Государственные злоумышленники используют SAP NetWeaver (CVE-2025-31324) для атак на критически важные инфраструктуры

Они направлены на сети критической инфраструктуры, использующие SAP NetWeaver Visual Composer, с использованием уязвимости CVE-2025-31324, позволяющей удаленное выполнение кода. Ссылаясь на шаблоны сделок между злоумышленниками, специалисты связывают вторжения в SAP NetWeaver с китайскими кибершпионажными подразделениями, ассоциированными с Министерством государственной безопасности Китая.

Злоумышленники, вероятно, проводят кампанию сканирования и эксплуатации систем SAP NetWeaver через интернет. Контролируемый сервер с IP-адресом 15.204.56[.]106 раскрывает масштабы вторжений. На сервере были обнаружены два файла результатов, которые содержат информацию о скомпрометированных экземплярах SAP NetWeaver и целях для будущих атак. Аналитики обнаружили веб-оболочки, используемые для удаленного доступа к системам жертвы с использованием шифрования и выполнения удаленных команд.

Веб-оболочки coreasp.js и forwardsap.jsp позволяют злоумышленникам управлять системами SAP NetWeaver, выполнять удаленные команды и хранить данные в памяти, минимизируя следы. Эти оболочки были установлены после эксплойта через API. Анализ инфраструктуры и обнаруженные угрозы свидетельствуют о целенаправленной кампании против критически важных секторов, включая великобританские сети распределения природного газа и системы водоснабжения. В целом, действия китайских хакеров имеют стратегическую направленность на государственные организации и ключевые службы.

IPv4

• 103.30.76.206
• 107.174.81.24
• 107.175.77.118
• 130.185.118.247
• 138.197.40.133
• 138.68.61.82
• 141.164.35.53
• 142.202.4.28
• 149.62.46.132
• 15.188.246.198
• 15.204.56.106
• 153.92.4.236
• 154.37.221.237
• 156.238.224.227
• 159.65.34.242
• 162.248.53.119
• 184.174.96.39
• 185.143.222.215
• 185.165.169.31
• 192.243.115.175
• 196.251.85.31
• 206.237.1.201
• 208.76.55.39
• 212.11.64.225
• 212.192.15.213
• 215.204.56.106
• 23.227.196.204
• 23.95.123.5
• 27.25.148.183
• 3.125.102.39
• 3.248.33.252
• 43.247.135.53
• 45.155.222.14
• 45.61.137.162
• 45.77.119.13
• 46.29.161.198
• 52.172.31.130
• 52.185.157.28
• 54.77.139.23
• 62.234.24.38
• 64.233.180.99
• 64.95.11.95
• 65.20.81.172
• 65.49.235.210
• 96.9.124.89

Domains

• aaa.ki6zmfw3ps8q14rfbfczfq5qkhq8e12q.oastify.com
• abode-dashboard-media.s3.ap-south-1.amazonaws.com
• applr-malbbal.s3.ap-northeast-2.amazonaws.com
• brandnav-cms-storage.s3.amazonaws.com

SHA256

• 00920e109f16fe61092e70fca68a5219ade6d42b427e895202f628b467a3d22e
• 0c2c8280701706e0772cb9be83502096e94ad4d9c21d576db0bc627e1e84b579
• 2dcbb4138f836bb5d7bc7d8101d3004848c541df6af997246d4b2a252f29d51a
• 3f14dc65cc9e35989857dc1ec4bb1179ab05457f2238e917b698edb4c57ae7ce
• 47ff0ae9220a09bfad2a2fb1e2fa2c8ffe5e9cb0466646e2a940ac2e0cf55d04
• 4c9e60cc73e87da4cadc51523690d67549de4902e880974bfacf7f1a8dc40d7d
• 5e24b41a0bd076ec2b4e49e66daac94396c6180d00a45bcd7f4342a385fa1eed
• 5f3d1f17033d85b85f3bd5ae55cb720e53b31f1679d52986c8d635fd1ce0c08a
• 63aa0c6890ec5c16b872fb6d070556447cd707dfba185d32a2c10c008dbdbcdd
• 888e953538ff668104f838120bc4d801c41adb07027db16281402a62f6ec29ef
• 91f66ba1ad49d3062afdcc80e54da0807207d80a1b539edcdbd6e1bf99e7a2ca
• b8e56de3792dbd0f4239b54cfaad7ece3bd42affa4fbbdd7668492de548b5df8
• b9533ce8e428f16f3d0e1946f19a6f756ff11a532d0b7e61ae402837f46c678e
• c71da1dfea145798f881afd73b597336d87f18f8fd8f9a7f524c6749a5c664e4
• f92d0cf4d577c68aa615797d1704f40b14810d98b48834b241dd5c9963e113ec