CISA expõe kits de malware implantados em ataques Ivanti EPMM – Against Invaders – Notícias de CyberSecurity para humanos.

Relatório Picus Blue 2025

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) publicou uma análise do malware implantado em ataques que exploram vulnerabilidades que afetam o Ivanti Endpoint Manager Mobile (EPMM).

As falhas são um desvio de autenticação no componente API do EPMM (CVE-2025-4427) e uma vulnerabilidade de injeção de código (CVE-2025-4428) que permite a execução de código arbitrário.

As duas vulnerabilidades afetam as seguintes ramificações de desenvolvimento do Ivanti EPMM e suas versões anteriores: 11.12.0.4, 12.3.0.1, 12.4.0.1 e 12.5.0.0.

A Ivanti abordou os problemas em 13 de maio, mas os agentes de ameaças já haviam sido explorando-os como dia zeroem ataques contra “um número muito limitado de clientes”.

Cerca de uma semana depois, a plataforma de inteligência de ameaças EclecticIQ denunciado com alta confiança que um grupo de espionagem China-Nexus estava aproveitando as duas vulnerabilidades desde pelo menos 15 de maio.

Os pesquisadores disseram que o agente de ameaças vinculado à China conhece muito bem a arquitetura interna do Ivanti EPMM, sendo capaz de redirecionar componentes do sistema para exfiltrar dados.

O relatório da CISA, no entanto, não faz nenhuma atribuição e se concentra apenas nos detalhes técnicos de arquivos maliciosos obtidos de uma organização atacada por agentes de ameaças usando uma cadeia de exploração para CVE-2025-4427 e CVE-2025-4428.

Dividir a entrega de malware

A agência dos EUA analisou dois conjuntos de malware que consistem em cinco arquivos que os hackers usaram para obter acesso inicial aos sistemas Ivanti EPMM locais.

“Os agentes de ameaças cibernéticas visaram o /mifs/rs/api/v2/ endpoint com solicitações HTTP GET e usou o ?formato= para enviar comandos remotos maliciosos”, CISA Diz.

Os comandos permitem que o agente da ameaça execute atividades de reconhecimento coletando informações do sistema, listando o diretório raiz, mapeando a rede, buscando arquivos maliciosos e extraindo credenciais do Lightweight Directory Access Protocol (LDAP).

Cada um dos conjuntos de malware analisados incluía um carregador distinto, mas com o mesmo nome, e ouvintes maliciosos que permitem injetar e executar código arbitrário no sistema comprometido:

  • Conjunto 1:
    • web-install.jar (Carregador 1)
    • ReflectUtil.class – incluído no Loader 1, manipula objetos Java para injetar e gerenciar o ouvinte malicioso no conjunto
    • SecurityHandlerWanListener.class – ouvinte malicioso que pode ser usado para injetar e executar código no servidor, exfiltrar dados e estabelecer persistência
  • Conjunto 2:
    • web-install.jar (Carregador 2)
    • WebAndroidAppInstaller.class – um ouvinte malicioso no Loader 2, que o agente da ameaça poderia usar para injetar e executar código, criar persistência e exfiltrar dados

De acordo com a CISA, o agente da ameaça entregou o malware por meio de solicitações HTTP GET separadas em blocos segmentados codificados em Base64.

Os dois conjuntos distintos de malware funcionam de forma semelhante, interceptando solicitações HTTP específicas para decodificar e executar cargas úteis fornecidas pelos invasores.

A CISA forneceu indicadores detalhados de comprometimento (IOCs), regras YARA e uma regra SIGMA para ajudar as organizações a detectar esses ataques.

A recomendação da agência para as empresas que encontrarem o malware analisado ou arquivos semelhantes em seus sistemas é isolar os hosts afetados, coletar e revisar artefatos e criar uma imagem de disco forense completa para compartilhar com a CISA.

Como ação de mitigação, a CISA recomenda corrigir o Ivanti EPMM afetado imediatamente e tratar os sistemas de gerenciamento de dispositivos móveis (MDM) como ativos de alto valor (HVAs) que exigem restrições de segurança e monitoramento adicionais.


Relatório Picus Blue 2025

azaeo.com – datalake

File fishes formats available in:

TextoJSONJSON-LDXMLHTMLHTML SourcePDFMarkdown

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.