少なくとも2つの異なるサイバー犯罪グループ、BianLianとRansomExxが最近公開されたSAP NetWeaverのセキュリティ欠陥を悪用したとされており、複数の脅威アクターがこのバグを利用していることを示しています。
サイバーセキュリティ企業ReliaQuestは、本日発表した新しい更新で、BianLianデータ恐喝クルーとMicrosoftによってStorm-2460というモニカーで追跡されているRansomExxランサムウェアファミリーの関与を示唆する証拠を発見したと述べました。
BianLianは、以前にe-犯罪グループに帰属すると特定されたIPアドレスへのインフラストラクチャリンクに基づいて、少なくとも1つの事件に関与していると評価されています。
“184[.]174[.]96[.]74のサーバーがrs64.exe実行ファイルによって開始されたリバースプロキシサービスをホストしていることを特定しました”と同社は述べました。”このサーバーは同じホスティングプロバイダーによって運営されている別のIP、184[.]174[.]96[.]70に関連しています。2番目のIPは以前にBianLianに関連するコマンドアンドコントロール(C2)サーバーとしてフラグ付けされており、同一の証明書とポートを共有しています。”
ReliaQuestはまた、PipeMagicと呼ばれるプラグインベースのトロイの木馬の展開も観察しました。これは最近、米国、ベネズエラ、スペイン、サウジアラビアのエンティティを対象とした限定的な攻撃で、Windows共通ログファイルシステム(CLFS)の特権昇格バグ(CVE-2025-29824)のゼロデイ悪用に関連して使用されました。
攻撃には、SAP NetWeaverの欠陥を悪用した後にドロップされたWebシェルを介してPipeMagicが配信されることが含まれていました。
“最初の試みは失敗しましたが、その後の攻撃ではインラインMSBuildタスク実行を使用してBrute Ratel C2フレームワークの展開が含まれていました”とReliaQuestは述べました。”この活動中に、dllhost.exeプロセスが生成され、CLFS脆弱性(CVE-2025-29824)の悪用を示し、グループが以前に悪用したものであり、今回はインラインアセンブリを介してそれを悪用する新しい試みです。”
この発見は、EclecticIQが公開した翌日に行われました。UNC5221、UNC5174、CL-STA-0048として追跡されている複数の中国のハッキンググループがCVE-2025-31324を積極的に悪用してさまざまな悪意のあるペイロードをドロップしていることを示しています。
SAPセキュリティ会社Onapsisは、脅威アクターがCVE-2025-31324を同じコンポーネントの逆シリアル化の欠陥(CVE-2025-42999)と共に2025年3月以来悪用していることを明らかにしました。新しいパッチがCVE-2025-31324の根本原因を修正していると付け加えました。
“CVE-2025-31324が利用可能である限り、CVE-2025-31324とCVE-2025-42999の間には実質的な違いはほとんどありません”とReliaQuestはThe Hacker Newsと共有した声明で述べました。
“CVE-2025-42999はより高い特権が必要であることを示していますが、CVE-2025-31324はシステム全体へのアクセスを提供します。脅威アクターは、認証済みおよび未認証のユーザーの両方で両方の脆弱性を同じ方法で悪用する可能性があります。したがって、両方のCVEに対する修正アドバイスは同じです。”
翻訳元: https://thehackernews.com/2025/05/bianlian-and-ransomexx-exploit-sap.html