APTs المرتبطة الصين تستغل SAP CVE-2025-31324 لخرق 581 الأنظمة الحرجة في جميع أنحاء العالم
يتم استغلال عيب أمني حاسم الذي تم الكشف عنه مؤخرًا الذي يؤثر على SAP NetWeaver من قبل الجهات الفاعلة في دولة الصين الوطني لاستهداف شبكات البنية التحتية الحرجة.
“الجهات الفاعلة استفادت من CVE-2025-31324 ، وهي ضعف تحميل الملفات غير مصادقة تتيح تنفيذ التعليمات البرمجية عن بُعد (RCE)” قال في تحليل نُشر اليوم.
تشمل أهداف الحملة شبكات توزيع الغاز الطبيعي ، ومرافق المياه والمياه المتكاملة في المملكة المتحدة ، ومصانع تصنيع الأجهزة الطبية شركات التنقيب عن النفط والغاز في الولايات المتحدة ، والوزارات الحكومية في المملكة العربية السعودية المسؤولة عن استراتيجية الاستثمار والتنظيم المالي.
تستند النتائج إلى دليل مكشوف علنيًا تم اكتشافه على البنية التحتية التي يسيطر عليها المهاجم (“15.204.56[.]106 “) التي تحتوي على سجلات الأحداث التي تلتقط الأنشطة عبر أنظمة متعددة للخطر.
نسبت شركة الأمن السيبراني الهولندي التدخلات إلى مجموعات أنشطة التهديد الصينية التي تتبعها UNC5221 و UNC5174 و CL-STA-0048، تم ربط آخرها بالهجمات التي تستهدف أهدافًا عالية القيمة في جنوب آسيا من خلال استغلال نقاط الضعف المعروفة في خوادم IIS و Apache Tomcat و MS-SQL لإسقاط قذائف الويب ، والقذائف العكسية ، و plugx backdoor.
كما أشار إلى أن ممثل التهديد الصيني غير المصنف من نوكس يجري حملة على نطاق واسع للمسح والاستغلال عبر الإنترنت ضد SAP NetWeaver Systems. الخادم الذي تم استضافته على عنوان IP “15.204.56[.]تم العثور على 106 “لاحتواء ملفات متعددة ، بما في ذلك –
- “CVE-2025-31324-RESULTS.TXT” ، الذي سجل 581 مثيلات SAP Netweaver للخطر والورق مع قذيفة ويب
- “服务数据 _20250427_212229
“البنية التحتية المفتوحة المكشوفة تكشف عن انتهاكات مؤكدة وتسلط الضوء على الأهداف المخططة للمجموعة ، مما يوفر نظرة واضحة على العمليات السابقة والمستقبلية”.
يتبع استغلال CVE-2025-31324 ممثل التهديد الذي ينشر قشتين على شبكة الإنترنت مصممة للحفاظ على الوصول عن بُعد المستمر إلى الأنظمة المصابة وتنفيذ الأوامر التعسفية.
بالإضافة إلى ذلك ، لوحظت ثلاث مجموعات من القرصنة الصينية المختلفة التي تستغل ثغرة SAP NetWeaver كجزء من الجهود المبذولة للحفاظ على الوصول عن بُعد ، وإجراء الاستطلاع ، وإسقاط البرامج الضارة –
- CL-STA-0048 ، الذي حاول إنشاء قذيفة عكسية تفاعلية إلى “43.247.135[.]53 ، “عنوان IP الذي تم تحديده مسبقًا على أنه يستخدمه ممثل التهديد
- UNC5221 ، التي استفادت من قذيفة الويب لنشر KrustyLoader ، وهي برامج ضارة قائمة على الصدأ يمكن استخدامها لخدمة حمولات المرحلة الثانية مثل الشظية ، وإعداد الثبات ، وتنفيذ أوامر shell
- UNC5174 ، التي استفادت من قذيفة ويب لتنزيل Snowlight ، وهو محمل يبدأ اتصالًا مع خادم مرمّز لجلب طروادة عن بُعد قائم على GO المسمى Vshell و Backdoor المعروف باسم Goreverse
وقال بويوكايا: “من المرجح أن تستمر شركات APTs المرتبطة في الصين باستهداف تطبيقات المؤسسات المعرضة للإنترنت والأجهزة الحافة لإنشاء وصول استراتيجي طويل الأجل إلى شبكات البنية التحتية الحرجة على مستوى العالم”.
“إن تركيزهم على المنصات المستخدمة على نطاق واسع مثل SAP NetWeaver هو خطوة استراتيجية ، حيث يتم دمج هذه الأنظمة بعمق في بيئات المؤسسات وغالبًا ما تستضيف نقاط الضعف غير المذهلة.”
SAP Patches New Netweaver عيب في مايو 2025 التصحيح
يأتي الإفصاح بعد أيام من آخر ممثل تهديد غير معروف في الصين يطلق عليه Chaya_004 كما ينسب إلى استغلال CVE-2025-31324 لنشر قشرة عكسية تعتمد على GO تسمى Supershell.
شركة SAP Security Onapsis قال إنها “رؤية نشاطًا كبيرًا من المهاجمين الذين يستخدمون المعلومات العامة لإحداث قذائف على شبكة الإنترنت للاستغلال وإساءة استخدامها التي وضعها المهاجمون الأصليون ، الذين أصبحوا مظلمة حاليًا.”
أدى تحليل مزيد من هذه الهجمات إلى اكتشاف عيب حرج آخر في مكون تحميل بيانات Metadata Metadata Netweaver. تم تتبعه CVE-2025-42999 (CVSS SCORE: 9.1) ، فقد تم وصفها على أنها ثغرة أمنية يمكن استغلالها من قبل مستخدم متميز لتحميل محتوى غير موثوق به أو ضار.
في ضوء الاستغلال النشط المستمر ، يوصى بعملاء SAP NetWeaver بتحديث مثيلاتهم إلى أحدث إصدار في أسرع وقت ممكن.
