پیوستن گروه‌های باج‌افزار به موج حملات سایبری علیه SAP NetWeaver

گروه‌های باج‌افزار به موج حملات سایبری جاری علیه SAP NetWeaver پیوسته‌اند و از یک آسیب‌پذیری با حداکثر شدت بهره‌برداری می‌کنند که به مهاجمان اجازه اجرای کد از راه دور بر روی سرورهای آسیب‌پذیر را می‌دهد.

شرکت SAP در تاریخ ۲۴ آوریل وصله‌های اضطراری‌ای را برای رفع این نقص امنیتی در ماژول NetWeaver Visual Composer منتشر کرد. این آسیب‌پذیری که امکان بارگذاری فایل به‌صورت غیرمجاز را فراهم می‌سازد، با شناسه CVE-2025-31324 شناسایی شده و چند روز پیش از آن توسط شرکت امنیت سایبری ReliaQuest به‌عنوان هدف حملات فعال شناسایی شده بود.

بهره‌برداری موفق از این آسیب‌پذیری به مهاجمان امکان می‌دهد تا بدون نیاز به احراز هویت، فایل‌های مخرب را بارگذاری کرده و در نتیجه، کنترل کامل سامانه را در اختیار بگیرند.

شرکت ReliaQuest در به‌روزرسانی اطلاعیه پیشین خود اعلام کرد که عملیات‌های باج‌افزاری RansomEXX و BianLian نیز به حملات علیه SAP NetWeaver پیوسته‌اند، هرچند تا این لحظه هیچ بارِ باج‌افزاری به‌طور موفق بر روی سامانه‌ها اجرا نشده است.

این شرکت امنیتی اظهار داشت: «تحلیل‌های مستمر، شواهدی را آشکار کرده‌اند که از مشارکت گروه باج‌افزار روسی BianLian و عاملان باج‌افزار خانواده RansomEXX (که از سوی مایکروسافت با شناسه Storm-2460 رهگیری می‌شوند) حکایت دارد. این یافته‌ها نشان‌دهنده علاقه گسترده گروه‌های تهدیدگر مختلف به سوءاستفاده از این آسیب‌پذیری هستند.»

ReliaQuest با «اطمینان متوسط» BianLian را به حداقل یک حادثه مرتبط دانسته است، بر اساس نشانی IP‌ای که پیش‌تر توسط عاملان این گروه برای میزبانی یکی از سرورهای فرمان و کنترل (C2) آن‌ها مورد استفاده قرار گرفته بود.

در حملات منتسب به RansomEXX، مهاجمان اقدام به استقرار درب‌پشتی ماژولار این گروه موسوم به PipeMagic کرده و همچنین از آسیب‌پذیری CVE-2025-29824 در مؤلفه CLFS ویندوز بهره‌برداری کرده‌اند؛ آسیب‌پذیری‌ای که پیش‌تر نیز در حملات مرتبط با این عملیات باج‌افزاری مورد استفاده قرار گرفته بود.

شناسایی حملات گروه‌های چینی به SAP NetWeaver؛ دسترسی پایداری به صدها سامانه حیاتی برقرار شده است.

پژوهشگران امنیتی Forescout Vedere Labs اعلام کردند که حملات جاری علیه SAP NetWeaver همچنین با یک عامل تهدید چینی با شناسه Chaya_004 مرتبط هستند. در همین حال، شرکت امنیتی EclecticIQ نیز روز سه‌شنبه گزارش داد که سه گروه پیشرفته تهدیدکننده دیگر از چین، شامل UNC5221، UNC5174 و CL-STA-0048 نیز در حال هدف قرار دادن نمونه‌های NetWeaver آسیب‌پذیر نسبت به آسیب‌پذیری CVE-2025-31324 هستند.

بر اساس فایل‌هایی که در دایرکتوری‌ای به‌صورت عمومی قابل‌دسترسی روی یکی از سرورهای ناامن مهاجمان کشف شده، Forescout اعلام کرد که این عاملان تهدید حداقل ۵۸۱ نمونه SAP NetWeaver را — از جمله زیرساخت‌های حیاتی در بریتانیا، ایالات متحده و عربستان سعودی — به درب‌پشتی آلوده کرده‌اند و قصد دارند بیش از ۱۸۰۰ دامنه دیگر را نیز هدف قرار دهند.

Forescout افزود:
«دسترسی پایداری که از طریق این درب‌پشتی‌ها ایجاد شده، برای گروه‌های تهدیدگر هم‌راستا با دولت چین نقطه اتکایی فراهم می‌کند که می‌تواند در خدمت اهداف راهبردی جمهوری خلق چین، از جمله مزیت‌های نظامی، اطلاعاتی یا اقتصادی قرار گیرد.»

علاوه بر این، سامانه‌های SAP آلوده به‌شدت با شبکه‌های داخلی سامانه‌های کنترل صنعتی (ICS) یکپارچه هستند، موضوعی که خطر حرکت جانبی (Lateral Movement) در شبکه و در نهایت، امکان اختلال خدمات یا جاسوسی بلندمدت را افزایش می‌دهد.

روز دوشنبه، شرکت SAP همچنین آسیب‌پذیری دیگری در NetWeaver با شناسه CVE-2025-42999 را وصله کرد که به‌صورت زنجیره‌ای در این حملات و به‌عنوان یک روز-صفر از ماه مارس مورد سوءاستفاده قرار گرفته بود تا اجرای فرمان از راه دور ممکن شود.

برای جلوگیری از نفوذ، مدیران SAP باید فوراً نسبت به نصب وصله‌های امنیتی بر روی سرورهای NetWeaver اقدام کنند، یا در صورتی‌که به‌روزرسانی ممکن نیست، سرویس Visual Composer را به‌صورت موقت غیرفعال نمایند. همچنین، محدودسازی دسترسی به سرویس‌های بارگذاری متادیتا و پایش فعالیت‌های مشکوک بر روی سرورها به‌شدت توصیه می‌شود.

سازمان CISA نیز آسیب‌پذیری CVE-2025-31324 را دو هفته پیش به فهرست آسیب‌پذیری‌های شناخته‌شده و مورد سوءاستفاده خود افزود و بر اساس دستورالعمل الزام‌آور عملیاتی BOD 22-01، تمامی نهادهای فدرال ایالات متحده موظف به ایمن‌سازی سرورهای خود تا پیش از تاریخ ۲۰ می ۲۰۲۵ هستند.