Хакеры Chaya_004 захватывают SAP по всему миру одним POST-запросом

Критическая уязвимость удаленного выполнения кода в SAP NetWeaver Visual Composer (CVE-2025-31324) активно используется китайскими злоумышленниками для компрометации корпоративных систем по всему миру.

Уязвимость позволяет злоумышленникам осуществлять удаленное выполнение кода путем загрузки вредоносных веб-оболочек через уязвимую конечную точку /developmentserver/metadatauploader.

Эксплуатация уязвимостей в первую очередь направлена на производственные среды, где взлом систем SAP может привести к значительным сбоям в работе и нарушениям безопасности.

Злоумышленник, отслеживаемый как Chaya_004, использовал эту уязвимость по крайней мере с 29 апреля 2025 года, вскоре после того, как экспериментальные эксплойты стали общедоступными.

Их инфраструктура атак активно использует китайских поставщиков облачных услуг, включая Alibaba, Tencent и Huawei Cloud Services.

Эта кампания демонстрирует сложный подход к развертыванию инфраструктуры: более 700 идентифицированных IP-адресов имеют одинаковые шаблоны конфигурации.

Исследователи Forescout выявили вредоносную инфраструктуру после восстановления двоичного файла ELF с именем «config» после одной из атак.

Двоичный файл содержал IP-адрес, на котором размещался интерфейс входа в систему SuperShell, что привело к обнаружению сотен дополнительных IP-адресов, совместно использующих необычные конфигурации сертификатов.

Сертификаты использовали аномальные самоподписанные свойства, выдававшие себя за Cloudflare с отличительным атрибутом DN субъекта.

Модель эксплуатации включает в себя запросы POST к уязвимой конечной точке, за которыми следует развертывание веб-оболочек с такими именами, как «helper.jsp», «cache.jsp» или случайными восьмибуквенными именами файлов, такими как «ssonkfrd.jsp».

После установки эти бэкдоры позволяют злоумышленникам загружать дополнительные вредоносные данные с помощью команд curl, как показано в следующей последовательности атак:

Развернутые бэкдоры SuperShell предоставляют злоумышленникам полный доступ к системе, что позволяет им манипулировать конечными точками служб, собирать учетные данные и потенциально переходить к более важным компонентам SAP.

Основной интерфейс бэкдора был идентифицирован на порту 8888 с характерным путем «/supershell/login» среди нескольких скомпрометированных систем.

Организациям, использующим уязвимые версии SAP , настоятельно рекомендуется немедленно применить исправления безопасности, выпущенные в рамках Patch Day в апреле 2025 года.

Дополнительные рекомендуемые меры по снижению рисков включают ограничение доступа к службам загрузки метаданных, отключение неиспользуемых веб-служб и реализацию мониторинга в реальном времени для выявления аномального доступа к системам SAP, особенно за пределами обычных периодов обслуживания.

Источник — https://cybersecuritynews.com/