A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) divulgou na quinta-feira detalhes de dois conjuntos de malware encontrados na rede de uma organização não identificada.
A invasão ocorreu após a exploração de vulnerabilidades no Ivanti Endpoint Manager Mobile (EPMM).
Segundo a CISA, “cada conjunto contém loaders para listeners maliciosos que permitem a atores de ameaças executar código arbitrário no servidor comprometido”.
Essas falhas exploradas incluem as
CVE-2025-4427
e
CVE-2025-4428
, ambas aproveitadas como zero-days antes de serem corrigidas pela Ivanti em maio de 2025.
A
CVE-2025-4427
trata de um bypass de autenticação, que possibilita o acesso a recursos protegidos.
Já a
CVE-2025-4428
permite a execução remota de código (RCE).
Juntas, essas vulnerabilidades podem ser combinadas para executar código arbitrário em um dispositivo vulnerável sem necessidade de autenticação.
De acordo com a agência, os invasores acessaram o servidor que executava o EPMM por volta de 15 de maio de 2025, aproveitando um exploit proof-of-concept (PoC) publicado recentemente.
Com isso, os atacantes puderam executar comandos para coletar informações do sistema, baixar arquivos maliciosos, listar o diretório raiz, mapear a rede, rodar scripts para criar heapdumps e extrair credenciais via Lightweight Directory Access Protocol (LDAP).
Após uma análise mais aprofundada, a CISA identificou que os atacantes deixaram dois conjuntos de arquivos maliciosos no diretório “/tmp”, ambos capazes de garantir persistência ao injetar e executar código arbitrário no servidor comprometido:
- Conjunto 1: web-install.jar (Loader 1), ReflectUtil.class e SecurityHandlerWanListener.class
- Conjunto 2: web-install.jar (Loader 2) e WebAndroidAppInstaller.class
Os dois conjuntos possuem um loader que aciona um listener em Java, responsável por interceptar requisições HTTP específicas, decodificar e descriptografar payloads para execução posterior.
O arquivo ReflectUtil.class manipula objetos Java para injetar e gerenciar o listener malicioso SecurityHandlerWanListener no Apache Tomcat.
Esse listener intercepta requisições HTTP, decodifica e descriptografa os payloads, criando e executando dinamicamente novas classes.
Já o WebAndroidAppInstaller.class atua diferentemente, extraindo e descriptografando um parâmetro de senha presente na requisição, usando uma chave fixa embutida no código.
O conteúdo descriptografado define e implementa uma nova classe, cujo resultado é criptografado novamente com a mesma chave e enviado como resposta.
Na prática, esses mecanismos permitem que os invasores injetem e executem código arbitrário no servidor, mantendo acesso persistente, realizando atividades maliciosas contínuas e exfiltrando dados ao interceptar e processar requisições HTTP.
Para se proteger, as organizações devem atualizar suas instalações para a versão mais recente do Ivanti EPMM, monitorar sinais de atividade suspeita e aplicar restrições rigorosas para impedir acessos não autorizados a sistemas de gerenciamento de dispositivos móveis (MDM).
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...