黑客利用 Ivanti EPMM 设备部署休眠后门

黑客正积极利用 Ivanti Endpoint Manager Mobile（EPMM）设备植入“休眠”后门，这类后门可闲置数天甚至数周不被激活。

Ivanti 近期披露了 EPMM 的两处高危漏洞——CVE-2026-1281 和 CVE-2026-1340，分别涉及不同程序包（aftstore 和 appstore）中的身份验证绕过与远程代码执行问题。

尽管涉及的程序包不同，但防御方面临的实际影响一致：攻击者可未经认证访问应用层端点。Ivanti 已在安全公告中发布缓解措施与补丁部署指南，但漏洞披露后不久便出现了在野利用行为。

Defusedcyber 观测到的与本次攻击浪潮相关的入侵事件中，漏洞成功利用后，攻击者都会在 /mifs/403.jsp 路径下留下恶意文件。该文件名与路径在针对 Ivanti/MobileIron 的攻击中并非首次出现，

不同之处在于恶意载荷的用途：攻击者并未部署可执行命令的交互式 WebShell，而是通过 HTTP 参数传输经 Base64 编码的 Java 类文件。

每个解码后的载荷均包含有效的 Java 字节码（以 CAFEBABE 类头标识），其作用是休眠式内存类加载器，而非可立即使用的后门。这一区别具有重要的实战意义：传统的 WebShell 检测通常以后续命令执行和文件系统痕迹为核心线索，而本次攻击中，攻击者的流程核心是“植入并验证”，而非“植入并立即操作”。

观测到的植入类为 base.Info（由 Info.java 编译而来），该类不提供文件浏览、命令执行功能，也无常规的操作控制台，仅等待后续的“激活”请求——该请求会传输第二个 Java 类，随后加载器将其直接在内存中运行。

值得注意的是，该加载器以 equals(Object) 方法作为入口点，而非 doGet、doPost 等标准 Servlet 方法，这一设计可规避简易检测规则；同时它会从传入的对象中提取 HttpServletRequest 和 HttpServletResponse 对象（并兼容 PageContext 及 Servlet 包装/外观模式），提升了在不同 Java Web 容器中的适配性。

移交控制权前，加载器会采集主机指纹信息（如 user.dir 路径、文件系统根目录、操作系统名称、用户名等），并将这些数据传递给第二阶段类，便于攻击者后续快速掌握目标主机情况。

Defusedcyber 观测到的所有案例中，加载器均已完成植入与验证，但未发现传输第二阶段类的后续请求。

这种“先植入、后操作”的模式符合初始访问中介（Initial Access Broker）的行为特征：一方大规模建立可靠的访问权限，另一方后续从不同基础设施利用这些权限牟利或发起攻击。

Shadowserver 观测到攻击者在 Ivanti EPMM 设备上部署 WebShell，推测是利用了 CVE-2026-1281 漏洞，扫描数据显示截至 2026 年 2 月 6 日已有 56 个 IP 地址的设备被攻陷。

防御建议

·     立即按照 Ivanti 指南为 EPMM 打补丁，随后重启受影响的应用服务器以清除内存中的植入程序（加载器全程无需写入磁盘，重启是关键清除手段）

·     检查日志中是否有针对 /mifs/403.jsp 的请求，尤其是包含 k0f53cf964d387 参数的请求

·     检测包含分隔符对 3cd3d 和 e60537 的响应内容

·     即便环境看似“稳定”，一旦检测到相关痕迹也需紧急处理——这些访问权限可能只是暂未激活。