美国网络安全与基础设施安全局（CISA）周四公布了两套恶意软件的细节，这些恶意软件是在某家未具名组织的网络中发现的，此前该组织因Ivanti端点管理器移动版（EPMM）存在安全漏洞而遭到攻击。

“每套程序都包含恶意监听器的加载器，使网络威胁行为者能够在受感染的服务器上运行任意代码，”美国网络安全与基础设施安全局（CISA）在一份警报中表示。

此次攻击中被利用的漏洞包括CVE-2025-4427和CVE-2025-4428，这两个漏洞在2025年5月被Ivanti修复之前，都曾作为零日漏洞被滥用。

虽然CVE-2025-4427涉及一个允许攻击者访问受保护资源的身份验证绕过漏洞，但CVE-2025-4428则可实现远程代码执行。因此，这两个漏洞可被串联利用，在未进行身份验证的情况下在易受攻击的设备上执行任意代码。

据美国网络安全与基础设施安全局（CISA）称，在一份概念验证（PoC）漏洞利用代码发布后，这些威胁行为者于2025年5月15日左右通过结合这两个漏洞，获取了运行EPMM的服务器的访问权限。

该机构补充称，这使得攻击者能够运行命令，从而收集系统信息、下载恶意文件、列出根目录、绘制网络地图、执行脚本来创建堆转储，以及提取轻量目录访问协议（LDAP）凭据。

进一步分析确定，网络威胁行为者向“/tmp”目录投放了两组恶意文件，每组文件都通过在受感染服务器上注入并运行任意代码来实现持久化。

• 第1组 – web-install.jar（又名加载器1）、ReflectUtil.class和SecurityHandlerWanListener.class
• 集合2 – web-install.jar（又名加载器2）和WebAndroidAppInstaller.class

具体来说，这两个集合都包含一个加载器，该加载器会启动一个恶意的编译后的Java类监听器，该监听器会拦截特定的HTTP请求，并对其进行处理，以解码和解密有效载荷供后续执行。

美国网络安全与基础设施安全局（CISA）表示：“ReflectUtil.class会操纵Java对象，在Apache Tomcat中注入并管理恶意监听器SecurityHandlerWanListener。[SecurityHandlerWanListener.class]是一个恶意监听器，它会拦截特定的HTTP请求并对其进行处理，以解码和解密有效载荷，进而动态创建并执行一个新类。”

另一方面，WebAndroidAppInstaller.class的工作方式不同，它使用硬编码密钥从请求中检索并解密密码参数，该参数的内容用于定义和实现一个新类。然后，新类的执行结果会使用相同的硬编码密钥进行加密，并生成包含加密输出的响应。

最终结果是，这使得攻击者能够在服务器上注入并执行任意代码，从而开展后续活动并保持持久控制，同时通过拦截和处理HTTP请求来窃取数据。

为防范这些攻击，建议各组织将其实例更新至最新版本，监控可疑活动迹象，并实施必要限制，以防止对移动设备管理（MDM）系统的未授权访问。