ランサムウェア集団が現在進行中の SAP NetWeaver 攻撃に加わっており、脆弱なサーバー上でリモート・コードの実行を可能にする最大限の脆弱性を悪用している。
SAPは4月24日、このNetWeaver Visual Composerの未認証ファイルアップロードセキュリティ欠陥(CVE-2025-31324)に対処するための緊急パッチをリリースしました。
悪用に成功すると、脅威者はログイン認証情報を必要とせずに悪意のあるファイルをアップロードすることができ、システムの完全な侵害につながる可能性があります。
本日、ReliaQuestは 、当初の勧告を更新し、RansomEXXおよびBianLianランサムウェアのオペレーションもこれらの攻撃に加わっていることを明らかにしましたが、ランサムウェアのペイロードは正常に展開されませんでした。
継続的な分析により、ロシアのランサムウェアグループ “BianLian “と “RansomEXX “ランサムウェアファミリー(Microsoftによって “Storm-2460 “として追跡されている)の運営者の関与を示唆する証拠が発見された」とサイバーセキュリティ企業は述べている。「これらの調査結果は、複数の脅威グループがこの脆弱性を悪用することに広く関心を寄せていることを明らかにしている。
ReliaQuestは、ランサムウェア集団の運営者が過去にコマンド・アンド・コントロール(C2)サーバーの1つをホストするために使用したIPアドレスに基づいて、BianLianを少なくとも1つのインシデントに「中程度の信頼性」で関連付けた。
RansomEXX攻撃では、脅威行為者はギャングのPipeMagicモジュラーバックドアを展開し、このランサムウェアの操作に関連する以前のインシデントで悪用されたCVE-2025-29824 Windows CLFSの脆弱性を悪用しました。
「このマルウェアは、helper.jspとcache.jspのWebシェルを含むグローバルな悪用のわずか数時間後に展開されました。最初の試みは失敗しましたが、その後の攻撃では、インラインMSBuildタスク実行を使用したBrute Ratel C2フレームワークが展開されました」とReliaQuestは付け加えています。
中国のハッキンググループも悪用
Forescout Vedere Labs のセキュリティ研究者はまた、これらの進行中の攻撃と、彼らが Chaya_004 として追跡している中国の脅威行為者とを結びつけています。一方、EclecticIQ は火曜日に、他の 3 つの中国の APT(すなわち、UNC5221、UNC5174、および CL-STA-0048)も、CVE-2025-31324 のパッチが適用されていない NetWeaver インスタンスを標的としていると報告しました。
Forescoutによると、これらの攻撃者の安全が確保されていないサーバー上のオープンアクセス可能なディレクトリで発見された公開ファイルに基づき、彼らは少なくとも581のSAP NetWeaverインスタンス(英国、米国、サウジアラビアの重要なインフラを含む)をバックドア化しており、さらに1,800のドメインをターゲットにする計画であるとのことです。
「これらのシステムへの永続的なバックドアアクセスは、中国と連携するAPTの足がかりとなり、軍事、諜報、経済的優位性など、中華人民共和国(PRC)の戦略的目標を可能にする可能性があります」とForescoutは述べています。
“侵害されたSAPシステムは、産業制御システム(ICS)の内部ネットワークにも高度に接続されているため、横方向の移動リスクがあり、長期的なスパイ活動へのサービス中断を引き起こす可能性がある”
月曜日に、SAPはまた、リモートで任意のコマンドを実行するためのゼロデイとして3月の早い段階で、これらの攻撃で連鎖する第2のNetWeaverの脆弱性(CVE-2025-42999)にパッチを適用しました。
侵入の試みを阻止するために、SAPの管理者はNetWeaverサーバーに直ちにパッチを当てるか、アップグレードが不可能な場合はVisual Composerサービスを無効にすることを検討すべきである。メタデータ・アップローダ・サービスへのアクセスを制限し、サーバー上の不審な活動を監視することも強く推奨される。
CISAは2週間前、CVE-2025-31324の欠陥をKnown Exploited Vulnerabilities Catalogに 追加し、Binding Operational Directive (BOD) 22-01で義務付けられているように、連邦政府機関に5月20日までにサーバーの安全確保を義務付けている。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
攻撃の93%を支えるMITRE ATT&CK©テクニックのトップ10
1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。
Comments