Критически важные сектора под ударом: обнаружена активная эксплуатация уязвимостей в Ivanti Endpoint Manager Mobile

Атаки сфокусированы на организациях в сфере здравоохранения, телекоммуникаций и финансов, подтверждая сохраняющуюся тенденцию к эксплуатации периферийной инфраструктуры как ключевого вектора атак в современном киберпространстве. Успешное сочетание эксплуатации CVE-2025-4427 (уязвимость обхода аутентификации, CVSS 5.6) и CVE-2025-4428 (уязвимость удаленного выполнения кода, CVSS 7.2) предоставляет неавторизованным злоумышленникам полный контроль над скомпрометированными устройствами в корпоративной сети, что может привести к кибершпионажу, эксфильтрации данных или развертыванию программ-вымогателей.

Специалисты Darktrace выявили многоступенчатую цепочку атак, демонстрирующую тактики, техники и процедуры (TTP) злоумышленников. Начальная фаза часто включает проверку успешности эксплуатации уязвимости через сервисы Out-of-Band Application Security Testing (OAST). Устройства в сетях заказчиков Darktrace генерировали DNS-запросы и устанавливали соединения с доменами OAST (такими как 'oast[.]live', 'oast[.]pro' и др.), используя пользовательский агент, характерный для утилиты cURL. Эта активность, наблюдаемая в нескольких средах, служит для злоумышленников подтверждением наличия уязвимости и возможностью эксплуатации.

Следующим этапом становится доставка вредоносных полезных нагрузок. Устройства загружали исполняемые файлы формата ELF со случайно сгенерированными именами (например, 'NVGAoZDmEe') с конечных точек Amazon Web Services (AWS) S3, таких как "s3[.]amazonaws[.]com". Загрузки осуществлялись через HTTP-соединения с использованием пользовательских агентов wget или cURL. Анализ SHA1-хэшей некоторых из этих файлов, включая файлы с именами "mnQDqysNrlg" и "/dfuJ8t1uhG", позволил связать их с вредоносной программой KrustyLoader, известной по предыдущим атакам на системы Ivanti Connect Secure в начале 2024 года. KrustyLoader, написанный на языке Rust, используется для получения и поддержания устойчивого доступа к скомпрометированной сети.

Исследователи Darktrace также зафиксировали загрузку дополнительных скриптовых файлов, вероятно, представляющих более поздние стадии атаки. В частности, был обнаружен файл с расширением .sh ("4l4md4r.sh"), скачанный с IP-адреса 15.188.246[.]198. Этот же адрес ранее связывался с инфраструктурой, используемой для эксплуатации уязвимости удаленного выполнения кода в SAP NetWeaver (CVE-2025-31324), которую различные источники приписывают группе, ассоциированной с государственными интересами Китая. Помимо этого, в некоторых сетях наблюдались соединения с сервисами pastebin[.]com и dpaste[.]com, часто используемыми для динамического получения вредоносных команд или обновления полезных нагрузок, что является новым элементом по сравнению с предыдущими атаками на продукты Ivanti.

Анализ Darktrace выявил поразительное сходство с эксплуатацией более ранних критических уязвимостей в продуктах Ivanti, таких как CVE-2023-46805 и CVE-2024-21887 в решениях Connect Secure и Policy Secure в январе 2024 года, а также CVE-2025-0282 и CVE-2025-0283 в продуктах CS, PS и Zero Trust Access (ZTA) в январе 2025 года. Общие черты включают использование OAST для валидации эксплуатации и доставку ELF-файлов через AWS S3. Однако текущие атаки характеризуются использованием KrustyLoader и включением новых тактик, таких как динамическая загрузка команд с dpaste[.]com, что указывает на эволюцию пост-эксплуатационных методов.

IPv4

• 134.209.107.209
• 15.188.246.198
• 185.193.125.65
• 64.52.80.21

URLs

• 15.188.246.198/4l4md4r.sh?grep
• 185.193.125.65/c4qDsztEW6/TIGHT_UNIVERSITY
• fconnect.s3.amazonaws.com/mnQDqysNrlg
• tnegadge.s3.amazonaws.com/dfuJ8t1uhG
• trkbucket.s3.amazonaws.com/NVGAoZDmEe

Domains

• 0d8da2d1.digimg.store
• fconnect.s3.amazonaws.com
• tnegadge.s3.amazonaws.com
• trkbucket.s3.amazonaws.com

MD5

• 4abfaeadcd5ab5f2c3acfac6454d1176
• d8d6fe1a268374088fb6a5dc7e5cbb54

SHA1

• c47abdb1651f9f6d96d34313872e68fb132f39f5