BianLian และ RansomExx ใช้ประโยชน์จากช่องโหว่ SAP NetWeaver เพื่อติดตั้งโทรจัน PipeMagic
การโจมตีไซเบอร์ที่มุ่งเป้าระบบ SAP NetWeaver โดยมีการใช้ช่องโหว่ที่ระบุว่า CVE-2025-31324 ซึ่งถูกนำมาใช้โดยกลุ่มอาชญากรรมไซเบอร์สองกลุ่ม ได้แก่ **BianLian** และ **RansomExx** (ที่ Microsoft ติดตามภายใต้ชื่อ Storm-2460) เพื่อปล่อย Trojan ที่รู้จักกันในชื่อ **PipeMagic** ออกสู่เป้าหมายในระบบขององค์กรต่างๆ
บริษัทความปลอดภัยไซเบอร์ ReliaQuest เปิดเผยว่ามีหลักฐานชี้ให้เห็นว่ากลุ่มเหล่านี้ได้ใช้เซิร์ฟเวอร์รีเวิร์สพร็อกซีจาก IP ที่เชื่อมโยงกับ BianLian (เช่น 184.174.96.74 และ 184.174.96.70) เพื่อดำเนินการคำสั่ง ควบคุม และสร้างความเชื่อมโยงที่เป็นลักษณะของการโจมตีแบบ Command-and-Control (C2)
นอกจากนั้น ยังพบว่า Trojan แบบ plugin ที่เรียกว่า PipeMagic ถูกใช้ร่วมกับการโจมตีที่เกี่ยวข้องกับช่องโหว่ใน Windows Common Log File System (CLFS) ซึ่งระบุว่าเป็น CVE-2025-29824 ช่องโหว่นี้เคยถูกใช้ในโจมตีที่มุ่งเป้าไปยังบางประเทศ เช่น สหรัฐอเมริกา เวเนซุเอลา สเปน และซาอุดิอาระเบีย โดยในครั้งแรกการโจมตีด้วยวิธีนี้อาจล้มเหลว แต่ผู้โจมตีกลับลองใช้ Brute Ratel C2 framework พร้อมกับการเรียกใช้ MSBuild task แบบ in-line เพื่อเสริมความพยายาม ทำให้สามารถทดลองรุกไคลเอยอินไลน์แอสเซมบลีในการโจมตีอีกครั้ง
รายงานยังชี้ให้เห็นว่ากลุ่มแฮกเกอร์ชาวจีนหลายกลุ่มที่ระบุเป็น UNC5221, UNC5174 และ CL-STA-0048 ก็กำลังใช้ช่องโหว่เดียวกันนี้ในการปล่อย payload อันตรายเข้าสู่ระบบ SAP NetWeaver นอกเหนือจากนั้น ผู้โจมตียังใช้ช่องโหว่ที่เกิดจาก deserialization (CVE-2025-42999) ร่วมกับ CVE-2025-31324 โดย Onapsis ซึ่งเป็นบริษัทที่เชี่ยวชาญด้านความปลอดภัยของ SAP ได้พัฒนาการแก้ไขแพทช์เพื่อป้องกันช่องโหว่หลักใน SAP NetWeaver นี้
ทั้งหมดนี้สะท้อนถึงการที่ภัยคุกคามทางไซเบอร์มีการพัฒนากลยุทธ์และเทคนิคใหม่ๆ อยู่เสมอ โดยเฉพาะอย่างยิ่งกับระบบที่สำคัญอย่าง SAP NetWeaver องค์กรที่ใช้ระบบดังกล่าวควรให้ความสำคัญในการอัปเดตระบบและแก้ไขช่องโหว่อย่างทันท่วงทีเพื่อป้องกันการถูกโจมตีและลดความเสี่ยงจากภัยคุกคามในอนาคต
ที่มา: Thehackernews
ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ
Mobile: 09 5368 5898
Tel: 0 2093 1625
Fax: 0 2093 1675 (Auto)
Email: sales@ampomicrosys.com
Latest Articles
ยกระดับการป้องกันของคุณ: MSP และ MDR ร่วมกันเสริมสร้างความปลอดภัยด้าน IT ของคุณอย่างไร
เจ้าหน้าที่เนเธอร์แลนด์ระบุตัวผู้ก่ออาชญากรรมไซเบอร์รายใหม่ชาวรัสเซีย “Laundry Bear” ที่กำลังเล็งเป้าไปที่นาโต้
เหตุผล เบื้องหลัง Bitdefender GravityZone PHASR – นวัตกรรมที่ไม่เคยมีมาก่อน
เครื่องมือ Defendnot ใหม่หลอก Windows ให้ปิดการใช้งาน Microsoft Defender
จาก 60 เป็น 4,000: ระบบ Locked Shield ของ NATO สะท้อนการเติบโตของระบบป้องกันไซเบอร์
