Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Китайские хакеры взломали Ivanti EPMM

17
1 мин
Изображение: recraft Эксперты EclecticIQ опубликовали отчёт, в котором зафиксировано масштабное использование уязвимостей в Ivanti Endpoint Manager Mobile (EPMM) хакерами из Китая. Документ охватывает эпизоды, начавшиеся с 15 мая 2025 года, и затрагивает инциденты в странах Европы, Северной Америки и АТР. Две бреши — CVE-2025-4427 и CVE-2025-4428 — были устранены разработчиком лишь неделю назад. Объединение этих уязвимостей позволяет атакующему выполнять произвольный код на устройствах под управлением EPMM без авторизации. Это даёт возможность обойти защиту и внедрить вредоносные модули прямо в корпоративные мобильные инфраструктуры. По данным EclecticIQ, за атаками стоит UNC5221 — группа, которую связывают с китайским кибершпионажем. С 2023 года её активность фиксировалась в контексте атак на сетевую периферию, а совсем недавно ей приписывались попытки эксплуатации уязвимости в SAP NetWeaver (CVE-2025-31324). Актуальная операция направлена на медицинские учреждения, телеком-компании,

Изображение: recraft

Эксперты EclecticIQ опубликовали отчёт, в котором зафиксировано масштабное использование уязвимостей в Ivanti Endpoint Manager Mobile (EPMM) хакерами из Китая. Документ охватывает эпизоды, начавшиеся с 15 мая 2025 года, и затрагивает инциденты в странах Европы, Северной Америки и АТР.

Две бреши — CVE-2025-4427 и CVE-2025-4428 — были устранены разработчиком лишь неделю назад. Объединение этих уязвимостей позволяет атакующему выполнять произвольный код на устройствах под управлением EPMM без авторизации. Это даёт возможность обойти защиту и внедрить вредоносные модули прямо в корпоративные мобильные инфраструктуры.

По данным EclecticIQ, за атаками стоит UNC5221 — группа, которую связывают с китайским кибершпионажем. С 2023 года её активность фиксировалась в контексте атак на сетевую периферию, а совсем недавно ей приписывались попытки эксплуатации уязвимости в SAP NetWeaver (CVE-2025-31324). Актуальная операция направлена на медицинские учреждения, телеком-компании, авиацию, финансовые структуры, оборонные и государственные ведомства.

Исследователь Арда Бююккая отметил, что группа досконально изучила архитектуру EPMM и умеет использовать встроенные системные элементы для тайного извлечения информации. Поскольку платформа EPMM управляет конфигурациями корпоративных мобильных устройств, успешное внедрение даёт злоумышленникам широкие возможности: от удалённого доступа до подмены данных и полной компрометации мобильной экосистемы.

Сценарий атаки начинается с обращения к уязвимой конечной точке API «/mifs/rs/api/v2/». Это позволяет получить интерактивную удалённую оболочку, а затем — выполнить произвольные команды. После захвата доступа хакеры устанавливают KrustyLoader — модуль, написанный на Rust, который используется для доставки дополнительных вредоносных компонентов. Одним из таких компонентов стал фреймворк Sliver, применяемый для постэксплуатационного контроля над заражёнными системами.

Оригинал публикации на сайте CISOCLUB: "EclecticIQ: китайская группа UNC5221 атакует Ivanti EPMM по всему миру, используя свежие уязвимости без аутентификации".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются