Qilin, kamu açıklamasından haftalar önce SAP Zero-Day Güvenlik Açığı’ndan yararlanır


OP Innovate’deki siber güvenlik uzmanları, SAP Netweaver görsel bestecisinde kritik bir sıfır gün kırılganlığı olan CVE-2025-31324’ün kamuya açıklanmasından yaklaşık üç hafta önce aktif olarak sömürüldüğüne dair kanıtlar ortaya koydu.

/Geliştirme Seri /MetaTauploader uç noktasında bulunan bu kusur, uygun kimlik doğrulama ve yetkilendirme kontrollerinden yoksundur ve kimlik doğrulanmamış saldırganların web kabukları gibi kötü amaçlı dosyalar yüklemesini sağlar ve potansiyel uzaktan kod yürütülmesine yol açar.

SAP tarafından 10.0 CVSS puanı ile derecelendirilen güvenlik açığının sömürü kolaylığı ve ciddi etkisi, onu tehdit aktörleri için birincil hedef haline getirmiştir.

– Reklamcılık –
Google Haberleri

Güvenlik topluluğu başlangıçta sömürünün ifşa sonrası başladığına inanıyor olsa da, bu bulgu sofistike saldırganların, özellikle Rusça konuşan Qilin Hizmet Olarak Fidye Yazılımı (RAAS) grubunun, bu kritik kusura erken erişim sağladığını ve yamalar veya uyarılar mevcut olmadan uzun süre büyük bir işletme ortamında sömürdüğünü gösteriyor.

Erken sömürü ortaya çıkarıldı

Küresel bir işletme için bir olay yanıtı sırasında, OP Innovate’in adli analizi CVE-2025-31324’ü hedefleyen iki farklı sömürü denemesi ortaya koydu.

Birinci, açıklama, savunmasız uç noktaya erişmek için yanlış yapılandırılmış bir yük dengeleyicisini kullanan saldırganları içeriyordu ve JSP tabanlı web kabuklarını uzaktan kod yürütme için SAP IRJ dizinine yükledi.

Saldırganlar, Kobalt Strike Komuta ve Kontrol (C2) altyapısı ile giden iletişimi başlattılar ve IPS’den, Qilin’in 184.174.96.74 gibi bilinen altyapısına doğrudan bağlı IPS’den bir ters çorap tünelleme aracı Rs64c.exe’yi başlatmaya çalıştı.

Endonezya’nın Ulusal Siber ve Kripto Ajansı (BSSN) bülteninin eşleşmesi, Qilin tarafından kullanılan aynı dosya yollarını ve IP adreslerini vurgulayarak bu bağları daha da doğruladı.

Sıfır gün güvenlik açığı
Qilin altyapısı olarak SSN Bülten

Qilin’in taktik oyunu ve savunma kazanır

Çıkarılmamış bir aktörün ikinci bir açıklama girişimi benzer bir model izledi, ancak farklı altyapı kullandı.

Neyse ki, sağlam savunma kontrolleri C2 trafiğinin güvenlik duvarı engellemesini ve yüklerin uç nokta algılama ve yanıt (EDR) karantinası, her iki durumda da yürütmeyi, yanal hareketi veya veri eklemesini önledi.

Başarılı başlangıç ​​erişimine rağmen, saldırganların sömürü sonrası çabaları engellendi ve vahşi günlerde sıfır gün sömürüsüne nadir bir bakış sunuyor ve Qilin’in fidye yazılımı evrelemesi için SAP gibi kurumsal orta yazılımları hedefleme stratejisini vurguladı.

OP Innovate ayrıca, SAP sistemlerinde bu tür serileştirme kusurlarını tespit etmek için özel bir WASP tarayıcısı geliştirdi, bu da şimdi savunmasız örnekleri aktif olarak tarıyor.

Uzlaşma temel göstergeleri (IOCS)

IOC Türü IOC Karma türü Tanım Notalar
Dosya karma D1C43F8DB230BDF18C61D672440EBA12 MD5 Eski Yürütülebilir (Test.exe) C: \ ProgramData \ Temp.exe’ye indirildi
Dosya karma 6914b1f5b684341fafdfaa9d57818b9 MD5 Yeni Yürütülebilir (Test.exe) C: \ ProgramData \ temp_new.exe olarak indirildi
IP adresi 184.174.96.70 Bilinen Qilin C2 veya yük ana bilgisayarı BSSN Bülteninde listelenmiştir
IP adresi 184.174.96.74 Rs64c.exe için IP sahneleme Ters tünelini indirmek için kullanılır
IP adresi 180.131.145.73 Qilin ile ilişkili C2 IP Hedef sistemden iletişim kurma
Url http://184.174.96.74/rs64c.exe Ters Çoraplar için URL’yi İndir 5 Tunneler Qilin bağlantılı IP’de barındırıldı
Dosya Adları Random12.jsp, xxkmszdm.jsp, ran_new.jsp, vb. Randomize JSP web mermileri SAP kök yoluna yüklendi

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link