Nejméně dvě různé hackerské skupiny, BianLian a RansomExx, údajně zneužily nedávno zveřejněnou bezpečnostní chybu v SAP NetWeaver, označovanou jako CVE-2025-31324, což naznačuje, že více útočníků využívá tuto zranitelnost.
Kyberbezpečnostní společnost ReliaQuest ve své nové zprávě uvedla, že odhalila důkazy naznačující zapojení skupiny BianLian, která se specializuje na vydírání dat, a rodiny ransomwaru RansomExx, kterou Microsoft sleduje pod označením Storm-2460.
BianLian je podle analýzy zapojen do alespoň jednoho incidentu na základě propojení infrastruktury s IP adresami, které byly dříve identifikovány jako patřící této e-kriminální skupině.
„Identifikovali jsme server na adrese 184[.]174[.]96[.]74, který hostil reverzní proxy služby spuštěné souborem rs64.exe,“ uvedla společnost. „Tento server souvisí s další IP adresou, 184[.]174[.]96[.]70, provozovanou stejným poskytovatelem hostingu. Druhá IP byla dříve označena jako server pro řízení a kontrolu (C2) spojený s BianLian, přičemž sdílela identické certifikáty a porty.“
ReliaQuest dále zaznamenal nasazení trojanu založeného na pluginech s názvem PipeMagic, který byl nedávno použit v souvislosti se zneužitím zero-day zranitelnosti pro eskalaci oprávnění (CVE-2025-29824) v systému Windows Common Log File System (CLFS) při omezených útocích na subjekty v USA, Venezuele, Španělsku a Saúdské Arábii.
Útoky zahrnovaly doručení PipeMagic prostřednictvím webových shellů, které byly nasazeny po zneužití zranitelnosti SAP NetWeaver.
„Ačkoli počáteční pokus selhal, následný útok zahrnoval nasazení frameworku Brute Ratel C2 pomocí inline spouštění úlohy MSBuild,“ uvedl ReliaQuest. „Během této aktivity byl spuštěn proces dllhost.exe, což signalizovalo zneužití zranitelnosti CLFS (CVE-2025-29824), kterou skupina již dříve zneužila, přičemž tentokrát šlo o nový pokus využít ji pomocí inline assembleru.“
Tato zjištění přicházejí den poté, co společnost EclecticIQ zveřejnila, že několik čínských hackerských skupin, sledovaných pod označeními UNC5221, UNC5174 a CL-STA-0048, aktivně zneužívá CVE-2025-31324 k nasazení různých škodlivých kódů.
Bezpečnostní firma Onapsis zaměřená na SAP odhalila, že útočníci zneužívají CVE-2025-31324 také spolu s chybou deserializace ve stejném komponentu (CVE-2025-42999) již od března 2025, přičemž nový patch opravuje hlavní příčinu CVE-2025-31324.
„Mezi CVE-2025-31324 a CVE-2025-42999 není v praxi velký rozdíl, dokud je CVE-2025-31324 stále zneužitelná,“ uvedl ReliaQuest ve svém prohlášení.
Zdroj: The Hacker News
Zdroj: IT SECURITY NETWORK NEWS
