CISA publie une analyse de listeners malveillants ciblant Ivanti EPMM via CVE‑2025‑4427/4428

CISA (U.S. Cybersecurity and Infrastructure Security Agency) publie le 18 septembre 2025 un Malware Analysis Report TLP:CLEAR (AR25‑261A) sur des « listeners » malveillants déployés sur des serveurs Ivanti Endpoint Manager Mobile (EPMM) compromis via les vulnérabilités CVE‑2025‑4427 et CVE‑2025‑4428, corrigées par Ivanti le 13 mai 2025 et ajoutées au KEV le 19 mai 2025.

— Contexte et portée

• Produits affectés : Ivanti EPMM versions 11.12.0.4 et antérieures, 12.3.0.1 et antérieures, 12.4.0.1 et antérieures, 12.5.0.0 et antérieures.
• Mode opératoire initial : exploitation en chaîne des failles via l’endpoint /mifs/rs/api/v2/ et le paramètre ?format= pour exécuter des commandes à distance, collecter des infos système, télécharger des fichiers, lister /, cartographier le réseau, créer un heapdump et extraire des identifiants LDAP.

— Fonctionnement du malware 🐛

• Ensemble 1 : un loader (Loader 1) charge ReflectUtil.class qui injecte un listener SecurityHandlerWanListener dans Apache Tomcat.
  • Le listener intercepte des requêtes HTTP avec « pass » 7c6a8867d728c3bb, entête Referer: https://www.live.com, décode Base64 et déchiffre en AES le payload, puis génère et exécute dynamiquement une classe pour exécuter du code arbitraire.
• Ensemble 2 : un loader (Loader 2) charge WebAndroidAppInstaller.class qui intercepte les requêtes HTTP de type application/x-www-form-urlencoded, récupère un paramètre « password », le décode Base64 et le déchiffre en AES avec la clé 3c6e0b8a9c15224a, définit/charge une classe malveillante, chiffre/encode la sortie et renvoie une réponse encodée avec un préfixe/suffixe MD5 dérivé.
• Livraison furtive : les JARs sont transférés en segments Base64 via plusieurs requêtes GET exploitant EL injection, reconstitués par append dans /tmp/web-install.jar pour évasion (chunking + contournement des limites de taille/signatures).

— Détection et indicateurs 🧪

• Règles fournies : YARA (5 règles) et SIGMA (règle incluant chemins, commandes et empreintes), plus un paquet d’IOCs téléchargeable (MAR-251126.r1.v1.CLEAR).
• Hashs (SHA256) clés :
  • Loader 1: c1f60ca5a5f7b94ab7122718a44b46de16c69d22c2eb62ce2948cab14bc78d50
  • ReflectUtil.class: 065c1c2fb17ba1c3f882bead409215df612673cd455698768ed71412f9190ba3
  • SecurityHandlerWanListener.class: b1b1cf33b8d3da35293d6b74c378f0cd9452a4351e26d07c896c4d9a8257ef89
  • Loader 2: b618057de9a8bba95440f23b9cf6374cc66f2acd127b3d478684b22d8f11e00b
  • WebAndroidAppInstaller.class: df501b238854d6579cafebeba82581a728e89ed1f6cd0da54c79ef4eb6f4f9fd
• Fichiers/chemins : /tmp/web-install.jar; classes ReflectUtil.class, SecurityHandlerWanListener.class, WebAndroidAppInstaller.class; endpoints /mifs/rs/api/v2/ et /mifs/rs/api/v2/featureusage.
• Sélecteurs HTTP/Clés : « pass » 7c6a8867d728c3bb; Referer: https://www.live.com; clé AES 3c6e0b8a9c15224a.
• Chemins surveillés (SIGMA) : /mi/tomcat/webapps/mifs/401.jsp, /mi/tomcat/webapps/mifs/css/css.css, /mi/tomcat/webapps/mifs/session.jsp, /mi/tomcat/webapps/mifs/baseURL.jsp.
• Adresses IP (SIGMA) : 82.132.235.212, 37.219.84.22, 88.194.29.21, 27.25.148.183, 83.229.126.234, 91.193.19.109, 47.120.74.19, 100.26.51.59, 150.241.71.231, 75.170.92.132, 5.181.159.149, 45.38.17.43.

— Tactiques, Techniques et Procédures (MITRE ATT&CK) 🔐

• T1027.004 — Obfuscated Files or Information: Compile After Delivery (segmentation Base64 + append)
• T1027.009 — Embedded Payloads (payload embarqué dans le JAR)
• T1027.013 — Encrypted/Encoded File (sortie chiffrée/encodée)
• T1036 — Masquerading (fausses namespaces org.apache.http / com.mobileiron.service)
• T1620 — Reflective Code Loading (injection de listener dans Tomcat)
• T1140 — Deobfuscate/Decode Files or Information (décodage Base64 + décompression gzip)
• T1071.001 — Application Layer Protocol: Web Protocols (C2 via HTTP)
• T1573.001 — Encrypted Channel: Symmetric Cryptography (AES avec clés codées en dur)

— Réponse et mitigations (extraites du rapport)

• Actions recommandées par CISA : isolement des hôtes suspects, collecte d’artefacts, image disque, réimagerie si nécessaire, et mise à niveau immédiate d’Ivanti EPMM vers la dernière version; considérer les MDM comme actifs à haute valeur avec restrictions et supervision accrues. Le rapport inclut une procédure de notification à CISA et des règles de détection prêtes à l’emploi.

Ce document est une analyse technique TLP:CLEAR visant à partager des IOCs, des règles de détection et des détails de fonctionnement du malware pour faciliter l’identification et l’atténuation.

🧠 TTPs et IOCs détectés

TTP

[‘T1027.004 — Obfuscated Files or Information: Compile After Delivery’, ‘T1027.009 — Embedded Payloads’, ‘T1027.013 — Encrypted/Encoded File’, ‘T1036 — Masquerading’, ‘T1620 — Reflective Code Loading’, ‘T1140 — Deobfuscate/Decode Files or Information’, ‘T1071.001 — Application Layer Protocol: Web Protocols’, ‘T1573.001 — Encrypted Channel: Symmetric Cryptography’]

IOC

{‘hashes’: [‘c1f60ca5a5f7b94ab7122718a44b46de16c69d22c2eb62ce2948cab14bc78d50’, ‘065c1c2fb17ba1c3f882bead409215df612673cd455698768ed71412f9190ba3’, ‘b1b1cf33b8d3da35293d6b74c378f0cd9452a4351e26d07c896c4d9a8257ef89’, ‘b618057de9a8bba95440f23b9cf6374cc66f2acd127b3d478684b22d8f11e00b’, ‘df501b238854d6579cafebeba82581a728e89ed1f6cd0da54c79ef4eb6f4f9fd’], ‘domains’: [‘https://www.live.com’], ‘ips’: [‘82.132.235.212’, ‘37.219.84.22’, ‘88.194.29.21’, ‘27.25.148.183’, ‘83.229.126.234’, ‘91.193.19.109’, ‘47.120.74.19’, ‘100.26.51.59’, ‘150.241.71.231’, ‘75.170.92.132’, ‘5.181.159.149’, ‘45.38.17.43’]}

---

🔗 Source originale : https://www.cisa.gov/news-events/analysis-reports/ar25-261a?_bhlid=31978a5314fdac135e534054ad2099eb310834d0