Уязвимость CVE-2025-31324

Исследователи безопасности связали связанного с Китаем злоумышленника, получившего название Chaya_004, с эксплуатацией критической уязвимости SAP NetWeaver, обозначенной как CVE-2025-31324. Имея наивысшую оценку CVSS 10,0, эта уязвимость позволяет злоумышленникам осуществлять удаленное выполнение кода (RCE), загружая угрожающие веб-оболочки через уязвимую конечную точку /developmentserver/metadatauploader.

Эта уязвимость впервые привлекла внимание в конце апреля 2025 года, когда команды по информационной безопасности обнаружили, что она активно эксплуатируется в дикой природе. Злоумышленники использовали ее для развертывания веб-шеллов и инструментов пост-эксплуатации, таких как Brute Ratel C4.

Последствия: отрасли под прицелом

С марта 2025 года эта уязвимость широко использовалась в различных отраслях и регионах. Предполагается, что первоначальная эксплуатация произошла еще 12 марта, а подтвержденные успешные вторжения имели место в период с 14 по 31 марта.

К пострадавшим секторам относятся:

• Энергетика и коммунальные услуги
• Производство
• СМИ и развлечения
• Нефть и газ
• Фармацевтика
• Розничная торговля и государственные организации

Эти широкомасштабные атаки указывают на глобальную кампанию, потенциально затрагивающую сотни систем SAP.

Внутри вредоносной инфраструктуры

Злоумышленник Chaya_004 был на передовой этих кампаний, размещая веб-ориентированный обратный шелл под названием SuperShell на IP-адресе 47.97.42[.]177. Эта инфраструктура также выявила другие подозрительные элементы:

• Порт 3232/HTTP, обслуживающий самоподписанный сертификат, имитирующий Cloudflare
• Множество инструментов и сервисов на китайском языке, размещенных у китайских облачных провайдеров

Вредоносные инструменты, связанные с этой группой, включают:

• NPS (Network Policy Server) : этот инструмент часто используется для управления политиками сетевого доступа. Злоумышленники могут использовать его для манипулирования сетевым трафиком, что потенциально позволяет получить несанкционированный доступ или нарушить связь.
• SoftEther VPN : универсальное программное обеспечение VPN с открытым исходным кодом, которое может быть использовано злоумышленниками для обхода сетевой безопасности и установления зашифрованных подключений к удаленным системам, что способствует скрытой утечке данных или горизонтальному перемещению внутри скомпрометированных сетей.

• Cobalt Strike : широко известный инструмент постэксплуатации, используемый для сложных постоянных угроз. Он позволяет злоумышленникам имитировать реальные кибератаки, давая им возможность контролировать и эксплуатировать скомпрометированные машины скрытно.

• Asset Reconnaissance Lighthouse (ARL) : разведывательный инструмент, который помогает злоумышленникам картировать сетевые активы, выявлять уязвимости и получать информацию о потенциальных целях в сети, способствуя проведению более эффективных и целенаправленных атак.

• Pocassist : инструмент, предназначенный для помощи в создании и эксплуатации эксплойтов для проверки концепции (PoC), помогающий злоумышленникам автоматизировать процесс тестирования уязвимостей и выполнения целевых эксплойтов.

• GOSINT : инструмент, используемый для сбора разведывательной информации с открытым исходным кодом (OSINT), который помогает злоумышленникам собирать общедоступную информацию для проведения разведывательной работы, например, данные о сотрудниках, сведения о сети или другую конфиденциальную информацию, которая может быть использована при атаках.

• GO Simple Tunnel : простой инструмент туннелирования, используемый злоумышленниками для обхода брандмауэров и других мер сетевой безопасности, создавая зашифрованные туннели, которые можно использовать для незаметной передачи трафика или доступа к ограниченным системам.

• GO Простой туннель

Этот сложный инструментарий в сочетании с использованием китайской инфраструктуры однозначно указывает на то, что источник угрозы действует из Китая.

Оставаясь впереди: стратегии защиты от продолжающейся эксплуатации

Несмотря на то, что были выпущены исправления безопасности, вредоносная активность сохраняется в ландшафте после исправления, указывая на то, что ранее развернутые веб-оболочки перепрофилируются и расширяются широким спектром мошенников, от оппортунистов до высококвалифицированных противников. В этой меняющейся среде угроз организации должны внедрять комплексные меры по исправлению, которые включают в себя быстрое применение официальных обновлений SAP, тщательное ограничение доступа к уязвимым конечным точкам и деактивацию необязательных служб, таких как Visual Composer.

Кроме того, поддержание повышенной бдительности посредством постоянного мониторинга систем и журналов на предмет аномального поведения остается важным. Эти защитные усилия жизненно важны для ограничения возможности дальнейшей компрометации и сохранения операционной целостности инфраструктур SAP.