Хакеры Chaya_004 захватывают SAP по всему миру одним POST-запросом

С конца апреля 2025 года наблюдается всплеск атак на SAP NetWeaver Visual Composer, в которых используется критическая уязвимость CVE-2025-31324. Проблема затрагивает компонент metadata uploader и позволяет злоумышленникам загружать веб-оболочки через открытый интерфейс «/developmentserver/metadatauploader», что приводит к удалённому выполнению произвольного кода и захвату серверов.

Уязвимость получила максимальный балл 10.0 по шкале CVSS и уже включена в список активно эксплуатируемых CISA KEV. Первые сигналы о её эксплуатации появились в ловушках компании Forescout Vedere Labs 29 апреля. Исследователи отметили резкий рост сканирований, совпавший с массовыми атаками, в которых ключевую роль сыграла пока неидентифицированная группировка, получившая кодовое имя Chaya_004. По совокупности признаков она связана с Китаем.

Атаки проходили по отработанному сценарию: после загрузки веб-оболочек с именами вроде «helper.jsp» и «ssonkfrd.jsp» на серверы попадали дополнительные вредоносные файлы с внешних хостов при помощи curl. В результате взлома нарушалась работа бизнес-приложений — CRM, SCM, SRM — и открывался доступ к метаданным, учётным записям и внутренним ресурсам. Захваченные SAP-серверы использовались как отправные точки для дальнейшего распространения внутри инфраструктуры.

Наиболее активная инфраструктура атак была обнаружена на IP-адресе 47.97.42[.]177. Там размещалась веб-оболочка Supershell, написанная на Go. Сервер маскировался под Cloudflare, выдавая самоподписанный сертификат с поддельными атрибутами. По совпадающим сертификатам удалось установить ещё 578 IP-адресов, большая часть которых располагалась в китайских облаках — Alibaba, Tencent, Huawei Cloud и China Unicom. Это усилило подозрения о происхождении группировки.

На этих адресах также были обнаружены инструменты для разведки и тестирования: SoftEther VPN, ARL (Asset Reconnaissance Lighthouse), Pocassist, Xray, NPS, NHAS и Cobalt Strike. Многие из них имели китайскую локализацию. В ходе анализа также был выявлен ELF-файл с именем «config», использовавшийся для загрузки вредоносного компонента «svchosts.exe» с домена search-email[.]com, служившего командным центром.

Отдельный интерес вызвала карта сканирований: 37 IP-адресов, принадлежащих ASN Microsoft, активно искали уязвимые SAP-серверы, тогда как ещё 14 адресов на ASN Amazon проверяли уже скомпрометированные цели. Примечательно, что ни один из адресов не участвовал в обеих фазах, что указывает на раздельную инфраструктуру разведки и эксплуатации.

Инциденты наблюдались в десятках отраслей — от энергетики и нефтегаза до ритейла и государственного сектора. По данным Onapsis, атаки начались ещё в январе с разведывательных действий, затем в марте последовали успешные взломы, а в апреле уязвимость вышла на пик массового использования. Некоторые попытки эксплуатации фиксировались даже на уже пропатченных системах, что указывает на вторичное использование установленных ранее веб-шеллов.

В ответ на угрозу Forescout активировала свои платформы: eyeInspect теперь отслеживает подозрительные POST-запросы и загрузки JSP-файлов, eyeFocus оценивает контекст угроз и уровень риска, а eyeAlert отправляет уведомления и может запускать автоматические меры реагирования. Зафиксированы случаи, когда даже простая проверка на наличие уязвимости приводила к сбоям в производственной среде.

Специалисты рекомендуют незамедлительно установить обновления безопасности от SAP для версий NetWeaver AS Java 7.50–7.52, ограничить доступ к уязвимым интерфейсам загрузки, отключить неиспользуемые компоненты Visual Composer, настроить сетевые фильтры, а также проводить регулярные пентесты и аудит активности.

Если эти меры не будут реализованы оперативно, уязвимые SAP-серверы могут стать не только целью для шпионажа , но и источником разрушительных атак с удалением данных и распространением вредоносных компонентов по всей сети.