Ssylka

Как китайские хакеры используют критическую уязвимость SAP для массовых кибератак?

Критическая уязвимость CVE-2025-31324 в SAP NetWeaver стала целью активной эксплуатации китайской хакерской группой "Chaya_004". Уязвимость, получившая максимальный рейтинг опасности CVSS 10.0, позволяет злоумышленникам осуществлять удаленное выполнение кода через загрузку веб-шеллов. Атаки нацелены на уязвимую конечную точку "/developmentserver/metadatauploader".
Как китайские хакеры используют критическую уязвимость SAP для массовых кибератак?
Изображение носит иллюстративный характер

Группа "Chaya_004" активно эксплуатирует эту уязвимость с 29 апреля 2025 года. Хакеры используют обратный шелл на базе Golang под названием "SuperShell", размещенный на IP-адресе 47.97.42.177. Этот инструмент позволяет получить удаленный доступ к скомпрометированным системам.

Хронология атак началась 20 января 2025 года, когда компания Onapsis впервые заметила разведывательную активность. К 12 марта 2025 года Mandiant уже обнаружила доказательства эксплуатации, а в период с 14 по 31 марта были зафиксированы успешные развертывания веб-шеллов. В конце апреля 2025 года компания ReliaQuest официально подтвердила активную эксплуатацию уязвимости.

Арсенал инструментов хакеров впечатляет. Помимо "SuperShell", злоумышленники используют NPS, SoftEther VPN, Cobalt Strike, Asset Reconnaissance Lighthouse (ARL), Pocassit, GOSINT и GO Simple Tunnel. В атаках также применяется ELF-бинарный файл под названием "config". В некоторых случаях был развернут фреймворк пост-эксплуатации Brute Ratel C4.

Масштаб атак оказался значительным: сотни SAP-систем по всему миру были скомпрометированы. Среди пострадавших отраслей – энергетика и коммунальные услуги, производство, медиа и развлечения, нефтегазовый сектор, фармацевтика, розничная торговля и правительственные организации. Примечательно, что к эксплуатации уязвимости подключились и другие хакерские группы, некоторые из которых используют ее для майнинга криптовалют.

Расследованием инцидентов занимаются несколько крупных компаний в сфере кибербезопасности. Forescout Vedere Labs опубликовала подробный отчет, ReliaQuest первой обнаружила активную эксплуатацию, Onapsis зафиксировала разведывательную активность, а принадлежащая Google компания Mandiant занимается реагированием на инциденты.

Хуан Пабло "JP" Перес-Этчегоен, технический директор Onapsis, подтвердил, что атаки продолжаются даже после выпуска патча. По его словам, продвинутые хакерские группы используют существующие компрометации для дальнейшего расширения своего присутствия в сетях жертв.

Специалисты рекомендуют организациям немедленно применить патчи, ограничить доступ к конечной точке загрузчика метаданных, отключить службу Visual Composer, если она не используется, и внимательно следить за подозрительной активностью в системах SAP. Эти меры критически важны для защиты от текущей волны атак.


Новое на сайте

15776Как мошенники атакуют бразильских руководителей через поддельные налоговые уведомления? 15775Безопасность ИИ-агентов: как защитить бизнес от хакерских атак 15772Как NHS в Англии планирует "немыслимые" сокращения для сбалансирования бюджета? 15771Почему озеро медуз в Палау является уникальной экосистемой мирового значения? 15770Литературное наследие живет: музей Чарльза Диккенса отмечает вековой юбилей 15769Как кинорежиссер Джеймс Фоли повлиял на современный кинематограф? 15768Переосмысление управления уязвимостями: новые подходы в эпоху растущих киберугроз 15767Легендарный пилотный эпизод "Томас и друзья" впервые увидит свет спустя 40 лет 15766Как Google использует искусственный интеллект для защиты от мошенничества? 15765Угроза лесных пожаров в северной Ирландии: повышенный уровень опасности на выходных 15764Как китайские хакеры используют критическую уязвимость SAP для массовых кибератак? 15763Как проходит мировой чемпионат по аэротрубному спорту? 15762Живая изгородь: экологичная альтернатива традиционным ограждениям