网络安全公司ReliaQuest发布报告指出，至少两个网络犯罪团伙正在积极利用SAP NetWeaver的安全漏洞。BianLian和RansomExx等勒索软件家族被发现利用该漏洞进行攻击，其中BianLian团伙通过反向代理服务与命令控制服务器关联，并部署PipeMagic木马。攻击者利用SAP NetWeaver漏洞植入WebShell，并通过CLFS权限提升漏洞进行攻击。Onapsis补充称，自2025年3月以来，威胁分子同时利用CVE-2025-31324和CVE-2025-42999漏洞实施攻击。ReliaQuest强调，这两个漏洞的修复建议一致，因为CVE-2025-31324本身已能获取完整系统权限。

🛡️ ReliaQuest报告揭示，BianLian和RansomExx等网络犯罪团伙正在积极利用SAP NetWeaver的安全漏洞，表明该漏洞已成为多组威胁分子的目标。

💻 BianLian团伙被发现通过反向代理服务与命令控制服务器关联，并部署PipeMagic木马。研究人员通过基础设施关联，确认了BianLian至少参与了一起攻击事件，其服务器运行的rs64.exe程序负责反向代理服务。

🔓 攻击者利用SAP NetWeaver漏洞植入WebShell，并通过Windows通用日志文件系统（CLFS）权限提升漏洞（CVE-2025-29824）进行攻击，针对美国、委内瑞拉、西班牙和沙特阿拉伯实体发起定向攻击。

⚠️ Onapsis指出，自2025年3月以来，威胁分子同时利用CVE-2025-31324和CVE-2025-42999漏洞实施攻击。新补丁已修复CVE-2025-31324的根本原因。

💡 ReliaQuest强调，CVE-2025-31324与CVE-2025-42999的实际危害差异微乎其微，因为CVE-2025-31324本身已能获取完整系统权限，攻击者无论通过认证或非认证用户均能同样利用这两个漏洞，因此两者的修复建议完全一致。

HackerNews 编译，转载请注明出处：

网络安全公司ReliaQuest今日发布最新报告称，至少有两个网络犯罪团伙BianLian和RansomExx正在利用SAP NetWeaver近期披露的安全漏洞，表明多组威胁分子正在争相利用该漏洞。

ReliaQuest表示发现了BianLian数据勒索团伙和RansomExx勒索软件家族（微软追踪代号Storm-2460）的活动痕迹。通过基础设施关联，研究人员确认BianLian至少参与了一起攻击事件，其服务器184[.]174[.]96[.]74运行的rs64.exe程序负责反向代理服务，该IP与同一托管商运营的184[.]174[.]96[.]70存在关联，后者曾被标记为BianLian的命令控制（C2）服务器，两者共享相同的证书与端口配置。

研究人员还观察到名为PipeMagic的插件式木马被部署，该恶意软件近期通过Windows通用日志文件系统（CLFS）权限提升漏洞（CVE-2025-29824）的零日攻击，针对美国、委内瑞拉、西班牙和沙特阿拉伯实体发起定向攻击。攻击者通过利用SAP NetWeaver漏洞植入WebShell后投放PipeMagic木马。

“尽管首次攻击尝试失败，但后续攻击通过内联MSBuild任务执行部署了Brute Ratel C2框架，”ReliaQuest指出，“在此过程中生成的dllhost.exe进程表明攻击者试图再次利用CLFS漏洞（CVE-2025-29824），此次通过内联汇编技术发起新攻击。”

SAP安全公司Onapsis补充称，自2025年3月以来，威胁分子同时利用CVE-2025-31324漏洞及同组件的反序列化漏洞（CVE-2025-42999）实施攻击，新补丁已修复CVE-2025-31324的根本原因。

ReliaQuest在声明中强调：“只要CVE-2025-31324仍可被利用，其与CVE-2025-42999的实际危害差异微乎其微。尽管CVE-2025-42999需要更高权限，但CVE-2025-31324本身已能获取完整系统权限。攻击者无论通过认证或非认证用户均能同样利用这两个漏洞，因此两者的修复建议完全一致。”

 

 

 

---

消息来源： thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文