![图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科威胁组织正在利用 SAP NetWeaver 漏洞投放 PipeMagic 木马](https://www.anquan114.com/wp-content/uploads/2025/05/20250515185654417-image.png)
网络安全公司ReliaQuest今日发布最新报告称,至少有两个网络犯罪团伙BianLian和RansomExx正在利用SAP NetWeaver近期披露的安全漏洞,表明多组威胁分子正在争相利用该漏洞。
ReliaQuest表示发现了BianLian数据勒索团伙和RansomExx勒索软件家族(微软追踪代号Storm-2460)的活动痕迹。通过基础设施关联,研究人员确认BianLian至少参与了一起攻击事件,其服务器184[.]174[.]96[.]74运行的rs64.exe程序负责反向代理服务,该IP与同一托管商运营的184[.]174[.]96[.]70存在关联,后者曾被标记为BianLian的命令控制(C2)服务器,两者共享相同的证书与端口配置。
研究人员还观察到名为PipeMagic的插件式木马被部署,该恶意软件近期通过Windows通用日志文件系统(CLFS)权限提升漏洞(CVE-2025-29824)的零日攻击,针对美国、委内瑞拉、西班牙和沙特阿拉伯实体发起定向攻击。攻击者通过利用SAP NetWeaver漏洞植入WebShell后投放PipeMagic木马。
“尽管首次攻击尝试失败,但后续攻击通过内联MSBuild任务执行部署了Brute Ratel C2框架,”ReliaQuest指出,“在此过程中生成的dllhost.exe进程表明攻击者试图再次利用CLFS漏洞(CVE-2025-29824),此次通过内联汇编技术发起新攻击。”
SAP安全公司Onapsis补充称,自2025年3月以来,威胁分子同时利用CVE-2025-31324漏洞及同组件的反序列化漏洞(CVE-2025-42999)实施攻击,新补丁已修复CVE-2025-31324的根本原因。
ReliaQuest在声明中强调:“只要CVE-2025-31324仍可被利用,其与CVE-2025-42999的实际危害差异微乎其微。尽管CVE-2025-42999需要更高权限,但CVE-2025-31324本身已能获取完整系统权限。攻击者无论通过认证或非认证用户均能同样利用这两个漏洞,因此两者的修复建议完全一致。”
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容