突破综述:SAP NetWeaver Flaw吸引黑客

每周,信息安全媒体集团都会收集世界各地的网络安全事件和违规行为。本周,SAP NetWeaver漏洞吸引了黑客,在Ivanti Endpoint Mobile Manager中锁定了零日,DOGE员工在信息窃贼转储中发现的凭据以及Nucor停止运营。朝鲜黑客以虚假会议邀请为目标,俄罗斯黑客针对网络邮件服务器,微软发布了72个补丁。另请参阅:2025年十大技术预测

 

SAP NetWeaver Flaw 吸引黑客

勒索软件团伙RansomEXX和BianLian加入了对SAP NetWeaver服务器的持续攻击,针对跟踪CVE-2025-31324的关键漏洞CVE-2025-31324,该漏洞可实现未经身份验证的远程代码执行。SAP于4月24日发布了紧急补丁,此前网络安全公司ReliaQuest标记了对该漏洞的疯狂利用。

该漏洞使攻击者能够在没有凭据的情况下上传恶意文件,可能导致完整的系统泄露。ReliaQuest表示,RansomEXX演员在一次事件中使用了他们的PipeMagic后门和Windows CLFS漏洞。

中国民族国家集团也在利用这个漏洞。Forescout将攻击与Chaya_004组联系起来,识别出581个后门NetWeaver系统,并计划针对1800多个。

美国added网络安全和基础设施安全局将CVE-2025-31324添加到其已知的受剥削脆弱性目录中,要求美国联邦机构在5月20日之前进行修补。

 

黑客 链 Ivanti 端点 经理 移动 缺陷

warned陷入困境的边缘设备制造商Ivanti周一警告客户,黑客正在使用其Endpoint Manager Mobile平台中的两个零日漏洞来获得未经身份验证的访问权限,然后执行远程代码。

这家犹他州公司表示,在意识到“披露时解决方案被利用的客户数量非常有限”后,它发布了更新。CVE-2025-4427CVE-2025-4428这些缺陷被追踪为CVE-2025-4427和CVE-2025-4428。

Ivanti已经进行了两年的旅程,发现其产品的可破解程度(见:Ivanti使用报废操作系统,软件包)。

在这种情况下,Ivanti说这个漏洞最终不是源于它,而是来自未命名的第三方开源库。该公司正在“与维护者接触”,它说。

在一篇博客文章中,网络安全公司Watchtowr预测,Ivanti对“非常有限数量”的受影响客户的描述可能不会保持这种状态。“我们确切知道的是 – 一旦’高度针对性’的行动得到公开,我们已经看到攻击者只是在互联网上大规模 pwn 获得任何剩余价值,”它写道。

一位Tenable研究人员写道,CVE-2025-4427允许远程攻击者访问EPMM应用程序编程接口,这通常只对身份验证用户访问。CVE-2025-4428是一个远程代码执行缺陷。“成功利用这些漏洞的攻击者可以将它们链接在一起,在没有身份验证的情况下在易受攻击的设备上执行任意代码。

 

DOGE 员工证书在 Infostealer 转储中发现

活动编码员Micah spottedLee上周四发现了数据泄露记录和四个与政府效率部个人Gmail员工Kyle Schutt相关的信息窃取日志转储,用于违规跟踪服务Have I Been Pwned。

舒特是一名软件工程师,自今年早些时候埃隆·马斯克(Elon Musk)领导的DOGE开始进行削减成本和重写美国政府内部不确定合法性的代码重写运动以来,已经出现在各种联邦机构。据报道,他已进入核心财务管理系统和联邦紧急事务管理局,并加入了网络安全和基础设施安全局。

Lee说,Schutt的凭据出现在大量数据转储中,如Naz.API,Alien txtbase和Telegram泄漏日志。李说,目前还不清楚舒特何时或多久被黑客入侵,但敦促DOGE工作人员避免使用个人设备进行政府工作。

 

网络攻击迫使Nucor停止一些行动

北美最大的钢铁制造商Nucor在涉及未经授权访问其IT系统的网络安全事件后暂时关闭了特定地点的运营。这家北卡罗来纳州公司表示,它启动了事件响应计划,将受影响的系统脱机,并正在努力恢复。它没有透露其大约300个设施中的哪一个受到影响。

 

APT37通过假会议邀请韩国人

朝鲜黑客组织APT37,也称为ScarCruft,Reaper和InkySquid,在3月份使用鱼叉式网络钓鱼电子邮件,用伪装成国家安全会议邀请和部队移动情报的恶意软件附件瞄准韩国个人。

韩国Genians的研究人员发现,APT37通过Dropbox提供恶意LNK文件,在受害者设备上部署RoKRAT恶意软件。一场战役冒充了一名地区专家,并声称提供有关朝鲜在俄罗斯部署部队的情报。另一个模仿了一个名为“特朗普2.0时代:前景和韩国的反应”的真实事件。在这两种情况下,APT37都使用与主题相关的图像和 Dropbox 托管的有效载荷来欺骗受害者。

RoKRAT一旦部署,就会窃取系统数据,捕获屏幕截图,执行命令并收集文件。LNK文件运行隐藏的PowerShell脚本,同时显示诱饵文档以分散受害者的注意力。Genians将恶意软件与使用K Messenger聊天室的早期活动联系起来,并指出Dropbox,Yandex,Google Drive和OneDrive等云服务持续滥用于命令和控制。

 

克里姆林宫黑客瞄准Webmail服务器进行间谍活动

俄罗斯网络间谍行动正在攻击乌克兰政府机构和保加利亚和罗马尼亚国防公司使用的网络邮件服务器客户端,这些客户端生产乌克兰军方使用的苏联时代武器。

来自Eset的安全研究人员表示,自2023年以来,他们观察到俄罗斯主要情报局(Russian Main Intelligence Directorate)的网络服务器黑客模式,该单位被称为APT28,Fancy Bear或Forest Blizzard。Eset追踪它作为Sednit。

在Eset dubs Operation RoundPress的竞选活动中,俄罗斯国家黑客在网络邮件服务器中使用了跨站点脚本漏洞,最初专注于Roundcube软件,但在2024年扩展到针对Horde,MDaemon和Zimbra。Sednit可能在MDaemon中发现了一个零日漏洞,跟踪为CVE-2024-11182,但使用已知的漏洞攻击其他网络邮件服务器。

为了伤害受害者,黑客在鱼叉式网络钓鱼电子邮件中传播了XSS漏洞,该电子邮件下载了包含“Spyrpress”恶意软件变体的恶意JavaScript代码,这些恶意软件欺骗浏览器和密码管理器将webmail凭据填充到隐藏表单中。一些样本通过将用户从其网络邮件中注销并显示虚假登录页面来欺骗用户。

2023年,乌克兰计算机应急小组(Ukraney Computer Emergency Response Team)警告说,俄罗斯的一场运动利用了三个RoundCube漏洞。Eset表示,其他RoundPress行动的目标包括非洲,欧盟和南美洲的政府机构。

Webmail服务器仍然是黑客的目标,因为许多组织未能保持其系统最新。“由于可以通过发送电子邮件远程触发漏洞,因此攻击者针对此类服务器进行电子邮件盗窃非常方便,”Eset研究人员补充道。

 

微软在5月份修补了72个缺陷

微软的May Patch周二解决了72个漏洞的安全修复问题,其中包括五个已经被利用的零日和两个被公开披露的漏洞。修补的漏洞中有六个被评为关键,大多数涉及远程代码执行,其余则涉及特权升级,拒绝服务,欺骗和信息披露问题。

被积极利用的漏洞包括Windows DWM核心库中的一个严重缺陷,使攻击者能够通过无使用后漏洞提升系统的权限。Windows 和 Ancillary Function Driver WinSock 中发现了类似的权限升级漏洞。影响 Microsoft Scripting Engine 的第五个被利用的 bug,如果用户被欺骗在 Edge 或 Internet Explorer 中单击有条目的链接,则可以执行远程代码。

微软还解决了Microsoft Defender for Identity中公开披露的欺骗漏洞,该漏洞使同一网络上的攻击者能够冒充帐户。Visual Studio 中另一个公开披露的漏洞可以启用命令注入和本地代码执行。