Две киберпреступные группы, BianLian и RansomExx, нашли способ использовать уязвимость в SAP NetWeaver, что подтверждает растущую угрозу кибербезопасности. Обе группы активно используют эту уязвимость, что привлекает внимание специалистов в области кибербезопасности.
Фирма ReliaQuest опубликовала обновление, в котором подробно описала действия BianLian и RansomExx, предоставив доказательства их участия в кибератаках. В частности, было установлено, что BianLian связана с определенными IP-адресами, через которые они осуществляют свои операции.
Анализ IP-адресов показал, что сервер по адресу 184.174.96.74 хостит обратные прокси-сервисы, связанные с BianLian. Этот сервер также соединен с другим IP-адресом 184.174.96.70, который был помечен как сервер командования и управления (C2), ассоциированный с BianLian.
Среди наблюдений ReliaQuest было зафиксировано развертывание трояна под названием PipeMagic, использованного в сочетании с уязвимостью, позволяющей эскалацию привилегий. Эта уязвимость идентифицирована как CVE-2025-29824 и затрагивает систему Windows Common Log File System (CLFS). Уязвимость использовалась в ограниченных атаках, нацеленных на организации в США, Венесуэле, Испании и Саудовской Аравии.
В одной из атак был использован фреймворк Brute Ratel C2, который осуществлял выполнение встроенных задач MSBuild. В результате был запущен процесс dllhost.exe, что указывает на эксплуатацию уязвимости CLFS.
Дополнительно, компания EclecticIQ сообщила, что несколько китайских хакерских групп, таких как UNC5221, UNC5174 и CL-STA-0048, также используют уязвимость CVE-2025-31324. Эти группы представляют собой нарастающую угрозу в киберпространстве.
Согласно отчету Onapsis, с марта 2025 года злоумышленники эксплуатируют как CVE-2025-31324, так и уязвимость десериализации CVE-2025-42999. Новый патч, выпущенный для устранения основной причины CVE-2025-31324, незначительно меняет ситуацию с точки зрения потенциальной эксплуатации.
Важно отметить, что уязвимость CVE-2025-29824 связана с эскалацией привилегий, в то время как CVE-2025-31324 активно используется в атаках. В то же время CVE-2025-42999 представляет собой проблему десериализации, что также требует внимания специалистов по кибербезопасности.
Таким образом, действия киберпреступных групп, таких как BianLian и RansomExx, подчеркивают важность оперативного реагирования на уязвимости и необходимость своевременных патчей для защиты от этих угроз.
Изображение носит иллюстративный характер
Фирма ReliaQuest опубликовала обновление, в котором подробно описала действия BianLian и RansomExx, предоставив доказательства их участия в кибератаках. В частности, было установлено, что BianLian связана с определенными IP-адресами, через которые они осуществляют свои операции.
Анализ IP-адресов показал, что сервер по адресу 184.174.96.74 хостит обратные прокси-сервисы, связанные с BianLian. Этот сервер также соединен с другим IP-адресом 184.174.96.70, который был помечен как сервер командования и управления (C2), ассоциированный с BianLian.
Среди наблюдений ReliaQuest было зафиксировано развертывание трояна под названием PipeMagic, использованного в сочетании с уязвимостью, позволяющей эскалацию привилегий. Эта уязвимость идентифицирована как CVE-2025-29824 и затрагивает систему Windows Common Log File System (CLFS). Уязвимость использовалась в ограниченных атаках, нацеленных на организации в США, Венесуэле, Испании и Саудовской Аравии.
В одной из атак был использован фреймворк Brute Ratel C2, который осуществлял выполнение встроенных задач MSBuild. В результате был запущен процесс dllhost.exe, что указывает на эксплуатацию уязвимости CLFS.
Дополнительно, компания EclecticIQ сообщила, что несколько китайских хакерских групп, таких как UNC5221, UNC5174 и CL-STA-0048, также используют уязвимость CVE-2025-31324. Эти группы представляют собой нарастающую угрозу в киберпространстве.
Согласно отчету Onapsis, с марта 2025 года злоумышленники эксплуатируют как CVE-2025-31324, так и уязвимость десериализации CVE-2025-42999. Новый патч, выпущенный для устранения основной причины CVE-2025-31324, незначительно меняет ситуацию с точки зрения потенциальной эксплуатации.
Важно отметить, что уязвимость CVE-2025-29824 связана с эскалацией привилегий, в то время как CVE-2025-31324 активно используется в атаках. В то же время CVE-2025-42999 представляет собой проблему десериализации, что также требует внимания специалистов по кибербезопасности.
Таким образом, действия киберпреступных групп, таких как BianLian и RansomExx, подчеркивают важность оперативного реагирования на уязвимости и необходимость своевременных патчей для защиты от этих угроз.
