APT组织利用 Ivanti 漏洞攻击关键部门

admin 2025年5月26日11:11:07评论18 views字数 1199阅读3分59秒阅读模式

导 

据 EclecticIQ 报道,一个网络黑客组织利用最近的两个 Ivanti Endpoint Manager Mobile (EPMM) 漏洞,针对欧洲、北美和亚太地区的关键部门发动攻击。

APT组织利用 Ivanti 漏洞攻击关键部门

这两个漏洞的严重程度为中等,分别为 CVE-2025-4427 和 CVE-2025-4428,分别允许攻击者绕过身份验证和远程执行任意代码。

这些漏洞影响集成到 EPMM 中的两个开源库,可以串联起来在易受攻击的部署上实现未经身份验证的远程代码执行 (RCE)。

Ivanti于 5 月 13 日修补了这两个安全漏洞,并警告称,这些漏洞已被用作0day漏洞武器,攻击有限数量的客户。

Wiz 本周警告称, 针对该安全缺陷的概念验证 (PoC) 漏洞代码被公开发布,威胁组织开始在野外使用这些代码。

为了验证 Wiz 的发现,EclecticIQ 也警告称这些漏洞正被持续利用,并将观察到的攻击归咎于威胁组织UNC5221。

该组织自 2023 年以来就以针对边缘设备中的0day漏洞利用而闻名,据观察,该组织从易受攻击的设备中窃取大量数据,包括个人身份信息 (PII)、凭证和其他敏感信息。

自 5 月 15 日起,该黑客组织针对航空、国防、金融、地方政府、医疗保健和电信组织等面向互联网的易受攻击的 EPMM 实例,以窃取包含核心运营数据的文件。

EclecticIQ 确定的目标包括德国最大的电信供应商之一、一家网络安全公司、一家美国枪支制造商以及韩国的一家跨国银行。

EclecticIQ 指出: “鉴于 EPMM 在管理和向企业移动设备推送配置方面的作用,成功利用该漏洞可能允许攻击者远程访问、操纵或破坏整个组织内的数千台托管设备。”

作为攻击的一部分,UNC5221 部署了 FRP(快速反向代理),这是一种为持久访问建立反向 SOCKS5 代理的开源工具,以及 KrustyLoader,它通常用于部署 Sliver 后门。

EclecticIQ 表示,该黑客组织还被发现使用 shell 命令进行侦察并实时隐藏其踪迹,“可能使用 HTTP GET 请求窃取数据,然后擦除文件”。

EclecticIQ 高度确信,观察到的 Ivanti EPMM 攻击活动很可能与网络间谍组织 UNC5221 有关。基础设施重用和观察到的间谍技术与该组织先前开展的活动高度吻合。

技术报告:

https://blog.eclecticiq.com/china-nexus-threat-actor-actively-exploiting-ivanti-endpoint-manager-mobile-cve-2025-4428-vulnerability

新闻链接:

https://www.securityweek.com/chinese-spies-exploit-ivanti-vulnerabilities-against-critical-sectors/

APT组织利用 Ivanti 漏洞攻击关键部门

原文始发于微信公众号(军哥网络安全读报):APT组织利用 Ivanti 漏洞攻击关键部门

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月26日11:11:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   APT组织利用 Ivanti 漏洞攻击关键部门https://cn-sec.com/archives/4098407.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息