Анализ активности эксплуатации двух критических уязвимостей в Ivanti Endpoint Manager Mobile (EPMM) показал концентрацию атак вокруг одного IP‑адреса, зарегистрированного на ООО «ПРОСПЕРО» в Санкт‑Петербурге. Исследование GreyNoise выявило, что этот адрес (193.24.123.42) ответственен примерно за 83% всех наблюдаемых сеансов эксплуатации, что резко контрастирует с широко распространёнными опубликованными IOC, не включающими этот адрес и указывающими на иные источники.
Краткое содержание уязвимостей
Речь идёт о двух критических уязвимостях с оценкой CVSS 9.8:
- CVE-2026-1281 — неавторизованное удалённое выполнение кода из‑за ошибки в механизме доставки файлов EPMM;
- CVE-2026-1340 — проблема внедрения кода в другой компонент системы.
Наблюдения по эксплойтам и методике злоумышленников
В течение первой недели февраля GreyNoise зафиксировал 417 сеансов эксплуатации с восьми уникальных IP‑источников. При этом пик пришёлся на 8 февраля — 269 сеансов за один день. Доминирующий источник — IP 193.24.123.42 (ООО «ПРОСПЕРО») — обеспечивал подавляющее большинство попыток.
Методология злоумышленников вызывает дополнительную озабоченность:
- В ~85% попыток использовались методы внеполосного тестирования безопасности приложений (OAST), которые применяют обратные DNS‑колбэки для проверки выполнения команд без прямой обратной связи с атакующим;
- Вместо немедленного извлечения данных или разрушительных действий злоумышленники преимущественно каталожат и маркируют цели для последующего использования, что характерно для «брокеров первоначального доступа»;
- После эксплуатации часто разворачивались бездействующие полезные нагрузки — «спящие оболочки 403.jsp», настроенные на активацию при определённых условиях, что создаёт долгосрочный плацдарм для повторного неавторизованного доступа.
«Этот шаблон предполагает каталогизацию целей для последующего использования, а не немедленное выполнение, что согласуется с тактикой, обычно используемой брокерами, предоставляющими первоначальный доступ.»
Несоответствие между наблюдаемой активностью и опубликованными IOC
Опубликованные IOC, связанные с кампанией, в значительной мере не совпадают с фактическими источниками эксплуатации. В списках встречаются IP‑адреса, связанные с общими VPN‑сервисами, а также домашние маршрутизаторы — адреса, которые по данным GreyNoise не показывают признаков эксплуатации Ivanti.
Это несоответствие подчёркивает риск для защитников: организациям, полагающимся исключительно на широко распространяемые IOC, можно пропустить ключевые векторы атаки, если эти IOC не отражают поведенческие концентрации и тип инфраструктуры злоумышленников.
Почему важна инфраструктура и оценка достоверности IOC
Ключевой момент — роль «пуленепробиваемой» хостинг‑инфраструктуры, которая часто служит укрытием для концентрированной вредоносной активности. Фокус на блочение общих IOC без учёта контекста инфраструктуры и поведенческих паттернов даёт ложное чувство защищённости.
Исходя из наблюдений, авторы доклада предлагают внедрить фреймворк для оценки достоверности IOC, где приоритетность определяется:
- типом инфраструктуры (например, коммерческий пуленепробиваемый хостинг vs. домашние адреса);
- наблюдаемыми поведенческими концентрациями (процент сеансов, пики активности);
- показателями методик (использование OAST, разворачивание «спящих» полезных нагрузок).
Практические рекомендации для организаций
- Не ограничиваться блокированием общедоступных IOC — анализируйте поведенческие концентрации и тип хостинг‑инфраструктуры источников атак.
- Внедрять мониторинг на предмет аномалий OAST‑типов (обратные DNS‑колбэки, нетипичные внешние вызовы) и отслеживать всплески активности по IP‑адресам.
- Проверять наличие «спящих» полезных нагрузок (например, файлов вида 403.jsp) в web‑каталогах и реактивировать процедуры удаления и инвентаризации при обнаружении.
- Оценивать приоритет реагирования IOC с учётом инфраструктуры — адреса из пуленепробиваемых хостингов стоит считать повышенно подозрительными при значительных поведенческих концентрациях.
Вывод
Ситуация с эксплуатацией CVE‑2026‑1281 и CVE‑2026‑1340 демонстрирует, что современные кампании по проникновению могут концентрироваться вокруг отдельных «удобных» узлов в хостинг‑инфраструктуре, оставаясь при этом незамеченными при стандартном сопоставлении с опубликованными IOC. Защитникам необходимо сочетать сигнатурное обнаружение с поведенческим анализом и учитывать тип инфраструктуры источников для повышения эффективности противодействия таким сложным киберугрозам.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Массовая эксплуатация Ivanti EPMM через пуленепробиваемый хостинг".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.