GreyNoise のレポートによると、この IP アドレスは防弾ホスティングインフラストラクチャの背後で動作しており、現在の IoC には表示されない可能性があります。
Ivanti Endpoint Manager Mobile の重大な脆弱性を標的とする攻撃活動の 80% 以上が、防弾ホスティングインフラストラクチャの背後に隠れている単一の IP アドレスから追跡されたと、火曜日に公開されたレポートで GreyNoise が報告しています。
研究者は、現在の脅威キャンペーンに関連して最も共有されている侵害指標のいくつかが、Ivanti EPMM に関連する活動を示していないと警告しています。GreyNoise の研究者によると、現在の IoC は代わりに Oracle WebLogic のスキャンを示しているため、セキュリティチームが誤った情報を探している可能性があるという懸念があります。
先月末、Ivanti は CVE-2026-1281 および CVE-2026-1340 として追跡されている重大なコードインジェクションの脆弱性を公開しました。この欠陥は Ivanti EPMM のオンプレミス版に影響を及ぼし、攻撃者がリモートコード実行を達成できる可能性があります。
GreyNoise の研究者は、2 月 1 日に CVE-2026-1281 を標的とする脅威活動を最初に検出し、2 月 9 日までに 8 つの固有のソース IP から 417 件の攻撃セッションを記録しました。Prospero OOO に登録された 1 つの IP がセッションの 83% を生成しました。GreyNoise によると、この IP はロシアのサンクトペテルブルクに地理的に位置していました。
脅威活動は最近加速しており、GreyNoise のデータでは日曜日に 269 セッションが記録され、以前の 1 日平均 21 から急増しています。Shadowserver Foundation の研究者は火曜日に脅威活動の急増を報告しました。Shadowserver のデータでは 28,000 を超えるソース IP が観測され、そのうち 20,000 以上が米国のネットワークから確認されました。
以前報告されたように、オランダのデータ保護局および司法評議会が Ivanti EPMM の攻撃により侵害されました。欧州委員会も Ivanti IPMM に関連する攻撃を調査していました。
EC インシデントに関連する調査では、特定のスタッフメンバーの名前や番号を含むデータの漏洩の可能性が示されたと、調査に詳しい情報筋が述べています。脆弱性を軽減するための追加措置が講じられ、全体的なリスクを軽減するためのさらなるステップが実施されています。
翻訳元: https://www.cybersecuritydive.com/news/majority-ivanti-epmm-hidden-ip/811960/
