BianLian และ RansomExx ใช้ประโยชน์จากช่องโหว่ SAP NetWeaver เพื่อติดตั้งโทรจัน PipeMagic
การโจมตีไซเบอร์ที่มุ่งเป้าระบบ SAP NetWeaver โดยมีการใช้ช่องโหว่ที่ระบุว่า CVE-2025-31324 ซึ่งถูกนำมาใช้โดยกลุ่มอาชญากรรมไซเบอร์สองกลุ่ม ได้แก่ **BianLian** และ **RansomExx** (ที่ Microsoft ติดตามภายใต้ชื่อ Storm-2460) เพื่อปล่อย Trojan ที่รู้จักกันในชื่อ **PipeMagic** ออกสู่เป้าหมายในระบบขององค์กรต่างๆ
บริษัทความปลอดภัยไซเบอร์ ReliaQuest เปิดเผยว่ามีหลักฐานชี้ให้เห็นว่ากลุ่มเหล่านี้ได้ใช้เซิร์ฟเวอร์รีเวิร์สพร็อกซีจาก IP ที่เชื่อมโยงกับ BianLian (เช่น 184.174.96.74 และ 184.174.96.70) เพื่อดำเนินการคำสั่ง ควบคุม และสร้างความเชื่อมโยงที่เป็นลักษณะของการโจมตีแบบ Command-and-Control (C2)
นอกจากนั้น ยังพบว่า Trojan แบบ plugin ที่เรียกว่า PipeMagic ถูกใช้ร่วมกับการโจมตีที่เกี่ยวข้องกับช่องโหว่ใน Windows Common Log File System (CLFS) ซึ่งระบุว่าเป็น CVE-2025-29824 ช่องโหว่นี้เคยถูกใช้ในโจมตีที่มุ่งเป้าไปยังบางประเทศ เช่น สหรัฐอเมริกา เวเนซุเอลา สเปน และซาอุดิอาระเบีย โดยในครั้งแรกการโจมตีด้วยวิธีนี้อาจล้มเหลว แต่ผู้โจมตีกลับลองใช้ Brute Ratel C2 framework พร้อมกับการเรียกใช้ MSBuild task แบบ in-line เพื่อเสริมความพยายาม ทำให้สามารถทดลองรุกไคลเอยอินไลน์แอสเซมบลีในการโจมตีอีกครั้ง
รายงานยังชี้ให้เห็นว่ากลุ่มแฮกเกอร์ชาวจีนหลายกลุ่มที่ระบุเป็น UNC5221, UNC5174 และ CL-STA-0048 ก็กำลังใช้ช่องโหว่เดียวกันนี้ในการปล่อย payload อันตรายเข้าสู่ระบบ SAP NetWeaver นอกเหนือจากนั้น ผู้โจมตียังใช้ช่องโหว่ที่เกิดจาก deserialization (CVE-2025-42999) ร่วมกับ CVE-2025-31324 โดย Onapsis ซึ่งเป็นบริษัทที่เชี่ยวชาญด้านความปลอดภัยของ SAP ได้พัฒนาการแก้ไขแพทช์เพื่อป้องกันช่องโหว่หลักใน SAP NetWeaver นี้
ทั้งหมดนี้สะท้อนถึงการที่ภัยคุกคามทางไซเบอร์มีการพัฒนากลยุทธ์และเทคนิคใหม่ๆ อยู่เสมอ โดยเฉพาะอย่างยิ่งกับระบบที่สำคัญอย่าง SAP NetWeaver องค์กรที่ใช้ระบบดังกล่าวควรให้ความสำคัญในการอัปเดตระบบและแก้ไขช่องโหว่อย่างทันท่วงทีเพื่อป้องกันการถูกโจมตีและลดความเสี่ยงจากภัยคุกคามในอนาคต
ที่มา: Thehackernews
ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ
Mobile: 09 5368 5898
Tel: 0 2093 1625
Fax: 0 2093 1675 (Auto)
Email: sales@ampomicrosys.com
Latest Articles
ผู้ให้บริการระบบคลาวด์ที่ดีที่สุด 25 อันดับแรก (ทั้งแบบสาธารณะและส่วนตัว) ในปี 2025
เครื่องมือ Tor Oniux ใหม่ทำให้การรับส่งข้อมูลเครือข่ายของแอพ Linux ไม่ระบุตัวตน
การควบคุมแอพพลิเคชั่น Windows Defender ถูกข้ามไปโดยใช้ช่องโหว่ของเบราว์เซอร์ที่ใช้งานได้
Admin และ 123456 ยังคงเป็นรหัสผ่านที่ถูกใช้งานมากที่สุดในการโจมตี FTP
แพทช์ของ Samsung CVE-2025-4632 ถูกใช้เพื่อติดตั้ง Mirai Botnet ผ่านทางช่องโหว่ MagicINFO 9
