Sajber špijunska grupa povezana sa Kinom koristi dvije nedavne ranjivosti u Ivanti Endpoint Manager Mobile (EPMM) sistemu u napadima usmjerenim ka kritičnim sektorima u Evropi, Sjevernoj Americi i Azijsko-pacifičkom regionu, izvještava EclecticIQ.
Dvije ranjivosti, označene kao CVE-2025-4427 i CVE-2025-4428, predstavljaju srednje ozbiljne propuste koji omogućavaju napadačima da zaobiđu autentifikaciju i izvrše proizvoljan kod na daljinu.
Greške koje utiču na dvije open-source biblioteke integrisane u EPMM mogu se kombinovati kako bi se omogućilo izvršavanje koda na daljinu bez autentifikacije na ranjivim sistemima.
Ivanti je zakrpio ove dvije bezbjednosne ranjivosti 13. maja, uz upozorenje da su iskorišćene kao zero-day napadi na ograničen broj korisnika.
Nekoliko dana kasnije, javno je objavljen dokaz-koncept (PoC) eksploatacionog koda za ove ranjivosti, a hakeri su odmah počeli da ih koriste u stvarnim napadima, upozorio je Wiz ove nedjelje.
Potvrđujući nalaze kompanije Wiz, EclecticIQ takođe upozorava na nastavak eksploatacije ovih ranjivosti, pripisujući napade kineskom hakeru poznatom kao UNC5221.
Poznata po iskorišćavanju zero-day ranjivosti u edge uređajima najmanje od 2023. godine, ova špijunska grupa je viđena kako izvlači velike količine podataka sa ranjivih uređaja, uključujući lične podatke (PII), kredencijale i druge osjetljive informacije.
Od 15. maja, hakerska grupa cilja ranjive EPMM instance izložene internetu koje pripadaju organizacijama iz oblasti avijacije, odbrane, finansija, lokalne uprave, zdravstva i telekomunikacija, kako bi iz njih izvukla fajlove sa ključnim operativnim podacima i stekla uvid u upravljane uređaje.
Ciljevi koje je identifikovao EclecticIQ uključuju jednog od najvećih provajdera telekomunikacija u Njemačkoj, firmu za sajber bezbjednost, proizvođača oružja sa sjedištem u SAD-u i multinacionalnu banku u Južnoj Koreji.
„S obzirom na ulogu EPMM-a u upravljanju i slanju konfiguracija na mobilne uređaje u okviru preduzeća, uspješna eksploatacija bi mogla omogućiti hakerima da daljinski pristupe, manipulišu ili kompromituju hiljade upravljanih uređaja unutar organizacije“, navodi EclecticIQ.
U sklopu ovih napada, UNC5221 je koristio FRP (Fast Reverse Proxy), open-source alat koji uspostavlja obrnutu SOCKS5 proxy konekciju za uporan pristup, kao i KrustyLoader, koji se obično koristi za postavljanje Sliver backdoor alata.
Takođe je primećeno da ova grupa koristi shell komande za izviđanje i prikrivanje tragova u realnom vremenu, „potencijalno koristeći HTTP GET zahtjeve za izvlačenje podataka prije nego što obrišu tragove“, navodi EclecticIQ.
U prethodnim kampanjama, ovaj haker je viđen kako eksploatiše ranjive uređaje kompanija Palo Alto Networks, Ivanti i SAP za postavljanje KrustyLoader-a i Sliver beacona.
„EclecticIQ sa visokim stepenom pouzdanosti procjenjuje da je eksploatacija Ivanti EPMM sistema koju smo posmatrali vrlo vjerovatno povezana sa UNC5221, kineskom sajber špijunskom grupom. Ponovno korišćenje infrastrukture i primijenjene tehnike u velikoj mjeri se poklapaju sa prethodnim kampanjama koje se pripisuju ovom hakeru“, navodi EclecticIQ.
Izvor: SecurityWeek
