Fidye yazılımı çeteleri, devam eden SAP netweaver saldırılarına katıldı ve tehdit aktörlerinin savunmasız sunucularda uzaktan kod yürütülmesini sağlayan maksimum-şiddetli bir güvenlik açığından yararlandı.
SAP, bu NetWeaver Visual Composer’ın kimliği doğrulanmamış dosya yükleme güvenlik kusurunu (CVE-2025-31324) ele almak için 24 Nisan’da acil durum yamalarını yayınladı.
Başarılı sömürü, tehdit aktörlerinin oturum açma kimlik bilgileri gerektirmeden kötü amaçlı dosyalar yüklemesini sağlar ve potansiyel olarak tam sistem uzlaşmasına yol açar.
Bugün, orijinal danışmanlıklarına yapılan bir güncellemede Reliaquest bunu ortaya çıkardı Ransomexx ve Bianlian fidye yazılımı operasyonları da bu saldırılara katıldı.
Siber güvenlik firması, “Sürekli analiz, Rus fidye yazılımı grubu ‘Bianlian’ ve ‘Ransomexx’ fidye yazılımı ailesinin (Microsoft tarafından ‘Storm-2460’ olarak izlendi) operatörlerinden katılım gösteren kanıtları ortaya çıkardı.” Dedi. Diyerek şöyle devam etti: “Bu bulgular, birden fazla tehdit grubundaki bu kırılganlığı kullanma konusundaki yaygın ilgiyi ortaya koymaktadır.”
Reliaquest, Bianlian’ı, fidye yazılım çetesinin operatörleri tarafından geçmişte kullanılan bir IP adresine dayanarak en az bir olaya “ılımlı güven” ile ilişkilendirdi.
Ransomexx saldırılarında, tehdit aktörleri çetenin pipemagik modüler arka kapısını konuşlandırdı ve CVE-2025-29824 Windows CLFS güvenlik açığı bu fidye yazılımı işlemiyle bağlantılı önceki olaylarda istismar etti.
Reliaquest, “Kötü amaçlı yazılım, Helper.jsp ve Cache.jsp webshells’i içeren küresel sömürüden sadece birkaç saat sonra konuşlandırıldı. İlk girişim başarısız olmasına rağmen, sonraki bir saldırı, satır içi MSBuild görev yürütülmesini kullanarak Brute Ratel C2 çerçevesinin konuşlandırılmasını içeriyordu.”
Çin hack grupları tarafından da sömürüldü
Vedere Labs güvenlik araştırmacıları, devam eden bu saldırıları Chaya_004 olarak izledikleri bir Çin tehdit oyuncusuna da bağlarken, Eclecticiq diğer üç Çin APT’ının (yani, UNC521, UNC5174 ve CL-STA-0048) de CVE-2025-31324) CVVE-2025-31324) ‘de CVE-2025-31324’ün açılmamış olduğunu hedeflediğini bildirdi.
Bu saldırganların teminatsız sunucularından birinde açıkça erişilebilir bir dizinde bulunan açık dosyalara dayanarak Forescout, en az 581 SAP NetWeaver örneği (Birleşik Krallık, Amerika Birleşik Devletleri ve Suudi Arabistan’daki kritik altyapı dahil) geri yüklediklerini ve başka bir 1.800 bölgeyi hedeflemeyi planladıklarını söylüyor.
Forescout, “Bu sistemlere kalıcılık arka kapı erişimi, Çin’e uyumlu APT’ler için bir dayanak sağlayarak Çin Halk Cumhuriyeti’nin (PRC) askeri, zeka veya ekonomik avantaj da dahil olmak üzere stratejik hedeflerini mümkün kılar.” Dedi.
Diyerek şöyle devam etti: “Uzaklaştırılmış SAP sistemleri, yanal hareket riskleri olan, potansiyel olarak uzun vadeli casuslukta hizmet aksamasına neden olan endüstriyel kontrol sisteminin (ICS) dahili ağına yüksek oranda bağlantılıdır.”
Pazartesi günü, SAP ayrıca bu saldırılara zincirlenmiş ikinci bir Netweaver güvenlik açığı (CVE-2025-42999), Mart ayında rasgele komutları uzaktan yürütmek için bir sıfır gün olarak zincirledi.
İhlal girişimlerini engellemek için SAP yöneticileri, bir yükseltme mümkün değilse hemen netweaver sunucularını düzeltmeli veya görsel besteci hizmetini devre dışı bırakmayı düşünmelidir. Meta veri yükleyici hizmetlerine erişimin kısıtlanması ve sunucularında şüpheli etkinlik izlemesi de çok tavsiye edilir.
CISA, iki hafta önce bilinen sömürülen güvenlik açıkları kataloğuna CVE-2025-31324 kusurunu ekledi ve federal ajansları 20 Mayıs’a kadar sunucularını 62-01 bağlamanın gerektirdiği şekilde güvence altına almayı zorunlu kıldı.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.