【APT与高危漏洞追踪】国家级黑客UNC5221利用Ivanti漏洞，关键基础设施安全再敲警钟

国家级高级持续性威胁（APT）活动与高危漏洞的利用，持续对全球关键基础设施、政府机构和重要企业构成严峻挑战。本周，多个APT组织的活跃踪迹以及一系列关键软件的高危漏洞被披露，再次凸显了 proactive（主动）威胁情报、漏洞管理和纵深防御体系的重要性。

APT组织动态：UNC5221与APT28的精准打击

本周，两个APT组织——UNC5221和APT28的攻击活动备受关注，它们均展现出高度的针对性和复杂的技术手段。

UNC5221 对 Ivanti EPMM (CVE-2025-4427/4428) 的深度利用

UNC5221被归因于利用了Ivanti Endpoint Manager Mobile (EPMM，前身为MobileIron Core)中的两个严重安全漏洞——CVE-2025-4427（认证绕过漏洞）和CVE-2025-4428（任意文件写入漏洞）。这些漏洞的组合利用对全球多个行业（欧洲、北美、亚太地区均有受害者）构成了严重威胁。

• 攻击技术链条
1. 初始访问与权限获取
   
   攻击者首先利用CVE-2025-4427绕过EPMM的身份验证机制，随后结合CVE-2025-4428在目标系统上写入恶意Web Shell，从而获得对系统的初步控制和执行任意命令的能力。
2. 建立隐蔽通道
   
   通过Web Shell，攻击者通常会建立一个反向Shell。这是一种由受感染服务器主动连接到攻击者控制的C2（命令与控制）服务器的通信方式，能有效绕过防火墙的入站限制，为后续操作提供稳定的远程入口。
3. 载荷投递与执行
   
   借助已建立的控制通道，攻击者部署了名为KrustyLoader的轻量级恶意软件加载器。KrustyLoader的主要功能是从远程服务器下载并隐蔽地执行更高级的恶意载荷。
4. 部署Sliver C2框架
   
   KrustyLoader被观察到用于加载并执行Sliver。Sliver是一个开源的、功能强大的后渗透测试框架，提供丰富的模块化功能，包括远程命令执行、文件传输、端口转发、权限提升、横向移动等，常被红队用于模拟攻击，也日益受到真实攻击者的青睐。
• 高级隐匿技术——“就地取材”(Living off the Land, LotL)
  
  安全机构EclecticIQ指出，UNC5221在攻击过程中展现出对EPMM系统内部架构的深刻理解。他们并非完全依赖外部工具，而是巧妙地重用或滥用EPMM系统自身的合法二进制文件、脚本和管理功能来执行恶意操作，例如数据收集、打包、加密和通过正常通信渠道外渗。这种“就地取材”的策略能显著降低被终端检测与响应（EDR）系统和安全分析人员发现的概率。
• 潜在危害巨大
  
  EPMM作为企业管理和配置大量移动设备（智能手机、平板电脑）的核心平台，一旦被成功攻破，攻击者理论上可以远程访问、操纵甚至完全控制企业内成千上万台纳管的移动设备，窃取设备上的敏感数据、监听通信、推送恶意配置或应用，对企业数据安全和运营构成灾难性威胁。

APT28 (Fancy Bear) 针对西方物流与科技公司的持续渗透

俄罗斯背景的APT组织APT28（又称Fancy Bear, Strontium, Sofacy Group）自2022年以来，持续针对西方国家的物流实体和高科技公司发起网络间谍活动。澳大利亚、欧洲及美国的多家网络安全与情报机构联合发布预警，指出了其攻击特点：

• 混合TTPs
  
  攻击活动结合了多种已公开披露的战术、技术与过程（TTPs），包括利用鱼叉式钓鱼邮件投递恶意载荷、利用已知的Nday漏洞（指已公开披露，但目标系统因各种原因尚未应用相应安全补丁的漏洞，例如旧版的Microsoft Office或Windows操作系统漏洞）获取初始访问权限。
• 长期潜伏与情报窃取
  
  攻击的主要目的是窃取敏感的商业情报、知识产权和技术数据，并在受害网络中建立持久化的C2通信信道，以实现长期潜伏和持续性信息收集。
• 关联活动
  
  此次针对物流和科技公司的攻击活动，被认为可能与APT28此前针对乌克兰及其北约邻国的IP摄像头（网络监控摄像头）进行的广泛性攻击活动相关联。攻击IP摄像头可能服务于多种战略目的，如收集实时战场或边境情报、监控关键基础设施动态、或将这些防护薄弱的物联网设备用作发起后续攻击的跳板和匿名节点。

❗ 本周高危漏洞警示：补丁管理与临时缓解并重

软件漏洞仍然是攻击者最简单有效的入侵切入点之一。本周，全球范围内披露了大量关键软件和系统的高危漏洞（CVEs），对各组织机构的安全防线构成严峻考验。受影响的系统和组件包括但不限于：

Versa Concerto (CVE-2025-34025等), pfSense防火墙软件 (CVE-2024-57273等), VMware Cloud Foundation (CVE-2025-41229), WordPress插件如RomethemeKit For Elementor (CVE-2025-30911)及主题如Motors (CVE-2025-4322), 加密库OpenPGP.js (CVE-2025-47934), DNS服务软件PowerDNS (CVE-2025-30193)和BIND (CVE-2025-40775), GitLab (CVE-2025-0993), Google Chrome (CVE-2025-5063), Linux Kernel (CVE-2025-37899), 以及佳能打印机、NETGEAR设备等。

这些漏洞一旦被恶意利用，普遍可能导致远程代码执行（RCE）、权限提升（Privilege Escalation）、关键数据大规模泄露或拒绝服务（DoS）等严重后果。

行动指南与缓解策略：

• 优先修补
  
  各组织必须将漏洞管理和补丁应用视为持续的、动态的最高优先级安全任务。密切关注CISA、国家漏洞库（CNVD/CNNVD）等权威机构发布的预警通报，严格遵循厂商建议的修复窗口期，及时安装安全更新。
• 风险评估与临时缓解
  
  对于因业务连续性要求、补丁兼容性测试等原因无法立即应用补丁的系统，应进行详细的风险评估，并积极部署临时缓解措施，例如：
• 通过防火墙、网络分段或网络访问控制列表（ACLs）严格限制对受漏洞影响服务端口的网络访问。
• 在Web应用防火墙（WAF）上配置针对性的虚拟补丁规则，以阻止已知的漏洞利用尝试。
• 如有可能，临时禁用受漏洞影响的非核心功能模块或服务。
• 加强对受影响系统的异常行为监控和日志审计，设置针对性的告警规则，以便及时发现潜在的攻击活动。
• 强化安全基线
  
  确保所有系统和服务都遵循最新的安全配置基线，关闭不必要的服务和端口，移除过时和不再受支持的软件。

面对国家级APT组织的持续威胁和层出不穷的高危漏洞，任何组织都不能心存侥幸。必须建立以情报为驱动、以风险为导向的主动防御体系，将“零信任”原则贯彻到网络架构、身份验证和访问控制的各个层面。同时，强化供应链安全审查，提升应急响应能力，才能在复杂多变的网络安全环境中有效保护核心资产和业务连续性。

原文始发于微信公众号（技术修道场）：【APT与高危漏洞追踪】国家级黑客UNC5221利用Ivanti漏洞，关键基础设施安全再敲警钟