Ít nhất hai nhóm tội phạm mạng khác nhau là BianLian và RansomExx được cho là đã khai thác một lỗ hổng bảo mật mới được tiết lộ trong SAP NetWeaver có tên là CVE-2025-31324 , cho thấy nhiều tác nhân đe dọa đang lợi dụng lỗi này.
Trong bản cập nhật mới được công bố hôm nay, công ty an ninh mạng ReliaQuest cho biết họ đã phát hiện bằng chứng cho thấy sự tham gia của nhóm tống tiền dữ liệu BianLian và nhóm ransomware RansomExx, được Microsoft lần ra dưới biệt danh Storm-2460.
BianLian được đánh giá là có liên quan đến ít nhất một sự cố dựa trên các liên kết cơ sở hạ tầng đến các địa chỉ IP trước đó được xác định là thuộc về nhóm tội phạm mạng.
"Chúng tôi đã xác định được một máy chủ tại 184[.]174[.]96[.]74 lưu trữ các dịch vụ proxy ngược được khởi tạo bởi tệp thực thi rs64.exe", công ty cho biết. "Máy chủ này liên quan đến một IP khác, 184[.]174[.]96[.]70, do cùng một nhà cung cấp dịch vụ lưu trữ vận hành. IP thứ hai trước đó đã được đánh dấu là máy chủ chỉ huy và điều khiển (C2) liên kết với BianLian, chia sẻ các chứng chỉ và cổng giống hệt nhau".
ReliaQuest cho biết họ cũng đã quan sát thấy việc triển khai một trojan dựa trên plugin có tên là PipeMagic , gần đây nhất được sử dụng liên quan đến việc khai thác lỗ hổng zero-day của lỗi leo thang đặc quyền (CVE-2025-29824) trong Hệ thống tệp nhật ký chung của Windows (CLFS) trong các cuộc tấn công hạn chế nhắm vào các thực thể ở Hoa Kỳ, Venezuela, Tây Ban Nha và Ả Rập Xê Út.
Các cuộc tấn công liên quan đến việc phân phối PipeMagic thông qua các web shell bị loại bỏ sau khi lỗ hổng SAP NetWeaver bị khai thác.
"Mặc dù nỗ lực ban đầu đã thất bại, một cuộc tấn công tiếp theo liên quan đến việc triển khai khuôn khổ Brute Ratel C2 bằng cách sử dụng thực thi tác vụ MSBuild nội tuyến", ReliaQuest cho biết. "Trong hoạt động này, một quy trình dllhost.exe đã được tạo ra, báo hiệu việc khai thác lỗ hổng CLFS (CVE-2025-29824), mà nhóm đã khai thác trước đó, với nỗ lực mới này nhằm khai thác lỗ hổng thông qua lắp ráp nội tuyến".
Những phát hiện này được đưa ra một ngày sau khi EclecticIQ tiết lộ rằng nhiều nhóm tin tặc Trung Quốc được theo dõi là UNC5221, UNC5174 và CL-STA-0048 đang tích cực khai thác CVE-2025-31324 để phát tán nhiều phần mềm độc hại khác nhau.
Công ty bảo mật SAP Onapsis tiết lộ rằng các tác nhân đe dọa cũng đã khai thác CVE-2025-31324 cùng với lỗ hổng hủy tuần tự hóa trong cùng một thành phần (CVE-2025-42999) kể từ tháng 3 năm 2025, bản vá mới bổ sung sẽ khắc phục nguyên nhân gốc rễ của CVE-2025-31324.
ReliaQuest cho biết trong một tuyên bố chia sẻ với The Hacker News: "Có rất ít sự khác biệt thực tế giữa CVE-2025-31324 và CVE-2025-42999 miễn là CVE-2025-31324 vẫn có thể khai thác".
"CVE-2025-42999 chỉ ra rằng cần có đặc quyền cao hơn, tuy nhiên, CVE-2025-31324 vẫn cung cấp quyền truy cập toàn bộ hệ thống bất kể thế nào. Kẻ tấn công có thể khai thác cả hai lỗ hổng trong người dùng đã xác thực và chưa xác thực theo cùng một cách. Do đó, lời khuyên khắc phục là giống nhau đối với cả hai CVE."
Cập nhật#
Trong một phân tích mới, OP Innovate đã tiết lộ rằng họ đã xác định được bằng chứng về CVE-2025-31324 (và mở rộng là CVE-2025-42999) đang bị các tác nhân đe dọa có liên quan đến hoạt động ransomware Qilin khai thác ít nhất ba tuần trước khi thông tin chi tiết về lỗi được công khai.
"Vài tuần trước khi CVE-2025-31324 xuất hiện trong các khuyến cáo công khai, một kẻ tấn công đã khai thác điểm cuối Metadata Uploader dễ bị tấn công trong SAP NetWeaver", công ty Israel cho biết. "Kẻ tấn công đã tải một số webshell dựa trên JSP lên thư mục SAP IRJ".
Kẻ tấn công được cho là đã bắt đầu giao tiếp ra ngoài với cơ sở hạ tầng chỉ huy và kiểm soát (C2) của Cobalt Strike, tải xuống công cụ đường hầm SOCKS5 ngược ("rs64c.exe") từ địa chỉ IP 184[.]174[.]96[.]74. Điều thú vị là ReliaQuest đã quy các chỉ số xâm phạm tương tự cho nhóm tống tiền dữ liệu BianLian.
Matan Matalon, CISO kiêm Trưởng phòng IR tại OP Innovate, cho biết: "Việc kẻ tấn công sử dụng địa chỉ IP 184[.]174[.]96[.]74 và công cụ rs64c.exe rất giống với cơ sở hạ tầng và các công cụ trước đây liên quan đến Qilin, một nhóm ransomware theo dạng dịch vụ (RaaS) nói tiếng Nga" .
"Trong cả hai trường hợp, kẻ tấn công đều thành công trong việc truy cập ban đầu và thực thi mã từ xa bằng cách khai thác CVE-2025-31324. Tuy nhiên, các nỗ lực sau khi khai thác đều thất bại hoàn toàn trong cả hai trường hợp."
Những phát hiện này phản ánh mối quan tâm ngày càng tăng trong việc sử dụng các lỗ hổng bảo mật nghiêm trọng để thu lợi nhuận, chưa kể đến việc gia tăng các cuộc xâm nhập mạng khai thác lỗ hổng SAP NetWeaver.
The U.S. Cybersecurity and Infrastructure Security Agency (CISA), đã thêm CVE-2025-42999 vào danh mục Lỗ hổng đã biết bị khai thác ( KEV ) vào thứ năm, yêu cầu các cơ quan liên bang áp dụng bản sửa lỗi trước ngày 5 tháng 6 năm 2025.
Source: https://thehackernews.com/2025/05/bianlian-and-ransomexx-exploit-sap.html
Trong bản cập nhật mới được công bố hôm nay, công ty an ninh mạng ReliaQuest cho biết họ đã phát hiện bằng chứng cho thấy sự tham gia của nhóm tống tiền dữ liệu BianLian và nhóm ransomware RansomExx, được Microsoft lần ra dưới biệt danh Storm-2460.
BianLian được đánh giá là có liên quan đến ít nhất một sự cố dựa trên các liên kết cơ sở hạ tầng đến các địa chỉ IP trước đó được xác định là thuộc về nhóm tội phạm mạng.
"Chúng tôi đã xác định được một máy chủ tại 184[.]174[.]96[.]74 lưu trữ các dịch vụ proxy ngược được khởi tạo bởi tệp thực thi rs64.exe", công ty cho biết. "Máy chủ này liên quan đến một IP khác, 184[.]174[.]96[.]70, do cùng một nhà cung cấp dịch vụ lưu trữ vận hành. IP thứ hai trước đó đã được đánh dấu là máy chủ chỉ huy và điều khiển (C2) liên kết với BianLian, chia sẻ các chứng chỉ và cổng giống hệt nhau".
ReliaQuest cho biết họ cũng đã quan sát thấy việc triển khai một trojan dựa trên plugin có tên là PipeMagic , gần đây nhất được sử dụng liên quan đến việc khai thác lỗ hổng zero-day của lỗi leo thang đặc quyền (CVE-2025-29824) trong Hệ thống tệp nhật ký chung của Windows (CLFS) trong các cuộc tấn công hạn chế nhắm vào các thực thể ở Hoa Kỳ, Venezuela, Tây Ban Nha và Ả Rập Xê Út.
Các cuộc tấn công liên quan đến việc phân phối PipeMagic thông qua các web shell bị loại bỏ sau khi lỗ hổng SAP NetWeaver bị khai thác.
"Mặc dù nỗ lực ban đầu đã thất bại, một cuộc tấn công tiếp theo liên quan đến việc triển khai khuôn khổ Brute Ratel C2 bằng cách sử dụng thực thi tác vụ MSBuild nội tuyến", ReliaQuest cho biết. "Trong hoạt động này, một quy trình dllhost.exe đã được tạo ra, báo hiệu việc khai thác lỗ hổng CLFS (CVE-2025-29824), mà nhóm đã khai thác trước đó, với nỗ lực mới này nhằm khai thác lỗ hổng thông qua lắp ráp nội tuyến".
Những phát hiện này được đưa ra một ngày sau khi EclecticIQ tiết lộ rằng nhiều nhóm tin tặc Trung Quốc được theo dõi là UNC5221, UNC5174 và CL-STA-0048 đang tích cực khai thác CVE-2025-31324 để phát tán nhiều phần mềm độc hại khác nhau.
Công ty bảo mật SAP Onapsis tiết lộ rằng các tác nhân đe dọa cũng đã khai thác CVE-2025-31324 cùng với lỗ hổng hủy tuần tự hóa trong cùng một thành phần (CVE-2025-42999) kể từ tháng 3 năm 2025, bản vá mới bổ sung sẽ khắc phục nguyên nhân gốc rễ của CVE-2025-31324.
ReliaQuest cho biết trong một tuyên bố chia sẻ với The Hacker News: "Có rất ít sự khác biệt thực tế giữa CVE-2025-31324 và CVE-2025-42999 miễn là CVE-2025-31324 vẫn có thể khai thác".
"CVE-2025-42999 chỉ ra rằng cần có đặc quyền cao hơn, tuy nhiên, CVE-2025-31324 vẫn cung cấp quyền truy cập toàn bộ hệ thống bất kể thế nào. Kẻ tấn công có thể khai thác cả hai lỗ hổng trong người dùng đã xác thực và chưa xác thực theo cùng một cách. Do đó, lời khuyên khắc phục là giống nhau đối với cả hai CVE."
Cập nhật#
Trong một phân tích mới, OP Innovate đã tiết lộ rằng họ đã xác định được bằng chứng về CVE-2025-31324 (và mở rộng là CVE-2025-42999) đang bị các tác nhân đe dọa có liên quan đến hoạt động ransomware Qilin khai thác ít nhất ba tuần trước khi thông tin chi tiết về lỗi được công khai.
"Vài tuần trước khi CVE-2025-31324 xuất hiện trong các khuyến cáo công khai, một kẻ tấn công đã khai thác điểm cuối Metadata Uploader dễ bị tấn công trong SAP NetWeaver", công ty Israel cho biết. "Kẻ tấn công đã tải một số webshell dựa trên JSP lên thư mục SAP IRJ".
Kẻ tấn công được cho là đã bắt đầu giao tiếp ra ngoài với cơ sở hạ tầng chỉ huy và kiểm soát (C2) của Cobalt Strike, tải xuống công cụ đường hầm SOCKS5 ngược ("rs64c.exe") từ địa chỉ IP 184[.]174[.]96[.]74. Điều thú vị là ReliaQuest đã quy các chỉ số xâm phạm tương tự cho nhóm tống tiền dữ liệu BianLian.
Matan Matalon, CISO kiêm Trưởng phòng IR tại OP Innovate, cho biết: "Việc kẻ tấn công sử dụng địa chỉ IP 184[.]174[.]96[.]74 và công cụ rs64c.exe rất giống với cơ sở hạ tầng và các công cụ trước đây liên quan đến Qilin, một nhóm ransomware theo dạng dịch vụ (RaaS) nói tiếng Nga" .
"Trong cả hai trường hợp, kẻ tấn công đều thành công trong việc truy cập ban đầu và thực thi mã từ xa bằng cách khai thác CVE-2025-31324. Tuy nhiên, các nỗ lực sau khi khai thác đều thất bại hoàn toàn trong cả hai trường hợp."
Những phát hiện này phản ánh mối quan tâm ngày càng tăng trong việc sử dụng các lỗ hổng bảo mật nghiêm trọng để thu lợi nhuận, chưa kể đến việc gia tăng các cuộc xâm nhập mạng khai thác lỗ hổng SAP NetWeaver.
The U.S. Cybersecurity and Infrastructure Security Agency (CISA), đã thêm CVE-2025-42999 vào danh mục Lỗ hổng đã biết bị khai thác ( KEV ) vào thứ năm, yêu cầu các cơ quan liên bang áp dụng bản sửa lỗi trước ngày 5 tháng 6 năm 2025.
Source: https://thehackernews.com/2025/05/bianlian-and-ransomexx-exploit-sap.html
