Duty-Free.cc
Новости

Хакеры Chaya_004 захватывают SAP-системы по всему миру с помощью всего одного POST-запроса.

Duty News 0 10.05.2025

Когда сертификат «от Cloudflare» на китайском, а веб-шелл уже внутри

С конца апреля 2025 года зафиксирован резкий всплеск атак на SAP NetWeaver Visual Composer через критическую уязвимость CVE-2025-31324, затрагивающую компонент metadata uploader. Она позволяет злоумышленникам загружать веб-шеллы через открытый интерфейс /developmentserver/metadatauploader, что ведёт к удалённому выполнению кода и захвату серверов.

Уязвимость получила максимальную оценку CVSS 10.0 и уже включена в список CISA KEV как активно эксплуатируемая. Первые атаки были зафиксированы 29 апреля ловушками Forescout Vedere Labs. Ответственность за кампанию связывают с неизвестной группой под кодовым именем Chaya_004, предположительно связанной с Китаем.

Атаки шли по шаблону: сначала загружались веб-шеллы (например, helper.jsp, ssonkfrd.jsp), затем с внешних хостов через curl доставлялись дополнительные вредоносы. В результате нарушалась работа CRM, SCM, SRM-систем, и злоумышленники получали доступ к метаданным, учётным записям и внутренним ресурсам. Скомпрометированные SAP-серверы использовались для продвижения по сети.

Наиболее активный IP — 47.97.42[.]177, на нём размещалась Go-веб-шелл Supershell, маскирующаяся под Cloudflare через самоподписанный сертификат с китайскими атрибутами. По совпадению сертификатов выявлено ещё 578 IP-адресов, большинство — в китайских облаках (Alibaba, Tencent, Huawei, China Unicom). Это подтвердило геопривязку атаки.

На этих узлах обнаружены инструменты вроде SoftEther VPN, ARL, Xray, Cobalt Strike — в основном с китайской локализацией. Также был найден ELF-файл config, загружавший вредонос svchosts.exe с домена search-email[.]com, который выступал в роли C2.

Интерес вызвали сканирующие IP-адреса: 37 — из ASN Microsoft и 14 — из ASN Amazon, причём первые занимались разведкой, вторые — эксплуатацией. Их непересечение указывает на разделённую инфраструктуру.

Жертвами атак стали компании из самых разных отраслей: энергетика, нефтегаз, ритейл, госсектор. По данным Onapsis, разведка началась ещё в январе, успешные взломы — в марте, а в апреле атака достигла пика. Зафиксированы случаи эксплуатации даже на пропатченных системах — через ранее установленные веб-шеллы.

Forescout активировала свои инструменты:

  • eyeInspect — отслеживает POST-запросы и загрузки JSP
  • eyeFocus — оценивает риски
  • eyeAlert — уведомляет и запускает защитные меры

Некоторые сканирования уже приводили к сбоям в продуктивной среде.

Рекомендации:

  • срочно установить патчи SAP (NetWeaver AS Java 7.50–7.52)
  • ограничить доступ к интерфейсам загрузки
  • отключить Visual Composer, если он не используется
  • настроить сетевые фильтры
  • регулярно проводить пентесты и аудит

Без этих мер уязвимые SAP-серверы могут стать не только точкой шпионажа, но и источником разрушительных атак с удалением данных и распространением вредоносов по сети.