Уязвимость в Ivanti открыла двери: китайские хакеры атаковали госучреждения по всему миру

Хакерская группировка UNC5221, предположительно связанная с Китаем, активно использует критическую уязвимость CVE-2025-4428 в системе управления мобильными устройствами Ivanti EPMM. По данным компании EclecticIQ, атаки начались уже 15 мая — спустя два дня после публикации патча, что говорит о высокой скорости реагирования злоумышленников. Об этом сообщает BleepingComputer.

Уязвимость позволяет удалённо выполнять произвольный код через специально сформированные API-запросы в версиях Ivanti EPMM до 12.5.0.0. Её сопровождала ещё одна брешь — обход аутентификации (CVE-2025-4427). Обе были устранены 13 мая, однако, как признала сама Ivanti, к этому моменту злоумышленники уже воспользовались ими для ограниченного числа атак.

Эксперты EclecticIQ связывают волну атак с UNC5221 — группой, известной регулярным использованием «нулевых дней» в продуктах Ivanti. Злоумышленники, по словам исследователя Арды Бюйюккая, демонстрируют глубокое понимание архитектуры системы и целенаправленно ищут файлы с открытыми паролями MySQL и другими чувствительными данными.

В числе подтверждённых целей — учреждения здравоохранения в Великобритании и Северной Америке, исследовательские институты в Германии, мэрии в Скандинавии, японские и американские промышленные компании, а также крупная американская фирма в сфере кибербезопасности. Среди признаков компрометации — удалённое выполнение кода, выгрузка баз данных, внедрение вредоносного ПО и злоупотребление внутренними токенами Office 365.

После получения доступа злоумышленники проводили разведку в системах, выгружали данные в виде замаскированных .jpg-файлов и удаляли следы активности. На устройства жертв загружался троян KrystyLoader с удалённого сервера Amazon S3.

Специалисты подчёркивают: эксплойт начал использоваться почти сразу после публикации патча. Это подчёркивает необходимость срочной установки обновлений безопасности — особенно в инфраструктуре государственных и критически важных организаций.