15 мая 2025 года компания Ivanti раскрыла две критические уязвимости — CVE-2025-4427 и CVE-2025-4428 — в системе управления мобильными устройствами Ivanti Endpoint Manager Mobile (EPMM) версии 12.5.0.0 и более ранних. Эти уязвимости позволяют злоумышленникам выполнять произвольный код на уязвимых системах без аутентификации.
Описание
Аналитики EclecticIQ зафиксировали активные атаки с использованием этой связки уязвимостей. Первые случаи эксплуатации были отмечены уже 15 мая. Под удар попали организации из критически важных секторов, включая здравоохранение, телекоммуникации, авиацию, государственные учреждения, финансы и оборону в Европе, Северной Америке и Азиатско-Тихоокеанском регионе.
С высокой степенью уверенности атаки связывают с группой UNC5221, связанной с китайскими спецслужбами. Злоумышленники демонстрируют глубокое понимание архитектуры EPMM, используя легальные компоненты системы для скрытого сбора данных. Среди похищенной информации — персональные данные пользователей, учетные записи и токены аутентификации, которые могут использоваться для перемещения внутри корпоративных сетей.
Учитывая роль EPMM в управлении мобильными устройствами, успешная атака позволяет злоумышленникам удаленно контролировать тысячи корпоративных гаджетов. Ivanti выпустила заплатки и настоятельно рекомендует клиентам как можно скорее обновить систему.
Злоумышленники получали доступ к системам через уязвимость в API EPMM, отправляя специально сформированные HTTP-запросы с Java-командами. Эти команды позволяли выполнять произвольные инструкции на сервере, включая загрузку и запуск вредоносного ПО.
Для закрепления в системе использовался троян KrustyLoader, который загружал вторую стадию атаки — бекдор Sliver. Этот инструмент предоставляет злоумышленникам полный контроль над зараженной системой.
Кроме того, хакеры использовали встроенные учетные данные MySQL для доступа к базе данных EPMM, извлекая конфиденциальную информацию, такую как данные мобильных устройств, токены Office 365 и учетные записи LDAP.
Для перемещения внутри сети применялся инструмент FRP (Fast Reverse Proxy), позволяющий создавать скрытые каналы связи. Анализ логов показал, что злоумышленники проводили разведку с помощью стандартных Linux-утилит, а результаты сохраняли во временные файлы для последующей передачи.
Индикаторы компрометации
IPv4
- 103.244.88.125
- 124.223.202.90
- 27.25.148.183
IPv4 Port Combinations
- 146.70.87.67:45020
Domains
- dnstunnel.run
- fconnect.s3.amazonaws.com
- ns1.cybertunnel.run
- openrbf.s3.amazonaws.com
- the-mentor.s3.amazonaws.com
- tkshopqd.s3.amazonaws.com
- tnegadge.s3.amazonaws.com
- trkbucket.s3.amazonaws.com
URLs
- http://abbeglasses.s3.amazonaws.com/dSn9tM
- https://dpaste.com/9MQEJ6VYR.txt
SHA256
- 150ccd3b24a1b40630e46300100a3f810aa7a6badeb6806b59ed6ba7bafb7b21
- 29ae4fa86329bf6d0955020319b618d4c183d433830187b80979d392bf159768
- 44c4a0d1826369993d1a2c4fcc00a86bf45723342cfd9f3a8b44b673eee6733a
- 64764ffe4b1e4fc5b9fe27b513e02f0392f659c4e033d23a4ba7a3b7f20c6d30
- 7a4e0eb5fbab9709c8f42beb322a5dfefbc4ec5f914938a8862f8e26a31d30a5
- b422645db18e95aa0b4daaf5277417b73322bed306f42385ecfd6d49be26bfab
- f34db4ea8ec3c2cbe53fde3d73229ccaa2a9e7168cd96d9a49bf89adef5ab47c