Geng ransomware telah bergabung dengan serangan SAP Netweaver yang sedang berlangsung, mengeksploitasi kerentanan maksimum-kepemilikan yang memungkinkan aktor ancaman untuk mendapatkan eksekusi kode jarak jauh pada server yang rentan.
GETAH Patch darurat yang dibebaskan Pada 24 April untuk mengatasi Netweaver Visual Composer ini tidak otentikasi pengunggahan keamanan Security Flaw (CVE-2025-31324), beberapa hari setelah pertama kali ditandai oleh perusahaan cybersecurity Reliaquest seperti yang ditargetkan di alam liar.
Eksploitasi yang berhasil memungkinkan aktor ancaman mengunggah file berbahaya tanpa memerlukan kredensial login, berpotensi mengarah pada kompromi sistem yang lengkap.
Hari ini, dalam pembaruan untuk penasihat asli mereka, Bindiast terungkap itu Operasi ransomware ransomexx dan bianlian juga telah bergabung dengan serangan ini, meskipun tidak ada muatan ransomware yang berhasil digunakan.
“Analisis lanjutan telah mengungkap bukti yang menunjukkan keterlibatan dari kelompok ransomware Rusia ‘Bianlian’ dan operator keluarga ransomware ‘ransomexx’ (dilacak oleh Microsoft sebagai ‘Storm-2460’),” kata perusahaan keamanan siber. “Temuan ini mengungkapkan minat luas dalam mengeksploitasi kerentanan ini di berbagai kelompok ancaman.”
Reliaquest menghubungkan Bianlian dengan setidaknya satu insiden dengan “kepercayaan sedang” berdasarkan alamat IP yang digunakan oleh operator geng ransomware di masa lalu untuk meng-host salah satu server perintah-dan-kontrol (C2) mereka.
Dalam serangan Ransomexx, para aktor ancaman menggunakan pintu belakang modular Pipemagic geng dan mengeksploitasi kerentanan CVE-2025-29824 Windows CLFS dilecehkan dalam insiden sebelumnya Terkait dengan operasi ransomware ini.
“Malware ini dikerahkan hanya beberapa jam setelah eksploitasi global yang melibatkan helper.jsp dan cache.jsp webshells. Meskipun upaya awal gagal, serangan berikutnya melibatkan penyebaran kerangka kerja C2 yang brute menggunakan eksekusi inline MSBuild,” Reliaquest menambahkan.
Juga dieksploitasi oleh kelompok peretasan Cina
Forescout Vedere Labs Security Nears juga memiliki mengaitkan serangan yang sedang berlangsung ini kepada aktor ancaman Cina, mereka melacak sebagai chaya_004, sementara eclecticiq Dilaporkan pada hari Selasa Tiga apts Cina lainnya (yaitu, UNC5221, UNC5174, dan CL-STA-0048) juga menargetkan instance netweaver yang tidak ditandingi terhadap CVE-2025-31324.
Berdasarkan file yang terpapar yang ditemukan di direktori yang dapat diakses secara terbuka di salah satu server tanpa jaminan penyerang ini, Forescout mengatakan mereka telah kembali setidaknya 581 instance SAP Netweaver (termasuk infrastruktur kritis di Inggris, Amerika Serikat, dan Arab Saudi) dan berencana untuk menargetkan 1.800 domain lainnya.
“Akses backdoor kegigihan ke sistem ini menyediakan pijakan untuk APT yang selaras di Cina, berpotensi memungkinkan tujuan strategis Republik Rakyat Tiongkok (RRC), termasuk militer, intelijen, atau keuntungan ekonomi,” kata ForeScout.
“Sistem SAP yang dikompromikan juga sangat terhubung dengan jaringan internal sistem kontrol industri (ICS) yang menimbulkan risiko gerakan lateral, yang berpotensi menyebabkan gangguan layanan pada spionase jangka panjang.”
Pada hari Senin, SAP juga telah menambal kerentanan netweaver kedua (CVE-2025-42999) Dirantai dalam serangan ini sebagai nol hari sedini Maret untuk melaksanakan perintah sewenang-wenang dari jarak jauh.
Untuk memblokir upaya pelanggaran, admin SAP harus segera menambal server Netweaver mereka atau mempertimbangkan untuk menonaktifkan layanan komposer visual jika peningkatan tidak memungkinkan. Membatasi akses ke layanan pengunggah metadata dan pemantauan untuk aktivitas yang mencurigakan di server mereka juga sangat disarankan.
Cisa ditambahkan CVE-2025-31324 cacatnya Katalog kerentanan yang diketahui Dua minggu lalu, mengamanatkan agen federal untuk mengamankan server mereka pada 20 Mei, sebagaimana disyaratkan oleh Binding Operational Directive (BOD) 22-01.
