【安全资讯】单一威胁行为体主导近期Ivanti EPMM漏洞大规模利用活动

概要：

近期，针对Ivanti端点管理器移动版（EPMM）中两个关键零日漏洞的大规模远程代码执行攻击活动引起了广泛关注。威胁情报显示，超过83%的攻击流量源自同一个威胁行为体，凸显了高级持续性威胁（APT）活动的集中性和自动化特征。这一事件不仅暴露了企业移动管理系统的安全风险，也揭示了攻击者利用防弹基础设施进行多漏洞协同攻击的新趋势。

主要内容：

威胁情报公司GreyNoise监测发现，在2026年2月1日至9日期间，针对Ivanti EPMM中CVE-2026-21962和CVE-2026-24061两个关键漏洞的417次攻击会话中，有高达83%源自单一IP地址193[.]24[.]123[.]42。该地址托管于被标记为“防弹”自治系统的PROSPERO OOO网络，此类基础设施常被攻击者用于规避封锁。

攻击的核心技术在于利用这两个未经验证即可注入代码的漏洞实现远程代码执行。攻击者大量使用OAST风格的DNS回调来验证命令执行能力，这是初始访问代理活动的典型特征。值得注意的是，该主要攻击IP并未出现在公开的威胁指标列表中，这意味着仅依赖公开情报进行防御的组织很可能遗漏最主要的攻击源。

该威胁行为体的活动呈现出高度自动化和多目标特征。除了攻击Ivanti，同一IP还同时利用Oracle WebLogic、GNU Inetutils Telnetd和GLPI中的其他三个漏洞，并在攻击中轮换使用三百个用户代理以规避检测。其中对Oracle WebLogic漏洞的利用会话高达2902次，规模远超其他目标。

Ivanti已发布临时修复程序，但完整补丁需等待EPMM 12.8.0.0版本发布。目前建议受影响用户采用RPM包进行缓解，或构建新的EPMM实例并迁移数据。此事件表明，针对企业关键基础设施的协同漏洞利用攻击正变得日益频繁和自动化，防御方需超越公开威胁指标，加强对异常网络流量和防弹主机行为的监控。