Критическая уязвимость CVE-2025-31324 в SAP NetWeaver стала целью активной эксплуатации китайской хакерской группой "Chaya_004". Уязвимость, получившая максимальный рейтинг опасности CVSS 10.0, позволяет злоумышленникам осуществлять удаленное выполнение кода через загрузку веб-шеллов. Атаки нацелены на уязвимую конечную точку "/developmentserver/metadatauploader".

Группа "Chaya_004" активно эксплуатирует эту уязвимость с 29 апреля 2025 года. Хакеры используют обратный шелл на базе Golang под названием "SuperShell", размещенный на IP-адресе 47.97.42.177. Этот инструмент позволяет получить удаленный доступ к скомпрометированным системам.
Хронология атак началась 20 января 2025 года, когда компания Onapsis впервые заметила разведывательную активность. К 12 марта 2025 года Mandiant уже обнаружила доказательства эксплуатации, а в период с 14 по 31 марта были зафиксированы успешные развертывания веб-шеллов. В конце апреля 2025 года компания ReliaQuest официально подтвердила активную эксплуатацию уязвимости.
Арсенал инструментов хакеров впечатляет. Помимо "SuperShell", злоумышленники используют NPS, SoftEther VPN, Cobalt Strike, Asset Reconnaissance Lighthouse (ARL), Pocassit, GOSINT и GO Simple Tunnel. В атаках также применяется ELF-бинарный файл под названием "config". В некоторых случаях был развернут фреймворк пост-эксплуатации Brute Ratel C4.
Масштаб атак оказался значительным: сотни SAP-систем по всему миру были скомпрометированы. Среди пострадавших отраслей – энергетика и коммунальные услуги, производство, медиа и развлечения, нефтегазовый сектор, фармацевтика, розничная торговля и правительственные организации. Примечательно, что к эксплуатации уязвимости подключились и другие хакерские группы, некоторые из которых используют ее для майнинга криптовалют.
Расследованием инцидентов занимаются несколько крупных компаний в сфере кибербезопасности. Forescout Vedere Labs опубликовала подробный отчет, ReliaQuest первой обнаружила активную эксплуатацию, Onapsis зафиксировала разведывательную активность, а принадлежащая Google компания Mandiant занимается реагированием на инциденты.
Хуан Пабло "JP" Перес-Этчегоен, технический директор Onapsis, подтвердил, что атаки продолжаются даже после выпуска патча. По его словам, продвинутые хакерские группы используют существующие компрометации для дальнейшего расширения своего присутствия в сетях жертв.
Специалисты рекомендуют организациям немедленно применить патчи, ограничить доступ к конечной точке загрузчика метаданных, отключить службу Visual Composer, если она не используется, и внимательно следить за подозрительной активностью в системах SAP. Эти меры критически важны для защиты от текущей волны атак.

Изображение носит иллюстративный характер
Группа "Chaya_004" активно эксплуатирует эту уязвимость с 29 апреля 2025 года. Хакеры используют обратный шелл на базе Golang под названием "SuperShell", размещенный на IP-адресе 47.97.42.177. Этот инструмент позволяет получить удаленный доступ к скомпрометированным системам.
Хронология атак началась 20 января 2025 года, когда компания Onapsis впервые заметила разведывательную активность. К 12 марта 2025 года Mandiant уже обнаружила доказательства эксплуатации, а в период с 14 по 31 марта были зафиксированы успешные развертывания веб-шеллов. В конце апреля 2025 года компания ReliaQuest официально подтвердила активную эксплуатацию уязвимости.
Арсенал инструментов хакеров впечатляет. Помимо "SuperShell", злоумышленники используют NPS, SoftEther VPN, Cobalt Strike, Asset Reconnaissance Lighthouse (ARL), Pocassit, GOSINT и GO Simple Tunnel. В атаках также применяется ELF-бинарный файл под названием "config". В некоторых случаях был развернут фреймворк пост-эксплуатации Brute Ratel C4.
Масштаб атак оказался значительным: сотни SAP-систем по всему миру были скомпрометированы. Среди пострадавших отраслей – энергетика и коммунальные услуги, производство, медиа и развлечения, нефтегазовый сектор, фармацевтика, розничная торговля и правительственные организации. Примечательно, что к эксплуатации уязвимости подключились и другие хакерские группы, некоторые из которых используют ее для майнинга криптовалют.
Расследованием инцидентов занимаются несколько крупных компаний в сфере кибербезопасности. Forescout Vedere Labs опубликовала подробный отчет, ReliaQuest первой обнаружила активную эксплуатацию, Onapsis зафиксировала разведывательную активность, а принадлежащая Google компания Mandiant занимается реагированием на инциденты.
Хуан Пабло "JP" Перес-Этчегоен, технический директор Onapsis, подтвердил, что атаки продолжаются даже после выпуска патча. По его словам, продвинутые хакерские группы используют существующие компрометации для дальнейшего расширения своего присутствия в сетях жертв.
Специалисты рекомендуют организациям немедленно применить патчи, ограничить доступ к конечной точке загрузчика метаданных, отключить службу Visual Composer, если она не используется, и внимательно следить за подозрительной активностью в системах SAP. Эти меры критически важны для защиты от текущей волны атак.