一名與中國有關的匿名威脅行為者Chaya_004被發現利用 SAP NetWeaver 中最近揭露的安全漏洞。

Forescout Vedere Labs 在周四發布的一份報告中稱，它發現了一個惡意基礎設施，可能與自 2025 年 4 月 29 日起使用 CVE-2025-31324（CVSS 評分：10.0）的駭客組織有關。

CVE-2025-31324 是指一個嚴重的 SAP NetWeaver 漏洞，該漏洞允許攻擊者透過易受攻擊的「/developmentserver/metadatauploader」端點上傳 Web Shell 來實現遠端程式碼執行 (RCE)。

ReliaQuest 在上個月底首次發現了該漏洞，當時它發現現實世界中的攻擊中未知威脅行為者會濫用該漏洞來投放 Web Shell 和 Brute Ratel C4 後利用框架。

據 Onapsis 稱，全球數百個 SAP 系統已成為跨行業和地區的攻擊的受害者，包括能源和公用事業、製造業、媒體和娛樂、石油和天然氣、製藥、零售和政府組織。

SAP 安全公司表示，早在 2025 年 1 月 20 日，它就觀察到針對其蜜罐的偵察活動，包括「使用特定有效載荷測試此漏洞」。在 3 月 14 日至 3 月 31 日期間，觀察到部署 Web Shell 的成功入侵。

谷歌旗下的 Mandiant 也參與了與這些攻擊相關的事件回應工作，有證據顯示首次已知的攻擊發生在 2025 年 3 月 12 日。

據稱，最近幾天，多名威脅行為者加入了攻擊潮流，伺機針對易受攻擊的系統部署 Web Shell，甚至挖掘加密貨幣。

根據 Forescout 的統計，這也包括 Chaya_004，它在 IP 位址 47.97.42[.]177 上託管了一個用 Golang 編寫的基於 Web 的反向 shell，名為SuperShell 。這家營運技術 (OT) 安全公司表示，它從用於攻擊的名為 config 的 ELF 二進位檔案中提取了 IP 位址。

Forescout 研究人員 Sai Molige 和 Luca Barba 表示：「在託管 Supershell 的相同 IP 位址（47.97.42[.]177）上，我們還發現了其他幾個開放端口，包括 3232/HTTP，它使用一個冒充 Cloudflare 的異常自簽名證書，具有以下屬性：主題 DNCloud：CC、OG.」

進一步分析發現，威脅行為者必須在基礎設施中託管各種工具：NPS、SoftEther VPN、Cobalt Strike、資產偵察燈塔 ( ARL )、Pocassit、GOSINT和GO Simple Tunnel。

研究人員補充說：“使用中國雲端供應商和多種中文工具表明威脅行為者可能位於中國。”

為了防禦攻擊，用戶必須盡快套用修補程式（如果尚未套用），限制對元資料上傳器端點的訪問，停用未使用的 Visual Composer 服務，並監視可疑活動。

Onapsis 首席技術長 Juan Pablo JP Perez-Etchegoyen 告訴 The Hacker News，Forescout 強調的活動是補丁之後的活動，並且「將進一步擴大利用已部署的 Web Shell 的威脅，不僅針對機會主義（可能不太複雜）的威脅行為者，而且更高級的威脅行為者似乎已經妥協問題做出快速反應，利用這種問題做出快速反應，利用現有的並進一步擴展。