米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Ivanti Endpoint Manager Mobile(EPMM)の脆弱性を悪用した攻撃で使用されたマルウェアの分析結果を公開しました。
これらの脆弱性は、EPMMのAPIコンポーネントにおける認証バイパス(CVE-2025-4427)と、任意のコード実行を可能にするコードインジェクションの脆弱性(CVE-2025-4428)です。
この2つの脆弱性は、以下のIvanti EPMM開発ブランチおよびそれ以前のリリースに影響します:11.12.0.4、12.3.0.1、12.4.0.1、12.5.0.0。
Ivantiは5月13日に問題へ対処しましたが、脅威アクターはすでにゼロデイとしてこれらを悪用し、「ごく限られた数の顧客」に対して攻撃を行っていました。
その約1週間後、脅威インテリジェンスプラットフォームのEclecticIQは、少なくとも5月15日以降、中国系のスパイグループがこの2つの脆弱性を利用していると高い確信を持って報告しました。
研究者によると、この中国系脅威アクターはIvanti EPMMの内部アーキテクチャに非常に精通しており、システムコンポーネントを再利用してデータを流出させることが可能です。
一方、CISAの報告書では帰属については言及せず、CVE-2025-4427およびCVE-2025-4428のエクスプロイトチェーンを用いて攻撃された組織から入手した悪意のあるファイルの技術的詳細のみに焦点を当てています。
分割されたマルウェア配信
米国機関は、ハッカーがオンプレミスのIvanti EPMMシステムへの初期アクセスを得るために使用した5つのファイルからなる2組のマルウェアを分析しました。
「サイバー脅威アクターは、/mifs/rs/api/v2/エンドポイントをHTTP GETリクエストで標的とし、?format=パラメータを使って悪意のあるリモートコマンドを送信していました」とCISAは述べています。
これらのコマンドにより、脅威アクターはシステム情報の収集、ルートディレクトリの一覧取得、ネットワークのマッピング、悪意のあるファイルの取得、Lightweight Directory Access Protocol(LDAP)認証情報の抽出などの偵察活動を実行できます。
分析された各マルウェアセットには、異なるローダー(ただし同じ名称)と、侵害されたシステム上で任意のコードを注入・実行できる悪意のあるリスナーが含まれていました:
- セット1:
- web-install.jar(ローダー1)
- ReflectUtil.class – ローダー1に含まれ、Javaオブジェクトを操作してセット内の悪意のあるリスナーを注入・管理
- SecurityHandlerWanListener.class – サーバー上でコードを注入・実行し、データの流出や永続化を確立できる悪意のあるリスナー
- セット2:
- web-install.jar(ローダー2)
- WebAndroidAppInstaller.class – ローダー2に含まれる悪意のあるリスナーで、コードの注入・実行、永続化の作成、データ流出が可能
CISAによると、脅威アクターはマルウェアを分割されたBase64エンコードチャンクとして、個別のHTTP GETリクエストで配信しました。
この2つの異なるマルウェアセットは、攻撃者が提供したペイロードをデコードして実行するために特定のHTTPリクエストを傍受するという、類似した動作をします。
CISAは、侵害の痕跡(IOC)、YARAルール、およびSIGMAルールを詳細に提供し、組織がこのような攻撃を検出できるよう支援しています。
分析されたマルウェアや類似ファイルをシステム上で発見した企業に対して、CISAは影響を受けたホストの隔離、アーティファクトの収集と確認、CISAと共有するための完全なフォレンジックディスクイメージの作成を推奨しています。
緩和策として、CISAは影響を受けるIvanti EPMMを直ちにパッチ適用し、モバイルデバイス管理(MDM)システムを追加のセキュリティ制限と監視が必要な高価値資産(HVA)として扱うことを推奨しています。
