın zamanda, öncelikle Bing arama motoru kullanıcılarını hedef alan, SEO manipülasyonunu kullanan kötü niyetli faaliyetlerde bir artış tespit etti.
Siber suçlular, VPN kimlik bilgilerini çalmak için tasarlanmış benzer etki alanları ve sahte indirme sayfaları dağıtıyor ve saldırganlara kurumsal ağlara bir ağ geçidi sağlıyor; bu, geçmişte kötü şöhretli Akira fidye yazılımı da dahil olmak üzere yıkıcı fidye yazılımı saldırılarıyla ilişkilendirilen bir taktik.
Kampanya, kullanıcıların arama motorlarında “Ivanti Pulse Secure Download” gibi terimleri aratmasıyla zararsız bir şekilde başlıyor.
Tehdit aktörleri, kötü amaçlı web sitelerinin belirgin bir şekilde görünmesini sağlayarak arama sonuçlarını başarıyla zehirledi. Kullanıcılar ivanti-pulsesecure gibi sahte alan adlarına yönlendiriliyor[.]com ve ivanti-güvenli erişim[.]org, Eylül 2025’te kayıtlı olup meşru Ivanti sitelerini yakından taklit etmektedir.
Bu sahte web siteleri, resmi Ivanti Pulse Secure indirme sayfasının ikna edici kopyalarını içerir. Kurbanlar indirme düğmesine tıkladığında, arka plandaki bir HTTP isteği, truva atı haline getirilmiş bir MSI yükleyici dosyasının indirilmesini başlatır.
Bu kötü amaçlı dosyanın dijital olarak imzalanmış olması dikkat çekicidir; bu, güvenlik tespitinden kaçınmak ve hem kullanıcılar hem de güvenlik araçları nezdinde sahte güvenilirlik oluşturmak için tasarlanmış karmaşık bir tekniktir.
Analiz sırasında, VirusTotal’daki 58 antivirüs satıcısından yalnızca 2’si kötü niyetli yükleyiciyi işaretledi ve bu da kampanyanın geleneksel güvenlik önlemlerini aşma konusundaki etkinliğini ortaya koydu.
Gelişmiş Kaçınma Taktikleri
Bu kampanyayı diğerlerinden ayıran şey, yönlendiren tabanlı koşullu içerik dağıtımını kullanmasıdır. Kimlik avı web siteleri, görüntülenen içeriği nasıl erişildiğine göre dinamik olarak ayarlar.
Doğrudan ziyaret edildiğinde bu alanlar, indirme düğmeleri olmadan zararsız içerik sunar ve güvenlik analistlerine zararsız görünür. Ancak Bing arama sonuçları aracılığıyla erişildiğinde, kimlik avı içeriğinin tamamı, kötü amaçlı indirme bağlantılarıyla birlikte hayata geçiriliyor.
HTTP Yönlendirici başlığının bu şekilde akıllıca kullanılması, saldırganların güvenlik sağlayıcılarının tespitinden kaçmasına olanak tanır.
Hefei Qiangwei Network Technology Co., Ltd. tarafından imzalanan kötü amaçlı MSI yükleyicisi, hedefli bir saldırı dizisini yürüten, kimlik bilgileri çalan DLL’ler (dwmapi.dll ve darbe_extension.dll) içeriyor.
Kötü amaçlı yazılım, Ivanti Pulse Secure bağlantı depolama dosyasını C:\ProgramData\Pulse Secure\ConnectionStore\connectionstore.dat konumunda bulur, VPN sunucusu URI’lerini çıkarır ve sabit kodlanmış kullanıcı adı ve parola bilgilerinin yanı sıra çalınan kimlik bilgilerini içeren veri dizeleri oluşturur.
Kötü amaçlı yazılım, IP adresi 4’teki bir komut ve kontrol sunucusuna bağlantı kurar[.]239[.]95[.]8080 numaralı bağlantı noktasında 1 numaralı bağlantı noktası, Microsoft Azure altyapısında barındırılıyor; kötü amaçlı trafiği yasal bulut hizmetleriyle harmanlamak için tasarlanmış bir “Güvenilir Sitelerden Geçim” (LOTS) tekniği.
Kötü amaçlı yazılım, XOR tabanlı kod gizleme işlemini gerçekleştirdikten sonra, çalınan verileri HTTP POST istekleri aracılığıyla, gelen çalıntı veriler için kötü amaçlı yazılım geliştirmede yaygın argo olan C2 yoluna /income_shit’e sızdırır.
Fidye Yazılımı Bağlantısı
Bu saldırı metodolojisi, daha önce Akira fidye yazılımı dağıtımıyla bağlantılı olan kampanyaların özelliklerini taşıyor. VPN kimlik bilgileri hırsızlığı, saldırganlara kurumsal ağlara ilk erişim olanağı sağlayarak keşif, yanal hareket ve sonuçta fidye yazılımı dağıtımını mümkün kılar; bu da potansiyel olarak yıkıcı organizasyonel hasara neden olur.
Kuruluşlar, tüm uzaktan erişimler için derhal çok faktörlü kimlik doğrulamayı uygulamalı, kullanıcıları doğrulanmamış kaynaklardan yazılım indirme konusunda eğitmeli ve şüpheli IP adreslerine giden bağlantıları izlemelidir.
Güvenlik ekipleri, yeni kaydedilen alan adları ve .shop ve .top gibi ucuz üst düzey alan adları konusunda özellikle dikkatli olmalıdır.
Zscaler’in bulut güvenlik platformu, bu tehdidi birden fazla güvenlik katmanında Win32_PWS_Agent olarak algılar. Şirket, karmaşık tehditleri zarar verici saldırılar gerçekleştirmeden önce tespit etmek için günlük 500 milyardan fazla işlemin analizinden yararlanarak bu gelişen kampanyayı izlemeye devam ediyor.
Bu kampanya, dijital olarak imzalanmış yazılımlara ve en iyi arama sonuçlarına bile dolaylı olarak güvenilemeyeceği bir çağda sürekli tehdit avcılığının ve proaktif güvenlik önlemlerinin kritik öneminin altını çiziyor.
Uzlaşma Göstergeleri (IoC’ler)
| Tip | Gösterge |
|---|---|
| MD5 | 6e258deec1e176516d180d758044c019 |
| 32a5dc3d82d381a63a383bf10dc3e337 | |
| Dosya adı | Ivanti-VPN.msi |
| IP Adresi | 4[.]239[.]95[.]1 |
| Alanlar | netml[.]mağaza |
| alışveriş5[.]mağaza | |
| ivanti-nabız güvenliği[.]iletişim | |
| ivanti-güvenli-erişim[.]kuruluş | |
| URL’ler | netml[.]alışveriş/alışveriş?q=ivanti |
| alışveriş5[.]shop/?file=ivanti | |
| C2 Yolu | /gelir_boku |
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.