Οι συμμορίες ransomware έχουν ενταχθεί σε συνεχιζόμενες επιθέσεις SAP NetWeaver, εκμεταλλευόμενοι μια ευπάθεια μέγιστης διαχωρισμού που επιτρέπει στους ηθοποιούς απειλής να αποκτήσουν απομακρυσμένη εκτέλεση κώδικα σε ευάλωτους διακομιστές.
Το SAP κυκλοφόρησε τα μπαλώματα έκτακτης ανάγκης στις 24 Απριλίου για να αντιμετωπίσει αυτό το NetWeaver Visual Composer Unauthenticated File File File File File File File File File File File File File File File FilCVE-2025-31324), ημέρες μετά την πρώτη επισήμανση από την Cybersecurity Company Reliaquest ως στοχεύει στην άγρια φύση.
Η επιτυχής εκμετάλλευση επιτρέπει στους ηθοποιούς απειλής να ανεβάζουν κακόβουλα αρχεία χωρίς να απαιτούν διαπιστευτήρια σύνδεσης, ενδεχομένως να οδηγούν σε πλήρη συμβιβασμό του συστήματος.
Σήμερα, σε μια ενημέρωση για την αρχική τους συμβουλευτική, Ευσέβεια αποκαλυπτόμενος ότι Οι λειτουργίες Ransomexx και Bianlian ransomware έχουν επίσης ενταχθεί σε αυτές τις επιθέσεις.
“Η συνεχιζόμενη ανάλυση έχει αποκαλύψει στοιχεία που υποδηλώνουν τη συμμετοχή της ρωσικής ομάδας ransomware” Bianlian “και των χειριστών της οικογένειας Ransomware” Ransomexx “(που παρακολουθείται από τη Microsoft ως” Storm-2460 “)”, ανέφερε η εταιρεία Cybersecurity. “Αυτά τα ευρήματα αποκαλύπτουν ευρέως το ενδιαφέρον για την εκμετάλλευση αυτής της ευπάθειας σε πολλαπλές ομάδες απειλών”.
Η ReliaMecest συνδέει τον Bianlian με τουλάχιστον ένα περιστατικό με “μέτρια εμπιστοσύνη” βασισμένη σε μια διεύθυνση IP που χρησιμοποιείται από τους χειριστές της συμμορίας Ransomware στο παρελθόν για να φιλοξενήσει έναν από τους διακομιστές εντολών και ελέγχου (C2).
Στις επιθέσεις Ransomexx, οι ηθοποιοί απειλής ανέπτυξαν το Pipemagic Modular Backdoor της συμμορίας και εκμεταλλεύτηκαν το CVE-2025-29824 Windows CLFS ευπάθεια που κακοποιήθηκε σε προηγούμενα περιστατικά που συνδέονται με αυτή τη λειτουργία ransomware.
“Το κακόβουλο λογισμικό αναπτύχθηκε λίγες μόνο ώρες μετά την παγκόσμια εκμετάλλευση που αφορούσε το helper.jsp και το cache.jsp webshells.
Επίσης εκμεταλλεύονται οι κινεζικές ομάδες πειρατείας
Οι ερευνητές ασφαλείας του Forescout Vedere Labs συνδέουν επίσης αυτές τις συνεχιζόμενες επιθέσεις με έναν κινεζικό ηθοποιό απειλής που παρακολουθούν ως Chaya_004, ενώ το Eclecticiq Αναφέρθηκε την Τρίτη Ότι τρεις άλλοι κινεζικοί APTs (δηλαδή, UNC5221, UNC5174 και CL-Sta-0048) στοχεύουν επίσης σε περιπτώσεις NetWeaver που δεν έχουν αντιστοιχιστεί κατά του CVE-2025-31324.
Με βάση τα εκτεθειμένα αρχεία που βρέθηκαν σε έναν ανοιχτά προσβάσιμο κατάλογο σε έναν από τους μη εξασφαλισμένους διακομιστές αυτών των επιτιθέμενων, ο Forescout αναφέρει ότι έχουν αναβαθμίσει τουλάχιστον 581 περιπτώσεις SAP Netweaver (συμπεριλαμβανομένης της κρίσιμης υποδομής στο Ηνωμένο Βασίλειο, στις Ηνωμένες Πολιτείες και στη Σαουδική Αραβία) και σχεδιάζουν να στοχεύσουν άλλους 1.800 τομείς.
“Η πρόσβαση στο backdoor σε αυτά τα συστήματα παρέχει μια θέση για την ευθυγράμμιση της Κίνας APTS, ενδεχομένως επιτρέποντας στρατηγικούς στόχους της Λαϊκής Δημοκρατίας της Κίνας (ΛΔΚ), συμπεριλαμβανομένου του στρατιωτικού, της νοημοσύνης ή του οικονομικού πλεονεκτήματος”, δήλωσε ο Forescout.
“Τα συμβιβασμένα συστήματα SAP συνδέονται επίσης με το εσωτερικό δίκτυο του συστήματος βιομηχανικού ελέγχου (ICS), το οποίο δημιουργεί κινδύνους πλευρικής κίνησης, που ενδεχομένως προκαλούν διακοπή της υπηρεσίας σε μακροχρόνια κατασκοπεία”.
Τη Δευτέρα, η SAP έχει επίσης επιδιορθώσει μια δεύτερη ευπάθεια NetWeaver (CVE-2025-42999) αλυσοδεμένος σε αυτές τις επιθέσεις ως μηδενική ημέρα ήδη από τον Μάρτιο για να εκτελέσει αυθαίρετες εντολές από απόσταση.
Για να εμποδίσουν τις προσπάθειες παραβίασης, οι διαχειριστές SAP θα πρέπει να διορθώσουν αμέσως τους διακομιστές NetWeaver τους ή να εξετάσουν την απενεργοποίηση της υπηρεσίας οπτικής συνθέτη εάν δεν είναι δυνατή η αναβάθμιση. Ο περιορισμός της πρόσβασης στις υπηρεσίες μεταφόρτωσης μεταδεδομένων και η παρακολούθηση για ύποπτη δραστηριότητα στους διακομιστές τους είναι επίσης ιδιαίτερα ενδεδειγμένοι.
Κίζα προστέθηκε το ελάττωμα CVE-2025-31324 Γνωστή εκμετάλλευση τρωτών σημείων καταλόγου Πριν από δύο εβδομάδες, η εντολή των ομοσπονδιακών οργανισμών για την εξασφάλιση των διακομιστών τους μέχρι τις 20 Μαΐου, όπως απαιτείται από Δεσμευτική επιχειρησιακή οδηγία (BOD) 22-01.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
