Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Ivanti Endpoint Manager Mobile (EPMM) sistemlerini hedefleyen yeni bir saldırı trendini vurgulayan bir kötü amaçlı yazılım analiz raporu (MAR) yayınladı.
Rapor, siber aktörler tarafından iki kritik güvenlik açıkından yararlanmak için kullanılan iki ayrı kötü amaçlı yazılım setinin teknik bir diseksiyonunu sağlar: CVE-2025-4427 ve CVE-2025-4428.
Bu istismarlar, savunmasız sistemlere yetkisiz erişime izin verdi ve uzun vadeli kalıcılık ve tam uzaktan kumanda yeteneğine sahip özel kötü amaçlı yazılımların dağıtılmasını kolaylaştırdı.
Sömürülen güvenlik açıkları: CVE-2025-4427 ve CVE-2025-4428
Güvenlik açıkları, CVE-2025-4427 ve CVE-2025-4428, 13 Mayıs 2025’te Ivanti tarafından açıklandı ve yamalandı. Ancak, vahşi doğada günler içinde sömürülen vahşi doğa sağladı. Siber saldırganlar, EPMM sunucularına sızmak için bu kusurları zincirledi ve /MIFS/RS/API/V2/ Hazırlanmış HTTP GET istekleri aracılığıyla bitiş noktası.
Erişim kazanıldıktan sonra, saldırganlar yapılandırma dosyaları, dizin içeriği, LDAP kimlik bilgileri ve ağ bilgileri dahil olmak üzere hassas sistem verilerini hasat etmek için uzak komutlar yürüttü. Ayrıca, kalıcılık ve sürekli erişim sağlayan kötü amaçlı yazılım setleri dağıttılar.
Kötü amaçlı yazılım analizi özeti
CISA’nın MAR, kötü amaçlı yazılımları her biri bir yükleyici ve kötü niyetli bir dinleyici içeren iki farklı sete kategorize eder. Bu bileşenler tipik olarak /TMP Meyveden çıkarılan sistemlerin dizini. Ana işlevleri, siber tehdit aktörlerinin uzaktan keyfi kodu enjekte etmesine ve yürütmesine izin vermekti.
Hedeflenen yazılım sürümleri şunları içerir:
- IVANTI EPMM 11.12.0.4 ve önceki
- 12.3.0.1 ve önceki
- 12.4.0.1 ve önceki
- 12.5.0.0 ve önceki
Bu sürümlerden herhangi birini kullanan kuruluşların derhal güvenlik güncellemelerini uygulamaları istenir.
Teknik Arıza: Set 1
Set 1 üç bileşen içerir:
- Yükleyici 1 (web-install.jar)
- Yansıtma
- SecurityHandlerWanListener.class
Yükleyici 1, yükleyen bir java arşividir (kavanoz) Yansıtma dinamik olarak enjekte etmek için yansıtıcı programlama kullanan dosya SecurityHandlerwanListener Ivanti EPMM dağıtımlarında ortak bir uygulama sunucusu olan Apache Tomcat’e.
Kötü niyetli dinleyici ilk yürütme sırasında mevcut değilse, yükleyici bayt kodu içeren bir baz64 dizesini çözer, GZIP yoluyla açar ve dinamik olarak belleğe yükler. O zaman SecurityHandlerWanListener HTTP isteklerini izler ve benzersiz geçiş telleri ve şifreli yükler gibi belirli desenler eşleştirildiğinde, AES şifrelemesini kullanarak verilerin şifresini çözdükten sonra keyfi Java sınıfları yürütür.
Teknik Arıza: Set 2
Set 2 ayrıca iki dosyadan da oluşur:
- Yükleyici 2 (web-install.jar)
- WeBandroidAppInstaller.class
Yükleyicinin bu sürümü de AM’yi yüklerAlicioS Servlet, ancak davranışında farklılık gösterir. Bir parçası olarak maskeleniyor com.mobilen.service paket ve HTTP istekleri ile etkinleştirilir. İçerik Türü: Uygulama/X-WWW-Form-Urlence kodlu.
Tetiklendikten sonra, istekten bir şifre parametresi çıkarır, sabit kodlu bir AES tuşunu kullanarak kod çözer ve şifresini çözer ve içine gömülü kötü amaçlı Java sınıfını yürütür. Şifre çözülmüş yük de, tam sistem kontrolünü sağlayarak saldırgana da iade edilir.
Kötü amaçlı yazılım dağıtım taktikleri
Bu kampanyanın daha teknik yönlerinden biri kötü amaçlı yazılım dağıtım mekanizmasıdır. Saldırganlar, yükü bir dizi HTTP GET isteği aracılığıyla Base64 kodlu parçalarda iletti. Java İfade Dili (EL) enjeksiyonu kullanılarak, yük doğrudan sunucuda yeniden yapılandırıldı ve genellikle büyük veya şüpheli dosya transferlerini işaretleyen geleneksel uç nokta savunmalarını atladı.
Yeniden yapılandırılmış kötü amaçlı yazılımlar daha sonra .kavanoz İçindeki dosyalar /TMP Saldırganların güvenlik araçları tarafından algılanabilecek doğrudan yük aktarımlarından kaçınmasına izin veren dizin.
Algılama araçları ve göstergeler
Tespit çabalarını desteklemek için CISA bir kaynak paketi yayınladı:
- Uzlaşma göstergeleri (IOC’ler): Adli ve tehdit avı faaliyetleri için yararlı.
- YARA Kuralları: Bileşenleri tespit etmek için tasarlanmış beş ayrı kural Yansıtma– Yükleyici 1Ve WeBandroidAppInstaller.class.
- Sigma kuralı: Şüpheli dosya değişiklikleri, komut yürütme modelleri ve JSP dosyalarına yetkisiz erişim dahil olmak üzere CVE-2025-4427 ve CVE-2025-4428 için sömürü işaretlerine göre tasarlanmıştır.
MITER & CK Eşleme
CISA’nın MAR da kampanyayı belirli bir MITER ATT & CK taktikleri ve teknikleriyle eşleştiriyor:
- T1027.004: Base64 yığın kullanılarak gizleme
- T1036: meşru sınıflar gibi maskelenmek
- T1140: bayt kodunun dekompresyonu ve şifre çözme
- T1071.001: Komut ve kontrol için HTTP kullanımı
- T1573.001: Komut yüklerinin simetrik şifrelemesi
Bu eşlemeler siber güvenlik profesyonellerine, gözlemlenen davranışı bilinen düşman taktikleriyle ilişkilendirmede yardımcı olur.
Olay Müdahale Rehberliği
Şüpheli uzlaşma durumunda, CISA aşağıdaki adımları önerir:
- Etkilenen sistemleri izole: Meydan okumalı cihazları hemen ağdan kaldırın.
- Eserler toplayın: Adli analiz için günlükler, bellek dökümleri ve son aktivite verileri toplayın.
- Disk görüntülerini yakalayın: Disk içeriğini derinlemesine inceleme için koruyun.
- Kimlik bilgilerini sıfırla: Özellikle yan hareketten şüpheleniliyorsa.
- Reimage Sistemleri: Kalıcı kötü amaçlı yazılımları ortadan kaldırmak için etkilenen cihazları tamamen geri yükleyin.
- Azaltma uygulayın: EPMM sistemlerini yükseltin, ağ segmentasyonunu uygulayın ve katı erişim kontrollerini uygulayın.
Anahtar Azaltma Önerileri
CISA, organizasyonel riski azaltmak için birkaç kritik adımın vurgulanması:
- Ivanti EPMM Systems’ı en son güvenli sürüme yükseltin.
- MDM platformlarına yüksek değerli varlıklar olarak ele alın, bunları ağın güvenilmeyen kısımlarından izole edin.
- Tehdit algılamasını otomatikleştirmek için önerilen Yara ve Sigma kurallarını dağıtın.
- Çok faktörlü kimlik doğrulamayı (MFA) uygulayın ve sektörler arası siber güvenlik performans hedeflerinde (CPG’ler) belirtilen en iyi uygulamaları takip edin.