Основной источник атак на уязвимости в Ivanti EPMM остаётся вне поля зрения защитников, использующих публичные индикаторы компрометации

В то же время, несколько наиболее часто публикуемых IOC для этой кампании не проявляют активности против Ivanti в данных GreyNoise, а вместо этого сканируют Oracle WebLogic. Организации, полагающиеся исключительно на опубликованные индикаторы, рискуют оставить без внимания главный канал атаки, наблюдая не за той «дверью».

Почему это важно?

Инфраструктура, осуществляющая массовую эксплуатацию уязвимостей в Ivanti EPMM, представляет собой IP-адрес в автономной системе, отмеченной Censys меткой «BULLETPROOF». Этот источник одновременно ведёт кампании против четырёх различных программных продуктов. Его отсутствие в списках IOC, которые многие команды защиты приняли на вооружение после раскрытия информации об уязвимостях, создаёт серьёзные пробелы в обнаружении. Распространяемые же индикаторы указывают на общие выходные узлы VPN и скомпрометированный домашний маршрутизатор, не проявляющие широкой интернет-активности против Ivanti. Это классическая проблема «шума» и «сигнала» в киберразведке, где некритичное применение общедоступных данных может создать ложное чувство безопасности.

Ключевые выводы и хронология угрозы

В центре внимания - две критические уязвимости: CVE-2026-1281 и CVE-2026-1340. Обе имеют рейтинг CVSS 9.8 и позволяют удалённому неаутентифицированному злоумышленнику выполнять произвольные команды на сервере EPMM. Хронология событий была стремительной: 29 января Ivanti опубликовала бюллетень, Агентство кибербезопасности и инфраструктурной безопасности США (CISA) немедленно внесло CVE-2026-1281 в каталог активно эксплуатируемых уязвимостей с трёхдневным сроком исправления, а голландские власти подтвердили компрометацию своих органов через EPMM. Уже 30 января появился полный технический анализ, а вскоре после - рабочий код эксплойта. К моменту, когда большинство организаций ознакомились с бюллетенем, эксплуатация уже шла полным ходом.

GreyNoise впервые зафиксировала попытки эксплуатации 1 февраля. Наблюдения с 1 по 9 февраля показали 417 сессий атак с 8 уникальных IP-адресов. Особенно выделяется резкий всплеск 8 февраля - 269 сессий за сутки, что примерно в 13 раз превышает средний дневной показатель предыдущей недели. Эта картина указывает на расширение целевого охвата или доработку инструментария атакующими.

Доминирующий источник: PROSPERO OOO и проблема публичных IOC

Анализ источников атак выявляет критический дисбаланс. Один IP-адрес (193[.]24[.]123[.]42), зарегистрированный на PROSPERO OOO (AS200593), сгенерировал 346 из 417 сессий, то есть 83% всей наблюдаемой активности. Эта инфраструктура, геолоцируемая в Санкт-Петербурге, отмечена Censys как «пуленепробиваемая» и имеет задокументированную историю связи с услугами хостинга для киберпреступности. При этом данный ключевой IP отсутствует в широко циркулирующих списках IOC для данной кампании.

Более того, анализ активности по опубликованным индикаторам показывает их нерелевантность для угрозы Ivanti. Например, подсеть 185[.]212[.]171[.]0/24, содержащая четыре IP из списков IOC, связанных с VPN-сервисом Windscribe, за 30 дней показала 29 588 сессий. Из них 99% было направлено на порт 7001 Oracle WebLogic, и ни одной - на Ivanti EPMM. Эти IP являются общими выходными узлами VPN, используемыми множеством пользователей для разных целей, что создаёт высокий риск ложных срабатываний при их блокировке. Ещё один опубликованный IOC (151[.]177[.]78[.]0) - скомпрометированный домашний маршрутизатор в Швеции - вообще не фиксировался в данных GreyNose, что говорит о его возможном использовании для целевых, а не массовых атак.

Тактика атакующих: разведка и «спящие» оболочки

Анализ полезной нагрузки атак раскрывает их стратегическую цель. В 85% сессий (354 из 417) использовалась техника слепого удалённого выполнения команд (RCE) с проверкой через DNS-колбэки (out-of-band application security testing, OAST). Вместо немедленной установки вредоносного ПО полезная нагрузка инструктирует цель отправить DNS-запрос на уникальный поддомен, что подтверждает факт успешного выполнения команд, не оставляя прямого следа для защитников. Это классическая тактика брокеров начального доступа (initial access brokers): сначала каталогизировать уязвимые цели, а затем продавать или использовать доступ позже.

Эту гипотезу подтверждают внешние исследования. 9 февраля компания Defused Cyber сообщила о кампании, в ходе которой на скомпрометированные экземпляры EPMM загружались «спящие» загрузчики Java-классов в память по пути "/mifs/403.jsp". Эти импланты требуют специального параметра для активации и на момент отчёта не проявляли дальнейшей вредоносной активности. Сочетание данных GreyNoise и выводов Defused Cyber рисует картину кампании, ориентированной на скрытное закрепление в системе для последующей эскалации. Для защитников это означает, что скомпрометированные системы могут не проявлять очевидных признаков атаки прямо сейчас - «спящие» оболочки созданы для ожидания.

Стратегические последствия и рекомендации

Сложившаяся ситуация обнажает фундаментальную проблему защиты, основанной исключительно на IOC. Индикаторы в этой кампании варьируются от инфраструктуры общего назначения с высоким риском ложных срабатываний до специализированного «пуленепробиваемого» хостинга с высокой концентрацией вредоносной активности. Организации, применяющие единую политику блокировки ко всем опубликованным IOC, либо излишне блокируют легитимный трафик, либо недостаточно защищаются от реальных угроз.

Рекомендации для специалистов по безопасности можно разделить на три уровня:

• Для руководства информационной безопасностью критически важно провести аудит, является ли инфраструктура EPMM и других MDM-решений напрямую доступной из интернета. Учитывая их роль в управлении парком устройств, компрометация таких систем несёт непропорционально высокие риски. Следует рассмотреть размещение их за VPN или доступ по модели zero trust. Также необходимо пересмотреть процессы работы с IOC, обогащая индикаторы контекстом об инфраструктуре перед добавлением в чёрные списки. Если экземпляр EPMM был доступен из интернета и не имел заплаток в период с 29 января до даты обновления, необходимо инициировать расследование на предмет компрометации, так как стандартный мониторинг может не выявить «спящие» импланты.
• Для сотрудников SOC первоочередной мерой должна стать блокировка автономной системы AS200593 (PROSPERO OOO) на периметре сети, поскольку на неё приходится основной объём атак. Также необходимо анализировать DNS-журналы на предмет запросов к уникальным поддоменам, характерным для OAST-колбэков, и мониторить наличие файла по пути "/mifs/403.jsp" на серверах EPMM. В качестве дополнительной меры очистки стоит рассмотреть перезапуск серверов приложений EPMM для удаления резидентных в памяти имплантов.
• Для администраторов Ivanti EPMM действия очевидны: необходимо немедленно применить заплатки для CVE-2026-1281 и CVE-2026-1340, так как эксплуатация активна и нарастает. Следует пересмотреть архитектурную необходимость доступа к системе из открытого интернета и, где возможно, ограничить его доверенными сетями или VPN.

Сжатые сроки между раскрытием уязвимости и началом массовой эксплуатации, которые в данном случае составили считанные дни, больше не оставляют пространства для традиционных стратегий патчинга «на выходных». Критически важные системы, особенно такие как MDM, VPN-концентраторы или шлюзы удалённого доступа, должны рассматриваться как цели для атак в течение первых же часов после публикации бюллетеня безопасности. Текущая кампания против Ivanti EPMM служит наглядным уроком о важности проактивного анализа угроз, критической оценки источников разведданных и понимания того, что отсутствие видимой активности после взлома далеко не всегда означает безопасность.

IPv4

• 151.177.78.0
• 156.146.45.26
• 193.24.123.42
• 198.98.54.209
• 198.98.56.220
• 45.129.230.38