แฮกเกอร์โจมตีอุปกรณ์ Ivanti EPMM เพื่อติดตั้งแบ็คดอร์แบบ Dormant

แฮกเกอร์กำลังใช้ช่องโหว่บนอุปกรณ์ Ivanti Endpoint Manager Mobile (EPMM) อย่างต่อเนื่อง เพื่อติดตั้งแบ็คดอร์ชนิด ‘dormant’ ที่สามารถซ่อนตัวอยู่ได้นานหลายวันหรือหลายสัปดาห์ก่อนถูกใช้งาน การโจมตีนี้เกิดขึ้นหลังจาก Ivanti เปิดเผยช่องโหว่ร้ายแรงสองรายการ ได้แก่ CVE-2026-1281 (การข้ามการยืนยันตัวตน) และ CVE-2026-1340 (การเรียกใช้โค้ดจากระยะไกล) ผู้โจมตีจะฝังไฟล์คลาส Java ที่เข้ารหัส Base64 (เช่น ‘base.Info’) ซึ่งทำหน้าที่เป็นตัวโหลดคลาสในหน่วยความจำ โดยจะรอคำขอ ‘เปิดใช้งาน’ ในภายหลังเพื่อโหลดคลาสสเตจที่สองโดยตรงในหน่วยความจำโดยไม่แตะต้องดิสก์ รูปแบบการโจมตีนี้ชี้ให้เห็นถึงพฤติกรรมของ Initial Access Broker ที่มักจะสร้างการเข้าถึงไว้ก่อนแล้วจึงขายต่อหรือนำไปใช้ประโยชน์ในภายหลัง Shadowserver ตรวจพบ IP ที่ถูกโจมตีแล้ว 56 รายการเมื่อวันที่ 2026-02-06

Severity: วิกฤต

System Impact:

• อุปกรณ์ Ivanti Endpoint Manager Mobile (EPMM)

Technical Attack Steps:

1. แฮกเกอร์ใช้ช่องโหว่ Ivanti EPMM (CVE-2026-1281 และ CVE-2026-1340) เพื่อเข้าถึงระบบโดยไม่ผ่านการยืนยันตัวตน
2. จากนั้นจะปล่อยไฟล์คลาส Java ที่เข้ารหัส Base64 (เช่น ‘base.Info’) ไปยังพาธ ‘/mifs/403.jsp’ บนอุปกรณ์
3. ไฟล์คลาสนี้ทำหน้าที่เป็นตัวโหลดคลาสแบบ ‘dormant’ ที่ทำงานในหน่วยความจำ
4. ตัวโหลดจะรอคำขอ HTTP ที่มีพารามิเตอร์ชื่อ ‘k0f53cf964d387’ เพื่อเปิดใช้งาน
5. เมื่อเปิดใช้งาน จะถอดรหัส (หลังจากตัดอักขระสองตัวแรกออก) และโหลดคลาส Java สเตจที่สองเข้าสู่หน่วยความจำโดยตรง โดยไม่จำเป็นต้องเขียนลงดิสก์
6. ตัวโหลดจะเก็บข้อมูลการตรวจสอบระบบโฮสต์ (เช่น user.dir, filesystem roots, OS name, username) และส่งข้อมูลนั้นไปยังคลาสสเตจที่สอง
7. ผลลัพธ์จากคลาสที่โหลดจะถูกส่งกลับไปยังผู้ร้องขอ โดยถูกล้อมรอบด้วยตัวคั่น ‘3cd3d’ และ ‘e60537’ ในรูปแบบ ‘text/html’

Recommendations:

Short Term:

• อัปเดตแพตช์ Ivanti EPMM ทันทีตามคำแนะนำของ Ivanti
• รีสตาร์ทแอปพลิเคชันเซิร์ฟเวอร์ที่ได้รับผลกระทบ เพื่อล้างอิมแพลนต์ในหน่วยความจำ
• ตรวจสอบบันทึก (logs) สำหรับคำขอที่ไปยัง ‘/mifs/403.jsp’ โดยเฉพาะที่มีพารามิเตอร์ ‘k0f53cf964d387’
• ค้นหาการตอบกลับที่มีคู่ตัวคั่น ‘3cd3d’ และ ‘e60537’
• พิจารณาการตรวจพบว่าเป็นเหตุการณ์ที่ละเอียดอ่อนด้านเวลา แม้ว่าสภาพแวดล้อมจะดูเสถียรก็ตาม

Long Term:

Source: https://cybersecuritynews.com/ivanti-epmm-devices-exploited/