En az iki farklı siber suç grubu Bianlian ve Ransomexx’in SAP NetWeaver’da yakın zamanda açıklanan bir güvenlik kusurundan yararlandığı söyleniyor, bu da birden fazla tehdit aktörünün hatadan faydalandığını gösteriyor.
Siber güvenlik firması Reliaquest, bugün yayınlanan yeni bir güncellemede, Bianlian Veri Gazetme ekibinden ve Microsoft tarafından Microsoft tarafından izlenen Ransomexx Ransomware ailesinden katılım gösteren kanıtları ortaya çıkardığını söyledi.
Bianlian, daha önce e-suç grubuna atfedilen IP adreslerine altyapı bağlantılarına dayanan en az bir olaya dahil olduğu değerlendirilmektedir.
“184’te bir sunucu belirledik[.]174[.]96[.]74 Rs64.exe yürütülebilir tarafından başlatılan ters proxy hizmetlerine ev sahipliği yapmak, “dedi şirket.” Bu sunucu başka bir IP ile ilgilidir, 184[.]174[.]96[.]70, aynı barındırma sağlayıcısı tarafından işletilmektedir. İkinci IP daha önce Bianlian ile ilişkili bir komut ve kontrol (C2) sunucusu olarak işaretlenmiş, özdeş sertifikaları ve bağlantı noktalarını paylaşmıştı. “
Reliaquest, en son ABD, Venezuela Dosya Sistemi’nde (CVE-2025-29824), ABD, Venezuela Dosya Sistemi’nde (CVE-2025-29824), ABD, Venezuela Dosya Sistemi’nde (CVE-2025-29824), ABD, Venezuela Dosya Sistemi’ndeki (CVE-2025-29824), ABD, Venezuela Dosyası ve Saude’deki sınırlı saldırıları hedefleyen sınırlı saldırılarda konuşlandırılmasını gözlemlediğini söyledi.
Saldırılar, SAP netweaver kusurunun sömürülmesinin ardından düşen web mermileri aracılığıyla pipemagik verilmesini içeriyordu.
Reliaquest, “İlk girişim başarısız olmasına rağmen, sonraki bir saldırı, satır içi MSBuild görev yürütülmesini kullanarak Brute Ratel C2 çerçevesinin konuşlandırılmasını içeriyordu.” Dedi. “Bu etkinlik sırasında, grubun daha önce sömürdüğü CLFS güvenlik açığının (CVE-2025-29824) sömürülmesini işaret eden bir DLLHost.exe süreci ortaya çıktı, bu da onu satır montajı yoluyla sömürmek için yeni bir girişim.”
Bulgular, Eclecticiq’in UNC5221, UNC5174 ve CL-S-Sta-0048 olarak izlenen birden fazla Çin hack grubunun, çeşitli kötü niyetli yükleri düşürmek için CVE-2025-31324’ü aktif olarak kullandığını açıklamasından bir gün sonra geliyor.
SAP Security Company Onapsis, tehdit aktörlerinin Mart 2025’ten bu yana aynı bileşende (CVE-2025-42999) bir seimleştirme kusurunun yanı sıra CVE-2025-31324’ü de kullandıklarını ortaya koydu ve yeni yama ekleyerek CVE-2025-31324’ün kök nedenini düzeltti.
Reliaquest, “CVE-2025-31324 ve CVE-2025-31324 sömürü için mevcut olduğu sürece CVE-2025-31324 ve CVE-2025-42999 arasında çok az pratik fark var.” Dedi.
“CVE-2025-42999, daha yüksek ayrıcalıkların gerekli olacağını gösterir, ancak CVE-2025-31324 tam sistem erişimi ne olursa olsun, bir tehdit oyuncusu da aynı şekilde kimlik doğrulamalı ve yetkili olmayan bir kullanıcıdaki güvenlik açıklarından yararlanabilir. Bu nedenle, her iki CVVE için de aynıdır.”