サイバーニュース.jp

世界のサイバーなニュースを配信

Ivanti EPMMの脆弱性を悪用したステルス型バックドアの設置、脅威アクターが暗躍

カテゴリ:

概要:新たなサイバー攻撃キャンペーン

2026年2月4日以降、Ivanti Endpoint Manager Mobile (EPMM) システムを標的とした高度なサイバー攻撃キャンペーンが確認されています。脅威アクターは、CVE-2026-1281CVE-2026-1340という二つの重大な脆弱性を悪用し、システム内に休眠状態のバックドアを設置しています。この攻撃は、即座にデータを窃取したりランサムウェアを展開したりする一般的な手口とは異なり、長期的な潜伏と持続性を重視している点が特徴です。

ステルス型バックドアの巧妙な手口

攻撃者は「急襲型」のアプローチではなく、静かで持続的な手法を採用しています。発見されたマルウェアは/mifs/403.jspという特定のウェブパスに、ステルス型のインプラントとして配置されます。この悪意あるコードは、設置されてもすぐにコマンドを実行したり、偵察を行ったりすることはありません。単に潜伏して待機するのみで、これはInitial Access Brokers (IABs) の活動と強く関連していると考えられます。IABsは、ネットワークに侵入してすぐに悪用するのではなく、侵害したサーバーの「在庫」を作成し、後に他の脅威アクターに販売することを目的としています。

このマルウェアは、Javaクラスbase.Infoとして識別されており、検出を回避するように設計されています。最も危険な特徴は、それがサーバーのメモリ上で完全に動作する点です。ペイロードは、初期ローダーを除いてファイルシステムにファイルを書き込むことがないため、従来のファイルスキャン型アンチウイルスソフトウェアでは検出が困難です。

Defused Cyberの報告によると、このインプラントは「ステージローダー」として機能し、それ単独では機能せず、特定のトリガーを必要とします。バックドアは、特定のパラメータk0f53cf964d387を含むHTTPリクエストを待ち受け、この「キー」が受信された場合にのみペイロードをデコードして実行します。さらに、コードは標準的なウェブコマンドではなく、equals(Object)メソッドのような通常とは異なるエントリポイントを使用しており、標準的なセキュリティロギングツールを迂回するのに役立っています。休眠状態に入る前に、マルウェアはOSとユーザーの詳細を簡単にチェックし、被害者の「フィンガープリント」を取得することで、将来の売買のためにアクセスが有効であることを確認します。

推奨される緩和策と対策

この攻撃は目に見えないように設計されているため、アクティブなアラートがないからといってシステムが安全であるとは限りません。Ivanti EPMMを運用している場合は、沈黙こそが脅威であると認識し、以下の対策を講じる必要があります。

  • ログの確認: /mifs/403.jspへのリクエスト、またはyv66vgで始まる(Javaマジックバイトのコード)大きなBase64エンコード文字列がないかログを徹底的に確認してください。
  • サーバーの再起動: マルウェアはメモリ上に存在するため、パッチを適用するだけでは不十分です。悪意あるコードをRAMから排除するために、影響を受けるアプリケーションサーバーを再起動する必要があります。
  • 即座にパッチを適用: 開示されているCVEsに対するベンダーパッチを適用し、侵入経路を閉鎖してください。

このキャンペーンは、最も危険な侵入が、しばしば「まだ何もしていない」侵入であることを改めて示しています。攻撃者は足場を確立し、買い手を辛抱強く待っています。防御側は彼らに時間を与えてはなりません。

侵害の痕跡(Indicators of Compromise: IoCs)

アーティファクト

  • Class Name: base.Info
  • Source File: Info.java
  • SHA-256: 097b051c9c9138ada0d2a9fb4dfe463d358299d4bd0e81a1db2f69f32578747a

ネットワークIoCs – ソースIPアドレス

  • 104.219.171.96 (Datacamp Limited, 🇺🇸)
  • 108.64.229.100 (AT&T Enterprises, LLC, 🇺🇸)
  • 115.167.65.16 (NTT America, Inc., 🇺🇸)
  • 138.36.92.162 (HOSTINGFOREX S.A., 🇺🇸)
  • 146.103.53.35 (Datacamp Limited, 🇺🇸)
  • 148.135.183.63 (Datacamp Limited, 🇺🇸)
  • 151.247.221.59 (Datacamp Limited, 🇺🇸)
  • 166.0.83.171 (UK Dedicated Servers Limited, 🇬🇧)
  • 172.59.92.152 (T-Mobile USA, Inc., 🇺🇸)
  • 185.240.120.91 (Datacamp Limited, 🇺🇸)
  • 185.239.140.40 (Datacamp Limited, 🇪🇸)
  • 194.35.226.128 (LeaseWeb Netherlands B.V., 🇳🇱)
  • 193.41.68.58 (LeaseWeb Netherlands B.V., 🇳🇱)
  • 77.78.79.243 (SPCom s.r.o., 🇨🇿)
  • 62.84.168.208 (Hydra Communications Ltd, 🇬🇧)
  • 45.66.95.235 (Hydra Communications Ltd, 🇬🇧)
  • 46.34.44.66 (Liberty Global Europe Holding B.V., 🇳🇱)

元記事: https://gbhackers.com/threat-actors-using-ivanti-epmm-flaws/

投稿をさらに読み込む