2026年2月4日から、Ivanti Endpoint Manager Mobile(EPMM)システムを狙う巧妙なサイバー攻撃キャンペーンが発生しました。攻撃者は2つの重大な脆弱性(CVE-2026-1281およびCVE-2026-1340)を悪用し、休眠型バックドアを忍び込ませました。
データを奪ったりランサムウェアでファイルをロックしたりするような短期決戦型の攻撃とは異なり、これは静かに潜伏し、長期的なアクセスを構築します。
脅威アクターは、よくある混乱を引き起こす手口を避けました。彼らはWebパス/mifs/403.jspにマルウェアを設置しました。このコードはInfo.java由来のbase.InfoというJavaクラスで、すぐには実行されません。
それはサーバーのメモリ内に潜み、ハードドライブを回避します。標準的なアンチウイルスはファイルをスキャンするため、RAMは対象外となり見逃されます。
その後になって初めて、隠されたペイロードをデコードして起動します。このコードは、セキュリティログを回避するためにequals(Object)メソッドのような不自然なエントリーポイントを使用します。
休眠に入る前に、OSやユーザー情報を確認して標的として適切かどうかを見極めるため、システムのフィンガープリントを取得します。専門家はイニシャル・アクセス・ブローカー(IAB)を指摘しています。
これらのハッカーはネットワークに侵入してアクセス権を蓄積し、その後、より大規模な攻撃のために他者へ販売します。
SHA-256ハッシュは097b051c9c9138ada0d2a9fb4dfe463d358299d4bd0e81a1db2f69f32578747aです。/mifs/403.jspへのリクエスト、またはyv66vg(Javaのマジックバイト)で始まるBase64文字列に注意してください。
静けさは安全を意味しません。Ivanti EPMMを使用している場合は、今すぐ確認してください。
これは、静かな脅威がいかに致命的かを示しています。攻撃者は扉を開けたままにし、買い手を待っています。素早く行動して、それを閉め切ってください。
翻訳元: https://cyberpress.org/exploiting-ivanti-epmm/