Código HTML do Conteúdo
Post: CISA expõe kits de malware implantados em ataques Ivanti EPMM - Against Invaders - Notícias de CyberSecurity para humanos.
<div>
<div>
<p>A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) publicou uma análise do malware implantado em ataques que exploram vulnerabilidades que afetam o Ivanti Endpoint Manager Mobile (EPMM).</p>
<p>As falhas são um desvio de autenticação no componente API do EPMM (CVE-2025-4427) e uma vulnerabilidade de injeção de código (CVE-2025-4428) que permite a execução de código arbitrário.</p>
<p>As duas vulnerabilidades afetam as seguintes ramificações de desenvolvimento do Ivanti EPMM e suas versões anteriores: 11.12.0.4, 12.3.0.1, 12.4.0.1 e 12.5.0.0.</p>
<p>A Ivanti abordou os problemas em 13 de maio, mas os agentes de ameaças já haviam sido <a href="https://www.bleepingcomputer.com/news/security/ivanti-fixes-epmm-zero-days-chained-in-code-execution-attacks/" rel="nofollow noopener" target="_blank">explorando-os como dia zero</a>em ataques contra “um número muito limitado de clientes”.</p>
<p>Cerca de uma semana depois, a plataforma de inteligência de ameaças EclecticIQ <a href="https://www.bleepingcomputer.com/news/security/ivanti-epmm-flaw-exploited-by-chinese-hackers-to-breach-govt-agencies/" rel="nofollow noopener" target="_blank">denunciado com alta confiança</a> que um grupo de espionagem China-Nexus estava aproveitando as duas vulnerabilidades desde pelo menos 15 de maio.</p>
<p>Os pesquisadores disseram que o agente de ameaças vinculado à China conhece muito bem a arquitetura interna do Ivanti EPMM, sendo capaz de redirecionar componentes do sistema para exfiltrar dados.</p>
<p>O relatório da CISA, no entanto, não faz nenhuma atribuição e se concentra apenas nos detalhes técnicos de arquivos maliciosos obtidos de uma organização atacada por agentes de ameaças usando uma cadeia de exploração para CVE-2025-4427 e CVE-2025-4428.</p>
<h3>Dividir a entrega de malware</h3>
<p>A agência dos EUA analisou dois conjuntos de malware que consistem em cinco arquivos que os hackers usaram para obter acesso inicial aos sistemas Ivanti EPMM locais.</p>
<p>“Os agentes de ameaças cibernéticas visaram o <em>/mifs/rs/api/v2/</em> endpoint com solicitações HTTP GET e usou o <em>?formato=</em> para enviar comandos remotos maliciosos”, CISA <a href="https://www.cisa.gov/news-events/analysis-reports/ar25-261a" rel="nofollow noopener" target="_blank">Diz</a>.</p>
<p>Os comandos permitem que o agente da ameaça execute atividades de reconhecimento coletando informações do sistema, listando o diretório raiz, mapeando a rede, buscando arquivos maliciosos e extraindo credenciais do Lightweight Directory Access Protocol (LDAP).</p>
<p>Cada um dos conjuntos de malware analisados incluía um carregador distinto, mas com o mesmo nome,<em> </em>e ouvintes maliciosos que permitem injetar e executar código arbitrário no sistema comprometido:</p>
<ul>
<li><strong>Conjunto 1</strong>:
<ul>
<li><em>web-install.jar</em> (Carregador 1)</li>
<li><em>ReflectUtil.class</em> – incluído no Loader 1, manipula objetos Java para injetar e gerenciar o ouvinte malicioso no conjunto</li>
<li><em>SecurityHandlerWanListener.class</em> – ouvinte malicioso que pode ser usado para injetar e executar código no servidor, exfiltrar dados e estabelecer persistência</li>
</ul>
</li>
<li><strong>Conjunto 2</strong>:
<ul>
<li><em>web-install.jar</em> (Carregador 2)</li>
<li><em>WebAndroidAppInstaller.class</em> – um ouvinte malicioso no Loader 2, que o agente da ameaça poderia usar para injetar e executar código, criar persistência e exfiltrar dados</li>
</ul>
</li>
</ul>
<p>De acordo com a CISA, o agente da ameaça entregou o malware por meio de solicitações HTTP GET separadas em blocos segmentados codificados em Base64.</p>
<p>Os dois conjuntos distintos de malware funcionam de forma semelhante, interceptando solicitações HTTP específicas para decodificar e executar cargas úteis fornecidas pelos invasores.</p>
<p>A CISA forneceu indicadores detalhados de comprometimento (IOCs), regras YARA e uma regra SIGMA para ajudar as organizações a detectar esses ataques.</p>
<p>A recomendação da agência para as empresas que encontrarem o malware analisado ou arquivos semelhantes em seus sistemas é isolar os hosts afetados, coletar e revisar artefatos e criar uma imagem de disco forense completa para compartilhar com a CISA.</p>
<p>Como ação de mitigação, a CISA recomenda corrigir o Ivanti EPMM afetado imediatamente e tratar os sistemas de gerenciamento de dispositivos móveis (MDM) como ativos de alto valor (HVAs) que exigem restrições de segurança e monitoramento adicionais.</p>
<p><a href="https://hubs.li/Q03B5Kw_0" rel="noopener sponsored" target="_blank"><br />
<img decoding="async" alt="Relatório Picus Blue 2025" src="https://datalake.azaeo.com/wp-content/uploads/2025/08/blue-report-2025.jpg"><br />
</a>
</p>
</div></div>