Een door China gekoppelde naamloze dreigingsacteur nagesynchroniseerd Chaya_004 is waargenomen om een recent bekendgemaakte beveiligingsfout in SAP Netweaver te benutten.
Forescout Vedere Labs, in een rapport dat donderdag werd gepubliceerd, zei dat het een kwaadaardige infrastructuur heeft ontdekt die waarschijnlijk is geassocieerd met de hackinggroep die CVE-2025-31324 (CVSS-score: 10.0) sinds 29 april 2025 bewapent.
CVE-2025-31324 verwijst naar een kritische SAP NetWeaver-fout waarmee aanvallers kunnen worden uitgevoerd door externe code-uitvoering (RCE) door webschalen te uploaden via een vatbaar “/ontwikkelingenerver/metadatauploader” eindpunt.
De kwetsbaarheid werd voor het eerst gemarkeerd door Reliaquest eind vorige maand toen het vond dat de tekortkoming werd misbruikt in real-world aanvallen door onbekende dreigingsacteurs om webschalen te laten vallen en het brute Ratel C4 post-exploitatie framework.
Volgens onapsis zijn honderden SAP -systemen wereldwijd het slachtoffer geworden van aanvallen over industrieën en regio’s, waaronder energie en nutsbedrijven, productie, media en entertainment, olie en gas, farmaceutische producten, detailhandel en overheidsorganisaties.
Het SAP -beveiligingsbedrijf zei dat het verkenningsactiviteit waargenomen waarbij “testen met specifieke payloads tegen deze kwetsbaarheid” inhield dat zijn honeypots al in 20 januari 2025 succesvol zijn. Succesvolle compromissen bij het inzetten van webschalen werden waargenomen tussen 14 en 31 maart.
Google-eigendom Mandiant, dat ook bezig is met incidentresponsinspanningen met betrekking tot deze aanvallen, heeft bewijs van het eerst bekende uitbuiting die op 12 maart 2025 plaatsvindt.
In de afgelopen dagen zouden meerdere dreigingsacteurs aan boord zijn gesprongen de uitbuitingsbandwagon om zich op opportunistisch kwetsbare systemen te richten om webschalen te implementeren en zelfs cryptocurrency.
Dit, per forescout, omvat ook chaya_004, die een webgebaseerde reverse shell heeft gehost in Golang, genaamd Supershell op het IP-adres 47.97.42 (.) 177. Het beveiligingsbedrijf Operational Technology (OT) zei dat het het IP -adres heeft gehaald uit een elf binair genaamd Config die in de aanval werd gebruikt.
“On the same IP address hosting Supershell (47.97.42(.)177), we also identified several other open ports, including 3232/HTTP using an anomalous self-signed certificate impersonating Cloudflare with the following properties: Subject DN: C=US, O=Cloudflare, Inc, CN=:3232,” Forescout researchers Sai Molige and Luca Barba said.
Verdere analyse heeft ontdekt dat de dreigingsacteur verschillende tools moet organiseren in de infrastructuur: NPS, Softether VPN, Cobalt Strike, Asset Reconnaissance Lighthouse (ARL), Pocassit, Gosint en Go Simple Tunnel.
“Het gebruik van Chinese cloudproviders en verschillende Chinees-taalhulpmiddelen wijst op een dreigingsacteur die waarschijnlijk in China is gevestigd,” voegden de onderzoekers toe.
Om te verdedigen tegen aanvallen, is het essentieel dat gebruikers de patches zo snel mogelijk toepassen, zo niet al, de toegang tot het eindpunt van de metadata -uploader beperken, de visuele componistervice uitschakelen als ze niet in gebruik zijn en bewaken voor verdachte activiteiten.
Onapsis CTO Juan Pablo JP Perez-Eetchegoyen vertelde The Hacker News dat de activiteit die wordt benadrukt door Forescout na de patch is, en dat het “de dreiging van het gebruik van gebruik van webschalen niet alleen zal uitbreiden, maar ook meer geavanceerde dreigingsactoren, maar ook meer geavanceerde, die snel reageren op dit probleem.
