Критическая уязвимость в компоненте SAP NetWeaver Visual Composer (CVE-2025-31324), активно эксплуатируемая с конца марта 2025 года, стала инструментом масштабных атак на корпоративные системы по всему миру. Эксперты KS Threat Research Advisory раскрыли детали инфраструктуры злоумышленников и тактики пост-эксплуатации, демонстрирующие тревожную эскалацию возможностей ransomware-групп. Уязвимость, позволяющая неаутентифицированным злоумышленникам загружать вредоносные JSP-файлы для удаленного выполнения кода, использовалась для внедрения веб-шеллов и последующего развертывания инструментов кибершпионажа.
Описание
После успешной эксплуатации уязвимости атакующие развертывали JSP-веб-шеллы, выполнявшие функции легковесного интерфейса для удаленного управления скомпрометированными системами. Эти шеллы применялись для стандартных пост-эксплуатационных задач: сбора информации о системе через команды ipconfig, systeminfo и whoami, перечисления доменных пользователей и групп, проверки сетевой связности через ping к внешним C2-серверам, а также доставки вредоносных нагрузок. В частности, наблюдалось использование PowerShell для развертывания Cobalt Strike Beacon - фреймворка для продвинутых атак, что указывает на систематическую подготовку к глубокому проникновению в инфраструктуру жертв.
Ключевым элементом расследования стало выявление двух IP-адресов, использовавшихся в качестве командных серверов: 184.174.96.67 и 88.119.174.107. Первый ассоциирован с доменом officetoolservices[.]com, где обнаружена активность Cobalt Strike, подтвержденная характерными HTTP-ответами (статус 404, Content-Length: 0) и четырьмя образцами вредоносного ПО. Анализ временных меток показал, что эти образцы относятся к апрелю, что свидетельствует о второй волне атак после первоначальной эксплуатации в марте.
Второй IP, 88.119.174.107, также идентифицирован как C2-сервер Cobalt Strike, о чем говорят ответы "Server: golfe2" на портах 8081, 8082, 6443 и 7443. Через URL https://88.119.174%5B.%5D107:22443/file.ext доставлялся вредоносный нагрузку с хешем d7e4bb95401a19f9bf7ca280a4e743229998494790ab129b31b2a6c1cebebec7. Интересно, что конфигурация этого Beacon указывала на домен networkmaintenanceservice[.]com, демонстрируя многослойность инфраструктуры. Конфигурация включала гибридный HTTP-DNS протокол, механизмы инъекции кода (CreateThread, RtlCreateUserThread) и специфичные параметры, такие как Spawnto_x86 "%windir%\\syswow64\\runonce.exe".
Объединяющим фактором всех образцов Cobalt Strike стал watermark 1357776117 - уникальный идентификатор, встраиваемый в Beacon и часто связанный с лицензией или сборкой инструмента. Этот же маркер ранее фиксировался в атаках групп BlackBasta и Qilin, специализирующихся на ransomware. Хотя повторное использование watermark усложняет прямую атрибуцию, его присутствие во всех образцах указывает на причастность вымогательских группировок. Дополнительным аргументом служит единообразная схема именования поддоменов: злоумышленники применяли префиксы "sso", "login", "profile" и "store" в доменах типа misctoolsupdate[.]com, networkmaintenanceservice[.]com и officetoolservices[.]com. Такая стандартизация, имитирующая легитимные корпоративные сервисы, свидетельствует об автоматизированном развертывании инфраструктуры через шаблоны или скрипты.
Данная кампания знаменует опасный тренд: ransomware-группы теперь активно используют уязвимости нулевого дня, ранее считавшиеся прерогативой государственных хакеров. Приобретение таких эксплойтов через теневые форумы, частных разработчиков или партнерство с брокерами доступа подчеркивает профессионализацию криминального ландшафта. Эксплуатация CVE-2025-31324 в SAP NetWeaver - особенно тревожный сигнал, учитывая распространенность платформы в критической инфраструктуре. Организациям рекомендовано немедленно проверить наличие заплатки SAP, изолировать непропатченные системы и внедрить мониторинг аномальной активности, включая запросы к выявленным IP и доменам. Игнорирование подобных угроз может привести не только к шифрованию данных, но и к полномасштабным компрометациям с долгосрочными последствиями для бизнес-процессов.
Индикаторы компрометации
IPv4
- 177.54.223.24
- 180.131.145.73
- 184.174.96.67
- 184.174.96.74
- 88.119.174.107
Domains
- leapsummergetis.com
- misctoolsupdate.com
- networkmaintenanceservice.com
- officetoolservices.com
- onlinenetworkupdate.com
SHA256
- 52ed846c3b966539f851e79bba4172f0d460471012bb3933528367562ad6695c
- 89c272122477af854a51de4e220161d1c823a303151ebceb8788bb8ced2b7ba8
- a8e44d7534d71b0671eb21400a1798296784af02124019b694b7e687405d7628
- d2fa11395e93733d0957b8359faf19dd3c89bb044917e1488d74bd512c770c68
- d7e4bb95401a19f9bf7ca280a4e743229998494790ab129b31b2a6c1cebebec7
