Ένας άγνωστος κακόβουλος παράγοντας που συνδέεται με την Κίνα, με την κωδική ονομασία Chaya_004, έχει παρατηρηθεί να εκμεταλλεύεται μια πρόσφατα γνωστοποιημένη ευπάθεια ασφαλείας στο SAP NetWeaver.
Δείτε επίσης: Χάκερ τοποθετούν backdoor στα σκυλιά ρομπότ Unitree Go1
Η Forescout Vedere Labs, σε έκθεση που δημοσιεύθηκε την Πέμπτη, ανέφερε ότι εντόπισε κακόβουλη υποδομή που πιθανόν σχετίζεται με την ομάδα αυτή, η οποία αξιοποιεί την ευπάθεια CVE-2025-31324 (βαθμολογία CVSS: 10.0) από τις 29 Απριλίου 2025.
Η CVE-2025-31324 αφορά μια κρίσιμη ευπάθεια στο SAP NetWeaver που επιτρέπει σε επιτιθέμενους να εκτελέσουν απομακρυσμένα κώδικα (RCE), ανεβάζοντας web shells μέσω του ευάλωτου endpoint “/developmentserver/metadatauploader“.
Η ευπάθεια αυτή αναφέρθηκε για πρώτη φορά από τη ReliaQuest στα τέλη του περασμένου μήνα, όταν διαπίστωσε ότι χρησιμοποιείται σε επιθέσεις στον πραγματικό κόσμο από άγνωστους επιτιθέμενους για την εγκατάσταση web shells και του Brute Ratel C4, ενός εργαλείου εκμετάλλευσης μετά την παραβίαση.
Σύμφωνα με την Onapsis, εκατοντάδες συστήματα SAP παγκοσμίως έχουν πέσει θύματα επιθέσεων που καλύπτουν διάφορους κλάδους και γεωγραφικές περιοχές, όπως ενέργειας και κοινής ωφέλειας, βιομηχανία, μέσα ενημέρωσης και ψυχαγωγία, πετρέλαιο και φυσικό αέριο, φαρμακευτικά, λιανικό εμπόριο και δημόσιους οργανισμούς.
Δείτε ακόμα: Οι hackers FamousSparrow διανέμουν τα SparrowDoor & ShadowPad backdoor
Η εταιρεία ασφάλειας SAP ανέφερε ότι παρατήρησε δραστηριότητα αναγνώρισης στο NetWeaver ήδη από τις 20 Ιανουαρίου 2025, η οποία περιλάμβανε “δοκιμές με συγκεκριμένα payloads κατά αυτής της ευπάθειας” μέσω honeypots. Πετυχημένες επιθέσεις με εγκατάσταση web shells καταγράφηκαν μεταξύ 14 και 31 Μαρτίου.
Η Mandiant, που ανήκει στη Google και συμμετέχει επίσης στην απόκριση περιστατικών, διαθέτει στοιχεία ότι η πρώτη γνωστή εκμετάλλευση της ευπάθειας σημειώθηκε στις 12 Μαρτίου 2025. Τις τελευταίες ημέρες, αναφέρεται πως πολλοί κακόβουλοι παράγοντες εκμεταλλεύονται ευκαιριακά την ευπάθεια στο SAP NetWeaver, για να στοχεύσουν συστήματα και να εγκαταστήσουν web shells ή ακόμα και να κάνουν εξόρυξη κρυπτονομισμάτων.
Σύμφωνα με τη Forescout, ανάμεσα σε αυτούς είναι και η ομάδα Chaya_004, η οποία φιλοξενεί ένα web-based reverse shell γραμμένο σε Golang με την ονομασία SuperShell στη διεύθυνση IP 47.97.42[.]177. Η εταιρεία ασφάλειας τεχνολογιών λειτουργίας (OT) δήλωσε ότι εντόπισε αυτή τη διεύθυνση IP μέσα σε ένα ELF αρχείο με όνομα “config“, το οποίο χρησιμοποιήθηκε στην επίθεση.
Περαιτέρω ανάλυση αποκάλυψε ότι ο απειλητικός παράγοντας φιλοξενεί διάφορα εργαλεία στην υποδομή του, όπως τα NPS, SoftEther VPN, Cobalt Strike, Asset Reconnaissance Lighthouse (ARL), Pocassit, GOSINT και GO Simple Tunnel.
Δείτε επίσης: Οι Κινέζοι hackers MirrorFace στοχεύουν θύματα με τα ANEL και AsyncRAT
Βάσει των παραπάνω, γίνεται φανερό ότι ο απειλητικός παράγοντας (π.χ. η ομάδα Chaya_004) διαθέτει ένα καλά οργανωμένο οικοσύστημα επιθετικών εργαλείων που του επιτρέπει να πραγματοποιεί πολύπλοκες και πολυσταδιακές κυβερνοεπιθέσεις. Αυτή η συντονισμένη χρήση εργαλείων δείχνει ότι οι επιθέσεις δεν είναι τυχαίες αλλά καλά σχεδιασμένες και πιθανόν υποστηριζόμενες από κρατικούς ή πολύ έμπειρους φορείς.
Πηγή: thehackernews
