В апреле 2025 года были зафиксированы целенаправленные кибератаки со стороны групп APT, ориентированных на Китай. Эти кампании затронули критически важную инфраструктуру, в частности решения SAP NetWeaver, посредством использования уязвимости CVE-2025-31324. Данная уязвимость позволяет злоумышленникам загружать файлы без проверки подлинности, что приводит к удаленному выполнению кода.
Кто стоит за атаками?
Аналитики связывают эти угрозы с организациями, имеющими отношение к Министерству государственной безопасности Китая, в частности с группами UNC5221, UNC5174 и CL-STA-0048. Согласно отчетам, злоумышленники провели рекогносцировку скомпрометированных систем SAP, многие из которых были подключены к промышленным сетям управления, повышая риск бокового перемещения в сети и возможных сбоев в работе.
Используемые методы
Злоумышленники применяли незащищенный сервер для размещения средств разведки, которые осуществляли сканирование уязвимых экземпляров SAP NetWeaver, стремясь выявить попытки взлома. Выявленная инфраструктура включала следующие элементы:
- Каталог с документированными 581 скомпрометированными системами.
- Файл, содержащий перечень из 1800 потенциальных целей для будущих атак.
Анализ показывает, что злоумышленники использовали веб-оболочки для обеспечения сохраняемости, что позволяло удаленно выполнять команды, избегая обнаружения с помощью шифрования и методов выполнения без записи на диск. В частности, в этих веб-оболочках реализовано:
- AES/ECB шифрование;
- Классы, хранящиеся в памяти, для обеспечения доступа через черный ход.
Вредоносные программы и их цели
Одной из ключевых угроз стала вредоносная программа KrustyLoader, основанная на Rust, которая распространялась через взломанные системы SAP. Эта вредоносная программа была размещена на AWS S3 buckets и продемонстрировала методы злоупотребления законными облачными инфраструктурами для избежания обнаружения. Также был зафиксирован загрузчик SNOWLIGHT, который выполняет полезную нагрузку в памяти без записи данных на диск, что усложняет обнаружение.
Стратегические последствия атак
Виктимология этих атак подчеркивает стратегическую направленность на предоставление услуг первой необходимости, особенно в таких отраслях, как:
- Производство медицинского оборудования;
- Государственные министерства.
Это позволяет злоумышленникам получать привилегированный доступ к конфиденциальным сетям. Постоянные атаки на корпоративные приложения и подключенные устройства со стороны APT, связанных с Китаем, создают серьезные национальные и экономические риски, превращая технические уязвимости в реальные угрозы для критически важной инфраструктуры.
Необходимые меры безопасности
Постоянная эксплуатация таких широко используемых платформ, как SAP NetWeaver, акцентирует внимание на необходимость срочных мер безопасности. К ним относятся:
- Применение рекомендаций по безопасности SAP;
- Проведение всесторонних проверок на наличие несанкционированных веб-исполняемых файлов.
Исследования показывают, что хакеры будут продолжать проводить кампании, используя аналогичные уязвимости, руководствуясь геополитическими мотивами с целью получения стратегического преимущества и утечки конфиденциальной информации.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Кибератака Китая: угроза критической инфраструктуре через SAP".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.