Китайских хакеров обвинили в использовании уязвимости SAP для атак на критически важные системы по всему миру
Изображение: recraft
Группа злоумышленников, деятельность которой, по информации специалистов, связана с китайскими государственными интересами, организовала масштабную киберкампанию с применением уязвимости CVE-2025-31324 в платформе SAP NetWeaver. Об этом сообщил Арда Бююккая, аналитик EclecticIQ, представивший свежий технический отчёт о механизмах взлома и масштабах атак.
Уязвимость позволяет загружать вредоносные файлы без прохождения аутентификации и открывает возможность удалённого исполнения кода на сервере. Нацеленные атаки затронули более 580 систем по всему миру. Под удар попали предприятия в сфере энергоснабжения, водных ресурсов и управления отходами в Великобритании, компании нефтегазовой отрасли и медицинского машиностроения в США, а также правительственные учреждения в Саудовской Аравии, связанные с инвестиционным и финансовым планированием.
По данным EclecticIQ, информация о заражённых инфраструктурах была получена из открытого каталога на IP-адресе «15.204.56[.]106», который контролировался злоумышленниками. Там обнаружены журналы, отражающие активность внутри скомпрометированных систем, и текстовый файл под названием «CVE-2025-31324-results.txt» с перечнем заражённых экземпляров SAP NetWeaver. Отдельный файл — «服务数据_20250427_212229.txt» — содержит список из 800 доменов, использующих SAP, которые, предположительно, могут стать следующими мишенями.
Эксперты связывают атаку с группировками UNC5221, UNC5174 и CL-STA-0048. Последняя ранее фигурировала в кибератаках против стратегически значимых целей в Южной Азии, где использовались лазейки в публичных серверах IIS, Apache Tomcat и MS-SQL. В тех случаях применялись вредоносные модули в виде веб-оболочек, обратных шеллов и программного закладного инструмента PlugX.
Анализ активности на сервере подтверждает не только проведённые вторжения, но и даёт понимание о планах на будущее. Бююккая подчеркнул, что сохранённые на открытом ресурсе данные позволяют проследить стратегию противника и проанализировать его следующие шаги.
Кроме известных группировок, участие в атаке принимал ещё один неатрибутированный субъект, связанный с китайской инфраструктурой. По мнению аналитиков, он вёл широкомасштабную кампанию по сканированию и эксплуатации SAP-серверов в интернете с целью автоматического внедрения вредоносного кода и закрепления в системах. Злоумышленники устанавливали две разные веб-оболочки, с помощью которых получали постоянный доступ к серверам и могли в любое время выполнять команды на стороне жертвы.
