CISA揭露Ivanti EPMM攻擊中部署的惡意程式套件：MDM系統成為高價值攻擊目標

美國網路安全暨基礎設施安全局（CISA）近日發布技術分析報告，揭露駭客在攻擊 Ivanti Endpoint Manager Mobile（EPMM）系統時所使用的惡意程式套件。該攻擊鏈利用兩項零時差漏洞（CVE-2025-4427 與 CVE-2025-4428），針對企業內部部署的行動裝置管理系統進行滲透、資料竊取與持久化控制，顯示 MDM 平台已成為高價值資安目標。

漏洞概述：API繞過與程式碼注入

CISA指出，攻擊者利用以下兩項漏洞進行入侵：
•     CVE-2025-4427：EPMM API元件的身份驗證繞過漏洞
•     CVE-2025-4428：可導致任意程式碼執行的注入漏洞
受影響版本包括 Ivanti EPMM 的 11.12.0.4、12.3.0.1、12.4.0.1 與 12.5.0.0 等開發分支。雖然 Ivanti 已於 5 月13日釋出修補，但攻擊者早在漏洞公開前即已利用此攻擊鏈對少數目標進行滲透。根據 EclecticIQ 情資平台報告，攻擊者疑似與中國背景的間諜組織有關，具備高度系統架構理解能力，能重組元件以進行資料外洩。

惡意程式套件分析：兩組載入器與持久化監聽器

CISA分析了兩組惡意程式套件，共包含五個檔案，皆透過 HTTP GET 請求分段傳送、Base64編碼後注入系統。攻擊者鎖定  端點，利用  參數執行遠端命令，進行系統偵察、目錄列舉、網路映射與 LDAP 憑證擷取。套件細節如下：

套件一：

•     （載入器1）
•     ：操控 Java 物件以注入監聽器
•     ：可執行程式碼、建立持久化並外洩資料

套件二：

•     （載入器2）
•     ：具備相同功能的惡意監聽器
兩組套件雖結構不同，但功能相似，皆可攔截特定 HTTP 請求並執行攻擊者提供的惡意載荷。

攻擊行為與滲透流程

攻擊者透過分段傳送的方式避開傳統防毒與入侵偵測系統，並利用 Java 類別注入技術建立持久化後門。攻擊流程包括：

• 初始存取：利用 API 漏洞繞過身份驗證
• 系統偵察：收集系統資訊與目錄結構
• 憑證擷取：取得 LDAP 認證資料
• 惡意注入：載入監聽器並建立持久化
• 資料外洩：透過網路通道傳送敏感資訊

此類攻擊展現出高度模組化與靜默性，難以透過傳統防線即時偵測。

CISA建議與偵測指引

CISA提供了完整的 IOC（Indicators of Compromise）、YARA規則與SIGMA偵測規則，協助企業進行威脅獵捕與事件調查。若企業發現類似檔案或行為，建議立即：
•     隔離受感染主機
•     收集並分析系統與網路遺留物
•     建立完整鑑識磁碟映像並通報 CISA
此外，CISA強調應立即修補受影響的 EPMM 版本，並將 MDM 系統視為「高價值資產」（HVA），納入額外的安全限制與監控機制。

企業應對建議：MDM防禦不容忽視

此次事件提醒企業，行動裝置管理系統不僅是便利工具，更是潛在的資安破口。建議如下：
•     對 MDM 平台進行定期滲透測試與程式碼審查
•     導入行為式偵測與異常流量分析機制
•     強化 API 存取控管與日誌監控
•     建立 MDM 資產分類與風險評估流程
•     將 MDM 納入資安事件演練與回應計畫

結語：MDM 是新戰場，企業需主動防禦

Ivanti EPMM 攻擊事件揭示了 MDM 系統在現代企業架構中的資安風險。企業若未將其納入核心防禦策略，將可能面臨靜默滲透、資料外洩與持久化控制等高風險情境。CISA的技術分析提供了寶貴的偵測與防禦指引，台灣企業應積極導入並強化行動資安治理。

資料來源：https://www.bleepingcomputer.com/news/security/cisa-exposes-malware-kits-deployed-in-ivanti-epmm-attacks/