【安全资讯】勒索软件团伙加入SAP NetWeaver攻击潮

概要：

近期，勒索软件团伙开始参与针对SAP NetWeaver的攻击，利用一个严重的安全漏洞，威胁者能够在易受攻击的服务器上实现远程代码执行。SAP于4月24日发布了紧急补丁，以修复这一漏洞，然而攻击者的活动仍在持续，给企业带来了严重的安全隐患。

主要内容：

SAP NetWeaver的Visual Composer未认证文件上传漏洞（CVE-2025-31324）被网络安全公司ReliaQuest首次标记为在野外被针对。成功利用该漏洞后，攻击者可以在无需登录凭据的情况下上传恶意文件，可能导致系统的完全妥协。ReliaQuest在最新的通告中指出，RansomEXX和BianLian勒索软件团伙也已参与这些攻击，尽管尚未成功部署勒索软件有效载荷。

分析显示，BianLian与至少一起事件存在“中等信心”的关联，基于其运营者过去使用的IP地址。RansomEXX团伙则利用其PipeMagic模块后门，并利用与该勒索软件操作相关的CVE-2025-29824 Windows CLFS漏洞进行攻击。尽管初次尝试失败，但后续攻击中使用了Brute Ratel C2框架进行命令执行。

此外，Forescout Vedere Labs的研究人员还将这些攻击与一个被称为Chaya_004的中国威胁行为者关联，报告显示还有其他三个中国APT团体也在针对未修补的NetWeaver实例进行攻击。Forescout指出，这些攻击者已在至少581个SAP NetWeaver实例中植入后门，计划进一步攻击1800个域名。这些被攻陷的SAP系统与工业控制系统（ICS）内部网络高度连接，可能导致长期间谍活动的服务中断风险。