Китайские хакеры атакуют компании через уязвимости в Ivanti EPMM Группа UNC5221, связанная с Китаем, активно использует две уязвимости в Ivanti Endpoint Manager Mobile (EPMM) для атак на организации в Европе, Северной Америке и Азиатско-Тихоокеанском регионе. Какие уязвимости эксплуатируются? CVE-2025-4427 (5.3 CVSS) и CVE-2025-4428 (7.2 CVSS) позволяют выполнять произвольный код без аутентификации. Уязвимости были исправлены Ivanti на прошлой неделе, но атаки начались ещё 15 мая 2025 года. Кто стоит за атаками? Группа UNC5221 известна атаками на сетевые устройства и ранее использовала уязвимости в SAP NetWeaver (CVE-2025-31324). Как работает атака? Взлом через API Хакеры атакуют эндпоинт /mifs/rs/api/v2/, получая обратную оболочку (reverse shell). Загрузка вредоносного ПО Используется KrustyLoader (Rust-лоадер) для доставки дополнительных payload-ов, например, Sliver C2. Кража данных из базы EPMM Через жестко прописанные MySQL-креды злоумышленники получают доступ к данным: Управляемым мобильным устройствам Учетным записям LDAP Токенам Office 365 Разведка и перемещение по сети Применяются замаскированные shell-команды и Fast Reverse Proxy (FRP) — популярный у китайских хакеров инструмент. Какие отрасли под ударом? Здравоохранение Телекоммуникации Авиация Финансовый сектор Государственные учреждения Оборона Связь с другими китайскими операциями: Обнаружен C2-сервер (146.70.87[.]67:45020), ранее использовавшийся бекдором Auto-Color, который атаковал университеты и госструктуры в 2024 году.