Sleeper Shells: Attackers Are Planting Dormant Backdoors in Ivanti EPMM
3 months ago
- #ivanti-epmm
- #cybersecurity
- #initial-access-brokers
- 自漏洞披露以来,Ivanti EPMM漏洞(CVE-2026-1281和CVE-2026-1340)的利用活动持续不断。
- 该协同攻击活动将潜伏的内存驻留Java类加载器部署到较少见的webshell路径`/mifs/403.jsp`。
- 后门植入需要特定触发参数(`k0f53cf964d387`)激活,符合初始访问代理(IAB)的作案手法特征。
- 有效载荷(`base.Info`)是用于加载并执行后续通过HTTP传递的第二阶段Java类的加载器。
- 未观察到后续攻击行为,表明攻击者可能正在准备转售或移交访问权限。
- 主机指纹收集包括工作目录、操作系统名称和用户名等环境信息。
- 由于载荷仅驻留内存且缺乏即时利用后活动,检测难度较大。
- 应急处置措施包括修补Ivanti EPMM系统、重启服务器清除内存驻留程序,以及审查访问日志。
- 攻击指标(IOC)包含对`/mifs/403.jsp`的请求、特定Base64参数及响应标记特征。
- 该活动揭示了静默入侵的危险性——此类攻击会预先建立可随时调用的访问资源库。