مجموعتا BianLian وRansomExx تستغلان ثغرة في SAP NetWeaver لنشر أحصنة طروادة

كشف باحثو الأمن السيبراني في شركة ReliaQuest عن استغلال مجموعتين إجراميتين لثغرة أمنية في نظام SAP NetWeaver، حيث تم رصد:

• مجموعة BianLian (المتخصصة في ابتزاز البيانات).

• عائلة برامج الفدية RansomExx (المعروفة لدى Microsoft باسم Storm-2460).

كيف تتم الهجمات؟

1. استغلال ثغرة SAP NetWeaver: لنشر أصداف ويب (Web Shells) للسيطرة على الأنظمة.

2. تنزيل حصان طروادة PipeMagic:

   • سبق استخدامه في استغلال ثغرة تصعيد الصلاحيات (CVE-2025-29824) في نظام Windows CLFS.

   • رُصد في هجمات سابقة ضد شركات في الولايات المتحدة، فنزويلا، إسبانيا، والسعودية.

3. استخدام إطار Brute Ratel C2: لمحاولات متكررة لاستغلال الثغرات عبر تنفيذ أوامر MSBuild.

الأدلة التي تربط BianLian بالهجمات

• خادم بعنوان 184.174.96.74 يستخدم لخدمات الوكيل العكسي (Reverse Proxy) عبر ملف rs64.exe.

• ارتباطه بخادم آخر (184.174.96.70) سبق رصده كـخادم تحكم (C2) تابع لـBianLian، مع تشابه في الشهادات الأمنية والمنافذ.

ثغرات SAP المستغَلة: ما تحتاج إلى معرفته

• CVE-2025-31324: تسمح للمهاجمين بالحصول على وصول كامل للنظام.

• CVE-2025-42999: ثغرة عدم التحقق من التسلسل (Deserialization) في نفس المكون.

• وفقًا لـOnapsis، تم استغلال هذه الثغرات منذ مارس 2025، والتحديث الأخير يُصلح السبب الجذري لها.

ملاحظة مهمة: لا فرق عمليًا بين الثغرتين طالما أن CVE-2025-31324 قابلة للاستغلال، إذ توفر وصولًا كاملًا دون الحاجة إلى صلاحيات عالية.

هل هناك جهات أخرى تستغل هذه الثغرات؟

نعم! كشفت EclecticIQ أن مجموعات صينية (مثل UNC5221، UNC5174، وCL-STA-0048) تستغل CVE-2025-31324 لنشر حمولات خبيثة متنوعة.

كيف تحمي مؤسستك؟

1. تثبيت تحديثات SAP فورًا لإصلاح الثغرات المذكورة.

2. مراقبة أنظمة SAP NetWeaver لاكتشاف أي أنشطة مشبوهة.

3. فحص الخوادم بحثًا عن ملفات rs64.exe أو أنشطة Brute Ratel C2.

4. تعزيز إجراءات التحقق من الهوية لتقليل خطر استغلال الثغرات.