Çin bağlantılı isimsiz bir tehdit oyuncusu olarak adlandırıldı Chaya_004 SAP NetWeaver’da yakın zamanda açıklanan bir güvenlik kusurunun kullanıldığı gözlenmiştir.
Forescout Vedere Labs, bugün yayınlanan bir raporda, 29 Nisan 2025’ten bu yana CVE-2025-31324 (CVSS skoru: 10.0) silahlandırma grubu ile ilişkili kötü niyetli bir altyapı ortaya çıkardığını söyledi.
CVE-2025-31324, Web kabuklarını duyarlı bir “/geliştirme şirketi/metadatauploader” uç noktası aracılığıyla yükleyerek saldırganların uzaktan kod yürütülmesine (RCE) ulaşmalarını sağlayan kritik bir SAP netWeaver kusurunu ifade eder.
Güvenlik açığı, ilk olarak geçen ayın sonlarında, eksikliğin bilinmeyen tehdit aktörleri tarafından web mermilerini düşürmesi için gerçek dünya saldırılarında istismar edildiğini ve Brute Ratel C4 sömürme sonrası çerçevesini bulduğunda işaretlendi.
Onapsis’e göre, küresel olarak yüzlerce SAP sistemi, enerji ve kamu hizmetleri, üretim, medya ve eğlence, petrol ve gaz, ilaç, perakende ve hükümet kuruluşları gibi endüstrileri ve coğrafyaları kapsayan saldırılara kurban etti.
SAP güvenlik firması, 20 Ocak 2025’e kadar balkotlarına karşı “bu kırılganlığa karşı belirli yüklerle test edilen testleri” içeren keşif faaliyetlerini gözlemlediğini söyledi.
Bu saldırılarla ilgili olay müdahale çabalarıyla da ilgilenen Google’a ait maniant, 12 Mart 2025’te meydana gelen sömürü kanıtlarına sahiptir.
Son günlerde, çoklu tehdit aktörlerinin, web mermilerini ve hatta mayın kripto para birimini dağıtmak için fırsatçı olarak savunmasız sistemleri hedeflemek için sömürü bandwagonuna atladığı söyleniyor.
Bu, Forescout’a göre, Golang’da yazılmış IP adresinde Supershell adlı 47.97.42’de yazılmış Web tabanlı bir ters kabuk barındıran Chaya_004 de içerir.[.]177. Operasyonel Teknoloji (OT) Güvenlik Şirketi, IP adresini saldırıda kullanıma sunulan bir ELF ikili adlı yapılandırmadan çıkardığını söyledi.
“Supershell’i barındıran aynı IP adresinde (47.97.42[.]177), ayrıca 3232/HTTP dahil olmak üzere, aşağıdaki özelliklerle anormal bir kendi kendine imzalayan sertifika kullanan bir sertifika kullanarak başka açık bağlantı noktaları belirledik: Konu DN: C = US, O = Cloudflare, Inc, CN =: 3232, “Dedi.
Daha fazla analiz, tehdit oyuncusunun altyapı boyunca çeşitli araçlara ev sahipliği yapması gerektiğini ortaya çıkardı: NP’ler, yumuşak VPN, kobalt grevi, varlık keşif deniz feneri (ARL), Pocassit, Gosint ve Go basit tünel.
Araştırmacılar, “Çinli bulut sağlayıcılarının kullanımı ve birkaç Çin dilinin kullanımı Çin’de yaşayan bir tehdit aktörüne işaret ediyor.”
Saldırılara karşı savunmak için, kullanıcıların yamaları mümkün olan en kısa sürede uygulamaları, zaten olmasa bile, meta veri yükleyici uç noktasına erişimi kısıtlaması, kullanımda değilse görsel besteci hizmetini devre dışı bırakması ve şüpheli aktivite izlemeleri önemlidir.
Onapsis CTO Juan Pablo JP Perez -chegoyen, Hacker News’e, forescout tarafından vurgulanan etkinliğin depo sonrası olduğunu ve “sadece fırsatçı (ve potansiyel olarak daha az karmaşık) tehdit aktörlerine değil, aynı zamanda daha fazla gelişmiş olanlara daha fazla gelişmiş gibi görünen tehdidini daha da genişleteceğini söyledi.”