ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Ivanti Endpoint Manager Mobile’ı (EPMM) etkileyen güvenlik açıklarından yararlanan saldırılarda konuşlandırılan kötü amaçlı yazılımların bir analizini yayınladı.
Kusurlar, EPMM’nin API bileşeninde (CVE-2025-4427) bir kimlik doğrulama baypası ve keyfi kodun yürütülmesine izin veren bir kod enjeksiyon güvenlik açığıdır (CVE-2025-4428).
İki güvenlik açığı aşağıdaki Ivanti EPMM geliştirme dallarını ve önceki sürümlerini etkiler: 11.12.0.4, 12.3.0.1, 12.4.0.1 ve 12.5.0.0.
Ivanti 13 Mayıs’ta sorunlara değindi, ancak tehdit aktörleri “çok sınırlı sayıda müşteri” saldırılarında sıfır gün olarak sömürüyorlardı.
Yaklaşık bir hafta sonra, tehdit istihbarat platformu Eclecticiq, bir Çin-Nexus casusluk grubunun en az 15 Mayıs’tan bu yana iki güvenlik açığından yararlandığına dair yüksek bir güvenle bildirildi.
Araştırmacılar, Çin bağlantılı tehdit oyuncusunun Ivanti EPMM’nin dahili mimarisinden çok bilgili olduğunu ve verileri dışarı atmak için sistem bileşenlerini yeniden tasarlayabildiğini söyledi.
Ancak CISA’nın raporu, herhangi bir atıfta bulunmaz ve sadece CVE-2025-4427 ve CVE-2025-4428 için bir istismar zinciri kullanan tehdit aktörleri tarafından saldırıya uğrayan bir kuruluştan elde edilen kötü amaçlı dosyaların teknik ayrıntılarına odaklanır.
Bölünmüş kötü amaçlı yazılım teslimatı
ABD ajansı, bilgisayar korsanlarının şirket içi Ivanti EPMM sistemlerine ilk erişim elde etmek için kullandıkları beş dosyadan oluşan iki kötü amaçlı yazılım setini analiz etti.
“Siber tehdit aktörleri /MIFS/RS/API/V2/ HTTP Get istekleri ile uç nokta ve ? format = Kötü amaçlı uzaktan kumanda komutları göndermek için parametre ”diyor Cisa.
Komutlar, tehdit oyuncusunun sistem bilgilerini toplayarak, kök dizinini listeleyerek, ağın eşlenmesini, kötü niyetli dosyaları getirerek ve hafif dizin erişim protokolü (LDAP) kimlik bilgilerini çıkararak keşif etkinliği çalıştırmasına izin verir.
Analiz edilen kötü amaçlı yazılım setlerinin her biri farklı bir yükleyici içeriyordu, ancak aynı ada sahip, ve tehlikeye atılan sistemde keyfi kod enjekte etmesine ve çalıştırmasına izin veren kötü niyetli dinleyiciler:
- Set 1:
- web-install.jar (Yükleyici 1)
- Yansıtma – Yükleyici 1’e dahil olan Java nesnelerini setteki kötü niyetli dinleyiciyi enjekte etmek ve yönetmek için manipüle eder
- SecurityHandlerWanListener.class – Sunucuda kodu enjekte etmek ve yürütmek, verileri dışarı atmak ve kalıcılık oluşturmak için kullanılabilecek kötü niyetli dinleyici
- Set 2:
- web-install.jar (Yükleyici 2)
- WeBandroidAppInstaller.class – Loader 2’de, tehdit oyuncusunun kodu enjekte etmek ve yürütmek, kalıcılık oluşturmak ve verileri dışarı atmak için kullanabileceği bir kötü niyetli dinleyici
CISA’ya göre, tehdit oyuncusu, bölümlenmiş, baz 64 kodlu parçalarda ayrı HTTP GET talepleri aracılığıyla kötü amaçlı yazılımları teslim etti.
İki farklı kötü amaçlı yazılım kümesi benzer şekilde işlev görür ve saldırganlar tarafından sağlanan yükleri çözmek ve çalıştırmak için belirli HTTP isteklerini ele alır.
CISA, örgütlerin bu tür saldırıları tespit etmesine yardımcı olacak ayrıntılı uzlaşma (IOCS), Yara kuralları ve Sigma kuralı göstermeleri sağlamıştır.
Ajansın sistemlerinde analiz edilen kötü amaçlı yazılımları veya benzer dosyaları bulan şirketler için önerisi, etkilenen ana bilgisayarları izole etmek, eserleri toplamak ve gözden geçirmek ve CISA ile paylaşmak için tam bir adli disk görüntüsü oluşturmaktır.
Azaltma eylemi olarak CISA, etkilenen Ivanti EPMM’nin hemen yamalanmasını ve mobil cihaz yönetimi (MDM) sistemlerinin ek güvenlik kısıtlamaları ve izleme gerektiren yüksek değerli varlıklar (HVAS) olarak tedavi edilmesini önerir.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.