APT组织利用 Ivanti 漏洞攻击关键部门

据 EclecticIQ 报道，一个网络黑客组织利用最近的两个 Ivanti Endpoint Manager Mobile (EPMM) 漏洞，针对欧洲、北美和亚太地区的关键部门发动攻击。

这两个漏洞的严重程度为中等，分别为 CVE-2025-4427 和 CVE-2025-4428，分别允许攻击者绕过身份验证和远程执行任意代码。

这些漏洞影响集成到 EPMM 中的两个开源库，可以串联起来在易受攻击的部署上实现未经身份验证的远程代码执行 (RCE)。

Ivanti于 5 月 13 日修补了这两个安全漏洞，并警告称，这些漏洞已被用作0day漏洞武器，攻击有限数量的客户。

Wiz 本周警告称， 针对该安全缺陷的概念验证 (PoC) 漏洞代码被公开发布，威胁组织开始在野外使用这些代码。

为了验证 Wiz 的发现，EclecticIQ 也警告称这些漏洞正被持续利用，并将观察到的攻击归咎于威胁组织UNC5221。

该组织自 2023 年以来就以针对边缘设备中的0day漏洞利用而闻名，据观察，该组织从易受攻击的设备中窃取大量数据，包括个人身份信息 (PII)、凭证和其他敏感信息。

自 5 月 15 日起，该黑客组织针对航空、国防、金融、地方政府、医疗保健和电信组织等面向互联网的易受攻击的 EPMM 实例，以窃取包含核心运营数据的文件。

EclecticIQ 确定的目标包括德国最大的电信供应商之一、一家网络安全公司、一家美国枪支制造商以及韩国的一家跨国银行。

EclecticIQ 指出： “鉴于 EPMM 在管理和向企业移动设备推送配置方面的作用，成功利用该漏洞可能允许攻击者远程访问、操纵或破坏整个组织内的数千台托管设备。”

作为攻击的一部分，UNC5221 部署了 FRP（快速反向代理），这是一种为持久访问建立反向 SOCKS5 代理的开源工具，以及 KrustyLoader，它通常用于部署 Sliver 后门。

EclecticIQ 表示，该黑客组织还被发现使用 shell 命令进行侦察并实时隐藏其踪迹，“可能使用 HTTP GET 请求窃取数据，然后擦除文件”。

EclecticIQ 高度确信，观察到的 Ivanti EPMM 攻击活动很可能与网络间谍组织 UNC5221 有关。基础设施重用和观察到的间谍技术与该组织先前开展的活动高度吻合。

技术报告：

https://blog.eclecticiq.com/china-nexus-threat-actor-actively-exploiting-ivanti-endpoint-manager-mobile-cve-2025-4428-vulnerability

新闻链接：

https://www.securityweek.com/chinese-spies-exploit-ivanti-vulnerabilities-against-critical-sectors/