هکرهای چینی با سوءاستفاده از آسیب‌پذیری بحرانی SAP ابزار SuperShell را برای نفوذ مستقر کردند!

یک گروه هکری ناشناس مرتبط با چین، با نام Chaya_004، از آسیب‌پذیری تازه‌افشاشده در SAP NetWeaver برای حملات سایبری استفاده می‌کند.آزمایشگاه Vedere شرکت Forescout گزارش داد که زیرساخت مخربی را شناسایی کرده که احتمالا به این گروه هکری وابسته است.

سوءاستفاده از آسیب‌پذیری CVE-2025-31324

این گروه از ۲۹ آوریل ۲۰۲۵ از آسیب‌پذیری CVE-2025-31324 (با امتیاز CVSS ۱۰.۰) سوءاستفاده می‌کند. این آسیب‌پذیری بحرانی در SAP NetWeaver امکان اجرای کد از راه دور (RCE) را از طریق بارگذاری وب‌شل‌ها در مسیر آسیب‌پذیر /developmentserver/metadatauploader فراهم می‌کند.

این نقص ابتدا در اواخر ماه گذشته توسط شرکت ReliaQuest شناسایی شد، زمانی که مهاجمان ناشناس از آن برای نصب وب‌شل و فریم‌ورک پس از اکسپلویت Brute Ratel C4 استفاده کردند. شرکت Onapsis اعلام کرد که صدها سامانه SAP در صنایع مختلف از جمله انرژی، تولید، رسانه، نفت و گاز، داروسازی، خرده‌فروشی و سازمان‌های دولتی در سراسر جهان هدف این حملات قرار گرفته‌اند.

Onapsis گزارش داد که فعالیت‌های آزمایشی علیه این آسیب‌پذیری از ۲۰ ژانویه ۲۰۲۵ در هانی‌پات‌هایش(Honeypot) مشاهده شده و موارد موفق استقرار وب‌شل بین ۱۴ تا ۳۱ مارس ثبت شده است. شرکت Mandiant، وابسته به گوگل، نیز شواهدی از اولین سوءاستفاده در ۱۲ مارس ۲۰۲۵ شناسایی کرده است.

اخیرا، چندین گروه‌ هکری به‌صورت فرصت‌طلبانه از این آسیب‌پذیری برای استقرار وب‌شل یا استخراج رمزارز سوءاستفاده کرده‌اند. Forescout اعلام کرد که یکی از این عاملان تهدید، گروه Chaya_004، یک شل معکوس تحت وب به نام SuperShell، نوشته‌شده با زبان Golang، را روی آدرس 47.97.42[.]177 میزبانی کرده اند. این آدرس از فایل باینری ELF با نام config که در حمله استفاده شده بود، استخراج شده‌است.

محققان Forescout گزارش دادند که در آدرس IP میزبان SuperShell، چندین پورت باز، از جمله پورت ۳۲۳۲HTTP/، شناسایی شده که از گواهی‌ خودامضای غیرعادی با ادعای جعلی Cloudflare استفاده می‌کند. این گواهی‌ دارای مشخصات: Subject DN: C=US, O=Cloudflare, Inc, CN=:3232 است.

تحلیل‌ها نشان داد که این گروه ابزارهای متعددی از جمله NPS، SoftEther VPN، Cobalt Strike، ARL، Pocassit، GOSINT، و GO Simple Tunnel را روی زیرساخت خود میزبانی می‌کند. استفاده از ارائه‌دهندگان ابری چینی و ابزارهای چینی‌زبان نشان می‌دهد که این گروه احتمالا در چین مستقر است.

توصیه امنیتی

برای محافظت در برابر این حملات، کاربران باید موارد زیر را رعایت کنند:

• فورا پچ‌های امنیتی را اعمال کنند.
• دسترسی به مسیر metadatauploader را محدود کنند.
• سرویس Visual Composer را در صورت عدم نیاز غیرفعال کنند.
• فعالیت‌های مشکوک را پایش کنند.

منابع: