De US Cybersecurity and Infrastructure Security Agency (CISA) heeft donderdag details vrijgegeven van twee sets malware die werden ontdekt in het netwerk van een naamloze organisatie na de exploitatie van beveiligingsfouten in Ivanti Endpoint Manager Mobile (EPMM).
“Elke set bevat laders voor kwaadaardige luisteraars waarmee acteurs van cyberdreigingen willekeurige code op de gecompromitteerde server worden uitgevoerd,” zei CISA in een waarschuwing.
De kwetsbaarheden die werden uitgebuit in de aanval omvatten CVE-2025-4427 en CVE-2025-4428, die beide zijn misbruikt als nuldagen voordat ze in mei 2025 door Ivanti werden aangepakt.
Terwijl CVE-2025-4427 betrekking heeft op een authenticatie-bypass waarmee aanvallers toegang hebben tot beschermde bronnen, maakt CVE-2025-4428 de uitvoering van externe code mogelijk. Als gevolg hiervan konden de twee gebreken worden vastgeketend om willekeurige code op een kwetsbaar apparaat zonder authenticatie uit te voeren.
Volgens CISA kregen de dreigingsacteurs toegang tot server met EPMM door de twee kwetsbaarheden rond 15 mei 2025 te kammen, na de publicatie van een proof-of-concept (POC) exploit.
Hierdoor konden de aanvallers commando’s uitvoeren die het mogelijk maakten om systeeminformatie te verzamelen, kwaadaardige bestanden te downloaden, de hoofdmap op te sommen, het netwerk in kaart te brengen, scripts uit te voeren om een heapdump te maken en lichtgewicht directory -toegangsprotocol (LDAP) -referenties (LDAP) te dumpen, voegde het bureau toe.
Verdere analyse bepaalde dat de actoren van de cyberdreiging twee sets kwaadaardige bestanden lieten vallen op de directory “/tmp”, die elk persistentie mogelijk maakten door willekeurige code op de gecompromitteerde server te injecteren en uit te voeren:
- Set 1 – Webinstall.jar (aka loader 1), reflectutil.class en beveiliginghandlerwanlistener.class
- Set 2 – Webinstall.jar (AKA Loader 2) en WebandroidAppInstaller.class
In het bijzonder bevatten beide sets een lader die een kwaadwillende gecompileerde Java -klasse luisteraar lanceert die specifieke HTTP -aanvragen onderschept en verwerkt om de payloads te decoderen en te decoderen voor latere uitvoering.
“Reflectutil.class manipuleert Java -objecten om de kwaadwillende luisteraar SecurityHandlerwanListener in Apache Tomcat te injecteren en te beheren,” zei Cisa. “(SecurityHandlerwanListener.class) is een kwaadwillende luisteraar die specifieke HTTP -aanvragen onderschept en verwerkt om payloads te decoderen en te decoderen, die een nieuwe klasse dynamisch maken en uitvoeren.”
WebandroidAppInstaller.class werkt daarentegen anders door een wachtwoordparameter op te halen en te decoderen van het verzoek met behulp van een hardgecodeerde sleutel, waarvan de inhoud wordt gebruikt om een nieuwe klasse te definiëren en te implementeren. Het resultaat van de uitvoering van de nieuwe klasse wordt vervolgens gecodeerd met behulp van dezelfde hard gecodeerde sleutel en genereert een reactie met de gecodeerde uitvoer.
Het eindresultaat is dat het aanvallers in staat stelt om willekeurige code op de server te injecteren en uit te voeren, waardoor vervolgactiviteit en persistentie mogelijk wordt, evenals exfiltratiegegevens door HTTP-aanvragen te onderscheppen en te verwerken.
Om beschermd te blijven tegen deze aanvallen, wordt organisaties geadviseerd om hun instanties bij te werken naar de nieuwste versie, te controleren op tekenen van verdachte activiteiten en de nodige beperkingen te implementeren om ongeautoriseerde toegang tot Systems Mobile Device Management (MDM) te voorkomen.
