ایران‌هک را در شبکه‌های اجتماعی دنبال کنید

گروه سایبری ایران هک

119

آمریکا, اخبار جهان, اکسپلویت, امنیت, باگ, بدافزار, جرایم سایبری, جنگ سایبری, درز اطلاعات, سرقت اطلاعات

هکرهای چینی و باج‌افزارها آسیب‌پذیری‌های SAP NetWeaver را هدف گرفتند

122نمایش

دست‌کم دو گروه باج‌افزاری و چندین گروه APT وابسته به چین در حال سوءاستفاده فعال از دو آسیب‌پذیری بحرانی در SAP NetWeaver هستند که اخیراً وصله شده‌اند.

🚨 آسیب‌پذیری‌های هدف قرار گرفته

  • CVE-۲۰۲۵-۳۱۳۲۴امتیاز CVSS: ۱۰ (حداکثر)

  • CVE-۲۰۲۵-۴۲۹۹۹امتیاز CVSS: ۹.۱

این آسیب‌پذیری‌ها در ماژول Visual Composer development server وجود دارند و به مهاجمان اجازه می‌دهند تا بدون احراز هویت، کد دلخواه از راه دور اجرا کنند.

⏱️ سابقه حملات

  • حملات فعال از ژانویه ۲۰۲۵ آغاز شده و مهاجمان از این آسیب‌پذیری‌ها برای استقرار وب‌شل و اجرای فعالیت‌های بعدی بهره گرفته‌اند.

  • مهاجمان فرصت‌طلب نیز شروع به هدف‌گیری وب‌شل‌های قبلاً استقرار یافته کرده‌اند.

SAP وصله اولیه برای CVE-۲۰۲۵-۳۱۳۲۴ را در ۲۴ آوریل منتشر کرد و در روز وصله‌های مه ۲۰۲۵، یادداشت امنیتی را به‌روزرسانی کرد و CVE-۲۰۲۵-۴۲۹۹۹ را نیز وصله کرد.

🇨🇳 فعالیت APTهای چینی

شرکت EclecticIQ اعلام کرد که گروه‌های APT زیر با الگوهای مشابه تاکتیک و زیرساخت، به این حملات متصل‌اند:

  • UNC5221

  • UNC5174

  • CL-STA-۰۰۴۸

براساس ارزیابی‌های Mandiant و Palo Alto، این گروه‌ها با وزارت امنیت کشور چین (MSS) یا نهادهای خصوصی وابسته مرتبط هستند.

یک گروه ناشناس چینی با ابزار اسکن انبوه، موفق به شناسایی:

  • ۵۸۱ سرور آلوده NetWeaver با وب‌شل

  • و بیش از ۱۸۰۰ دامنه SAP NetWeaver شده و آن‌ها را هدف قرار داده است.

🎯 اهداف: دولت‌ها، صنایع نفت و گاز، مدیریت پسماند، و تجهیزات پزشکی پیشرفته در بریتانیا، آمریکا و عربستان

نمونه فعالیت‌های فنی

  • CL-STA-۰۰۴۸ هزاران دستور مخرب برای کشف ساختار شبکه و نقشه‌برداری برنامه‌ای SAP اجرا کرده است.

  • UNC5221 با وب‌شل، بدافزار KrustyLoader (لودر Rust) را از AWS S3 بارگذاری کرده است.

  • UNC5174 ابزارهایی مثل Snowlight Downloader، VShell RAT، و بک‌دور SSH به‌نام Goreverse را مستقر کرده است.

💰 فعالیت باج‌افزارها

ReliaQuest اعلام کرد که گروه‌های باج‌افزاری BianLian و RansomEXX نیز در بهره‌برداری از این آسیب‌پذیری‌ها نقش داشته‌اند:

🧨 BianLian:

  • شروع فعالیت: ژوئن ۲۰۲۲

  • هدف: سازمان‌های زیرساخت حیاتی و شرکت‌های خصوصی

  • روش: سرقت داده و باج‌گیری

  • مشاهدات: ارتباط IP با سرور C2 باند

  • آخرین فعالیت ثبت‌شده: پیش از ۳۱ مارس ۲۰۲۵ (وب‌سایت Tor آن غیرفعال شده)

🐍 RansomEXX (Storm-۲۴۶۰):

  • استفاده از بک‌دور PipeMagic

  • پس از بهره‌برداری انبوه از وب‌شل‌ها، فوراً بدافزار را مستقر کرده

  • استفاده از فریم‌ورک Brute Ratel C2

📢 هشدارها و توصیه‌ها

  • به‌گفته ReliaQuest، این حملات نشان می‌دهد که مهاجمان به‌دنبال سوءاستفاده مالی از آسیب‌پذیری‌های پرمخاطب هستند.

  • لازم است سازمان‌ها:

    • فوراً وصله‌ها را اعمال کنند

    • فعالیت‌های مشکوک را نظارت کنند

    • ترکیب امنیتی خود را تقویت کنند

به‌گفته Jonathan Stross از Pathlock، بسیاری از آسیب‌پذیری‌های وصله‌شده در کامپوننت‌های UI قدیمی SAP و لایه‌های رابط کاربری مبتنی بر Java وجود دارند، و سازمان‌ها باید این کامپوننت‌ها را کنار بگذارند و از روش‌های سخت‌سازی SAP استفاده کنند.

, , , , , , , , , , , , , , , , , , , , , , , , ,

دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

119

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

ورود به اسایت

Captcha!
Forgot password?

رمز را فراموش کردم

Back to
ورود به اسایت