勒索软件团伙加入了正在进行的 SAP NetWeaver 攻击,利用最高严重性漏洞,允许攻击者在易受攻击的服务器上执行远程代码。
SAP于 4 月 24 日发布了紧急补丁,以解决此 NetWeaver Visual Composer 未经身份验证的文件上传安全漏洞 ( CVE-2025-31324 ),几天前,网络安全公司 ReliaQuest 首次将此漏洞标记为野外攻击目标。
成功利用该漏洞,攻击者无需登录凭证即可上传恶意文件,从而可能导致系统完全崩溃。
今天, ReliaQuest 在对其原始公告的更新中 透露 , RansomEXX 和 BianLian 勒索软件行动也加入了这些攻击,尽管没有成功部署勒索软件负载。
该网络安全公司表示:“持续分析发现,有证据表明俄罗斯勒索软件组织‘BianLian’和‘RansomEXX’勒索软件家族(微软追踪其编号为‘Storm-2460’)的运营者参与了此次攻击。这些发现表明,多个威胁组织对利用此漏洞表现出了广泛的兴趣。”
ReliaQuest 根据勒索软件团伙运营者过去用于托管其一台命令与控制 (C2) 服务器的 IP 地址,将 BianLian 与至少一起事件“中等程度地”联系起来。
在 RansomEXX 攻击中,攻击者部署了该团伙的 PipeMagic 模块化后门,并利用了与此勒索软件操作相关的先前事件中滥用的CVE-2025-29824 Windows CLFS 漏洞。
ReliaQuest 补充道:“该恶意软件是在 helper.jsp 和 cache.jsp webshell 被全球利用后数小时部署的。虽然初次尝试失败,但后续攻击利用内联 MSBuild 任务执行部署了 Brute Ratel C2 框架。”
Forescout Vedere Labs 安全研究人员还将这些正在进行的攻击与他们追踪的某国攻击者 Chaya_004 联系起来,而 EclecticIQ周二报告称,另外三个某国 APT(即 UNC5221、UNC5174 和 CL-STA-0048)也将未针对 CVE-2025-31324 修补的 NetWeaver 实例作为目标。
根据在其中一台攻击者的不安全服务器上的可公开访问目录中发现的暴露文件,Forescout 表示他们已经对至少 581 个 SAP NetWeaver 实例(包括英国、美国和沙特阿拉伯的关键基础设施)植入了后门,并计划攻击另外 1,800 个域名。
Forescout 表示:“对这些系统的持久后门访问为与某国结盟的 APT 提供了立足点,可能实现某国的战略目标,包括军事、情报或经济优势。”
被入侵的 SAP 系统还与工业控制系统 (ICS) 的内部网络高度连接,这带来了横向移动的风险,可能会导致服务中断或长期间谍活动。
周一,SAP 还修补了第二个 NetWeaver 漏洞 ( CVE-2025-42999 ),该漏洞早在 3 月份就作为零日漏洞与这些攻击关联,可远程执行任意命令。
为了阻止入侵尝试,SAP 管理员应立即修补其 NetWeaver 服务器,如果无法升级,则考虑禁用 Visual Composer 服务。此外,强烈建议限制对元数据上传服务的访问,并监控其服务器上的可疑活动。
两周前,CISA将CVE-2025-31324 漏洞添加到其已知被利用的漏洞目录中,要求联邦机构在 5 月 20 日之前按照具有约束力的操作指令 (BOD) 22-01的要求保护其服务器。
原文始发于微信公众号(犀牛安全):勒索软件团伙加入正在进行的 SAP NetWeaver 攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/4104721.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论