Eclecticiq analistleri, dünya çapında kritik altyapıyı hedefleyen Çin-Nation-State İleri Dikkatli Tehditler (APT’ler) tarafından düzenlenen sofistike bir siber-durum kampanyası ortaya çıkardılar.
Nisan 2025’te, bu tehdit aktörleri SAP Netweaver görsel bestecisine karşı yüksek tempolu bir sömürü kampanyası başlattı ve CVE-2025-31324 olarak tanımlanan sıfır gün güvenlik açığından yararlandı.
Bu kimliği doğrulanmamış dosya yükleme kusuru, saldırganlara yüksek değerli ağlardan ödün vermek için bir ağ geçidi sağlayarak uzaktan kod yürütülmesine (RCE) izin verir.
.png
)
Saldırgan tarafından kontrol edilen altyapıya ilişkin açık bir dizinden elde edilen kanıtlar, çoklu sistemlerde operasyonların ayrıntılı olay günlüklerini ortaya çıkardı, bu da temel hizmetler ve devlet kuruluşları üzerindeki bu stratejik saldırının ölçeğini ve hassasiyetini doğruladı.
Siber-İzin Kampanyası Açıklandı
Kampanyanın kapsamı şaşırtıcıdır, Eclecticiq, girişleri UNC5221, UNC5174 ve CL-STA-0048 gibi Çin siber-karşıt birimlerine bağlarken, Çin Devlet Güvenliği Bakanlığı’na (MSS) bağlı.
IP 15.204.56.106’da bir tehdit aktör kontrollü sunucu, Web Shells ve 1.800 potansiyel hedefin bir listesi ile geri çekilen 581 tehlikeye atılmış durumlar da dahil olmak üzere SAP Netweaver ihlallerinin derinliğini ortaya çıkaran açıkça erişilebilir bir dizin barındırdı.
Saldırganlar, gizli iletişim için AES/ECB şifrelemesi ve doğrudan komut yürütme için hafif bir geri dönüş kabuğu olan ForwardSap.jsp ile Çin Araç Seti Sebep/冰蝎 V3’e benzeyen iki kötü niyetli webshell-coreasp.js kullandı.
Sıkıştırma sonrası taktikler, kötü amaçlı yazılım teslimi için AWS S3 kovaları aracılığıyla KrustyLoader’ın dağıtılmasını ve Vshell Remote Access Trojan’ı (sıçan) bellekte yürütmek için UNC5174 tarafından kar ışığı indiricisini kullandı.
Girişler ve taktiksel sofistike
Mağdur, İngiltere, ABD ve Suudi Arabistan’daki kritik sektörlere, doğal gaz ağlarını, su kamu hizmetlerini, tıbbi üretimi, petrol ve gaz firmalarını ve devlet bakanlık sistemlerini kamu refahı ve ulusal güvenliğe ayrılmaz bir şekilde hedefleyen hesaplanmış bir odaklanmayı ortaya koymaktadır.
Genellikle segmentasyon olmadan endüstriyel kontrol sistemlerine (ICS) bağlanan tehlikeye atılmış SAP sistemleri, Çin uyumlu APT’lerin jeopolitik gerilimler sırasında uzun vadeli casusluk ve stratejik konumlandırma hedefleri ile hizalanan ciddi yanal hareket ve potansiyel hizmet aksaması riskleri oluşturmaktadır.
28 Nisan 2025 tarihinde Komut ve Kontrol (C2) Trafiğinin daha fazla analizi, IP 43.247.135.53’e aktif iletişimi belirledi ve CL-STA-0048’e bağlı bir alana, ters kabuk denemeleri ve DNS işaretleme taktikleri ile devam eden sömürüyü doğruladı.
Sınırlama sonrası numaralandırma çabaları, AWS iş yükleri ve VMware ESXI hipervizörleri gibi bulut bağlantılı altyapıyı hedefleyen ve yaygın etki tehdidini güçlendiren Linux komutları aracılığıyla dahili ağların haritalandırılmasını içeriyordu.
ECLECTICIQ, SAP NetWeaver gibi internete bakan kurumsal uygulamaları hedefleyen bu tür kampanyaların devam edeceğini ve küresel olarak kritik altyapıya sürekli erişim için açılmamış güvenlik açıklarından yararlanacağını değerlendiriyor.
Uzlaşma Göstergeleri (IOC)
| Tehdit Oyuncu/Grubu | Gösterge | Ayrıntılar/Karmalar |
|---|---|---|
| Kategorize edilmemiş Çin-Nexus | 15.204.56.106 | Opendir Server barındırma günlükleri, web kabukları, hedef listeler |
| CL-0048 | 43.247.135.53 | Sentinelones.com, TCP 10443 |
| UNC5221 (KrustyLoader) | Applr-Malbbal.S3.AP-Northeast-2.amazonaws.com | Kötü amaçlı yazılım dağıtım alanı |
| UNC5174 (Snowlight/VSHELL) | 103.30.76.206 | Kar ışığı el sıkışma için TCP 443 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!