Seorang aktor ancaman yang tidak disebutkan namanya yang tidak disebutkan namanya dijuluki Chaya_004 telah diamati mengeksploitasi cacat keamanan yang baru -baru ini diungkapkan di SAP Netweaver.
Forescout Vedere Labs, dalam sebuah laporan yang diterbitkan hari ini, mengatakan pihaknya mengungkap infrastruktur jahat yang kemungkinan terkait dengan kelompok peretasan yang mempersenjatai CVE-2025-31324 (skor CVSS: 10.0) sejak 29 April 2025.
CVE-2025-31324 mengacu pada cacat netweaver SAP kritis yang memungkinkan penyerang untuk mencapai eksekusi kode jarak jauh (RCE) dengan mengunggah shells web melalui titik akhir yang rentan “/pengembangan/metadatauploader”.
Kerentanan ini pertama kali ditandai oleh Reliaquest akhir bulan lalu ketika menemukan kekurangan yang dilecehkan dalam serangan dunia nyata oleh aktor ancaman yang tidak diketahui untuk menjatuhkan kerang web dan kerangka kerja pasca-eksploitasi Brute Ratel C4.
Menurut Onapsis, ratusan sistem SAP secara global telah menjadi korban serangan yang mencakup industri dan geografi, termasuk energi dan utilitas, manufaktur, media dan hiburan, minyak dan gas, obat -obatan, ritel, dan organisasi pemerintah.
Perusahaan keamanan SAP mengatakan mereka mengamati aktivitas pengintaian yang melibatkan “pengujian dengan muatan spesifik terhadap kerentanan ini” terhadap honeypots -nya sejauh 20 Januari 2025. Kompromi yang berhasil dalam menyebarkan cangkang web diamati antara 14 Maret dan 31 Maret.
Google-ointing Mandiant, yang juga terlibat dalam upaya respons insiden terkait dengan serangan ini, memiliki bukti eksploitasi yang terjadi pada 12 Maret 2025.
Dalam beberapa hari terakhir, beberapa aktor ancaman dikatakan telah melompat naik kereta musik eksploitasi untuk secara oportunistik menargetkan sistem yang rentan untuk menggunakan kerang web dan bahkan menambang cryptocurrency.
Ini, per forescout, juga termasuk chaya_004, yang telah menjadi tuan rumah shell terbalik berbasis web yang ditulis dalam golang yang disebut supershell di alamat IP 47.97.42[.]177. Perusahaan Keamanan Teknologi Operasional (OT) mengatakan pihaknya mengekstraksi alamat IP dari konfigurasi bernama Binary ELF yang digunakan dalam serangan itu.
“Di alamat IP yang sama Hosting Supershell (47.97.42[.]177), kami juga mengidentifikasi beberapa port terbuka lainnya, termasuk 3232/http menggunakan sertifikat yang ditandatangani sendiri secara anomali menyamar sebagai cloudflare dengan sifat-sifat berikut: subjek DN: C = US, O = Cloudflare, Inc, CN =: 3232, “kata peneliti forescout Sai Molige dan Luca Barba.
Analisis lebih lanjut telah mengungkap aktor ancaman harus menjadi tuan rumah berbagai alat di seluruh infrastruktur: NPS, Softether VPN, Cobalt Strike, Asset Reconnaissance Lighthouse (ARL), Pocassit, Gosint, dan GO Simple Tunnel.
“Penggunaan penyedia cloud Cina dan beberapa alat berbahasa Cina menunjuk pada aktor ancaman yang kemungkinan berbasis di Cina,” tambah para peneliti.
Untuk mempertahankan dari serangan, penting bagi pengguna menerapkan tambalan sesegera mungkin, jika belum, membatasi akses ke titik akhir pengunggah metadata, menonaktifkan layanan komposer visual jika tidak digunakan, dan memantau aktivitas yang mencurigakan.
Onapsis CTO Juan Pablo JP Perez-Echegoyen mengatakan kepada Hacker News bahwa kegiatan yang disorot oleh Forescout adalah pasca-patch, dan bahwa itu “akan semakin memperluas ancaman untuk memanfaatkan cangkang web tidak hanya untuk edisi ini, dan berpotensi menaikkan edisi-edisi ini, tetapi juga pengungkit yang lebih cepat, tetapi juga pengungkit yang lebih cepat untuk edisi ini, dan edisi yang berpotensi canggih, tetapi juga pengungkit yang lebih cepat untuk edisi ini, dan edisi yang berpotensi canggih, tetapi juga edisi-edisi ini, tetapi juga edisi yang lebih cepat, tetapi juga edisi itu meniru edisi ini untuk meniru edisi ini.
