СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.05.2025
#Dev#ИБ#Инфра#Облака

Критические уязвимости в Ivanti EPMM: анализ атак UNC5221

Критические уязвимости в Ivanti EPMM: анализ атак UNC5221

Источник: blog.eclecticiq.com

Критические уязвимости в Ivanti Endpoint Manager Mobile активно эксплуатируются группой UNC5221

15 мая 2025 года компания Ivanti объявила об обнаружении двух критических уязвимостей — CVE-2025-4427 и CVE-2025-4428 — в продукте Ivanti Endpoint Manager Mobile (EPMM) версий 12.5.0.0 и ниже. Уязвимости позволяют злоумышленникам выполнять удалённое выполнение кода без проверки подлинности (RCE), что делает их крайне опасными.

Особую тревогу вызывает то, что атаки на эти уязвимости начались в день их обнаружения — 15 мая, а пострадали организации из критически важных секторов: здравоохранения, телекоммуникаций и государственного управления. География атаки охватывает Европу, Северную Америку и Азиатско-Тихоокеанский регион.

Группа UNC5221 и её тактики

Согласно анализу компании EclecticIQ, с высокой долей уверенности ответственность за эксплуатацию уязвимостей лежит на группе UNC5221. Это подразделение кибершпионажа, связанное с Китаем, которое действует с 2023 года и известно своими целенаправленными кампаниями по эксплуатации уязвимостей.

Эксплуатация уязвимости была реализована следующим образом:

  • Целевая конечная точка — /mifs/rs/api/v2/, на которую отправлялся специально созданный HTTP GET-запрос.
  • Использование Java-метода Runtime.getRuntime().exec(), позволяющего выполнять удалённые системные команды.
  • Внедрение вредоносного ПО KrustyLoader, доставляемого с помощью утилит Linux и размещённого в Amazon AWS S3 для обеспечения постоянства присутствия на системах.
  • Дальнейшее извлечение бэкдора Sliver, загружаемого непосредственно в память для скрытого управления заражёнными машинами.

Кража и использование конфиденциальной информации

Для увеличения доступа и шпионских возможностей злоумышленники воспользовались жёстко закодированными учетными данными MySQL, хранящимися в системных каталогах. Это позволило получить доступ к базе данных mifs, где содержатся данные об управляемых мобильных устройствах и учетные данные пользователей.

Собранные сведения использовались для целевых атак на высокопоставленных лиц и защиту конфиденциальных активов организаций.

Инструменты для устойчивого доступа и разведки

Атака сопровождалась внедрением инструмента FRP (Fast Reverse Proxy), который помогает хакерам формировать обратный прокси-сервер. Это обеспечивает постоянный доступ во внутренние сети организаций и облегчает перемещение злоумышленников по инфраструктуре.

Дополнительно фиксировалось широкое применение запутанных команд для разведки среды и построения карты сети, позволяя выявлять активность пользователей и уязвимые точки системы.

Связь с предыдущими атаками и инфраструктурой

Важным доказательством причастности группы UNC5221 стал многократный повторный запуск атаков с одинаковой инфраструктуры. Примечательно, что в кампании использовался IP-адрес, ранее замеченный в атаках на инфраструктуру SAP — что свидетельствует о системном и целенаправленном характере деятельности.

Последствия для безопасности и рекомендации

Выполняемый Ivanti EPMM обрабатывает критичные данные: телеметрию устройств, токены аутентификации корпоративных сервисов, включая Microsoft 365. Это означает, что компрометация платформы создаёт серьёзные риски утечки и дальнейших атак на инфраструктуру организаций.

Аналитики отмечают, что подобные действия отражают стратегические интересы государственных структур КНР, направленные на сбор разведывательной информации с использованием украденных данных.

Рекомендации для пользователей Ivanti EPMM:

  • Немедленно установить обновления и патчи, устраняющие уязвимости CVE-2025-4427 и CVE-2025-4428.
  • Мониторить сети на предмет подозрительного использования шаблонов команд и аномального создания файлов в типичных каталогах, таких как /tmp.
  • Обратить особое внимание на подозрительные активности, связанные с загрузкой и выполнением нестандартных процессов.

Своевременное реагирование позволит минимизировать риски и предотвратить дальнейшее проникновение злоумышленников в корпоративные сети.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: