Ты обновляешь NetWeaver — китайцы загружают бэкдор. Кто тут админ, а кто гость?

Исследователи из лаборатории Vedere Labs компании Forescout обнаружили связь между масштабной кибератакой на системы SAP NetWeaver и хакерской группировкой из Китая. Опасная уязвимость в программном обеспечении позволяет получить полный контроль над корпоративными системами.

Разработчики SAP отреагировали на угрозу 24 апреля, выпустив экстренное обновление безопасности для компонента Visual Composer платформы NetWeaver. Критическая брешь, получившая идентификатор CVE-2025-31324 , была впервые замечена специалистами компании ReliaQuest несколькими днями ранее.

Суть проблемы заключается в возможности загрузки вредоносных файлов на корпоративные серверы без авторизации. Такой доступ открывает путь к удаленному выполнению произвольного кода и, как следствие, захвату власти над инфраструктурой.

Команда ReliaQuest зафиксировала ряд успешных проникновений в системы своих клиентов. Киберпреступники размещали в публичных директориях специальные веб-оболочки на языке JSP, а на следующем этапе применяли инструмент Brute Ratel для закрепления в системе. Примечательно, что пострадавшие экземпляры SAP NetWeaver имели все актуальные обновления, что указывает на использование уязвимости нулевого дня.

Масштаб угрозы подтвердили и другие. Специалисты watchTowr и Onapsis , например, зафиксировали массовую установку бэкдоров на незащищенные экземпляры программного обеспечения, доступные из интернета.

Аналитики Mandiant отследили первые попытки эксплуатации бреши еще в середине марта 2025 года. В свою очередь, компания Onapsis дополнила исходный отчет: их системы-ловушки зарегистрировали разведывательную активность и тестирование вредоносного кода с 20 января, а целенаправленные попытки взлома начались 10 февраля.

Shadowserver Foundation в настоящий момент отслеживает 204 незащищенных экземпляра SAP NetWeaver, подверженных риску компрометации через CVE-2025-31324.

При этом ситуация оказалась особенно опасной для крупного бизнеса. По словам технического директора Onyphe Патриса Оффре, около 20 компаний из списков Fortune 500 и Global 500 находятся под угрозой, причем многие системы уже скомпрометированы. К концу апреля в сети обнаружили 1284 уязвимых инсталляции SAP NetWeaver, из которых 474 подверглись взлому.

Новая волна кибератак, зарегистрированная 29 апреля, привела исследователей Vedere Labs к группировке из Поднебесной, получившей обозначение Chaya_004. Её операторы проводили свои операции с IP-адресов, использующих необычные самоподписанные сертификаты с имитацией Cloudflare. Характерно, что большинство адресов принадлежало китайским облачным сервисам: Alibaba, Shenzhen Tencent, Huawei Cloud Service и China Unicom.

При проникновении в системы группировка также применяла инструменты с китайским интерфейсом, включая специализированную веб-оболочку SuperShell для организации обратного доступа к серверу, созданную китаеязычным разработчиком.

В инфраструктуру входит сеть серверов с установленными бэкдорами Supershell, размещенных преимущественно у китайских облачных провайдеров. Кроме того, обнаружен набор инструментов для тестирования на проникновение, многие из которых также имеют китайское происхождение.

Для защиты от атак администраторам SAP рекомендуют незамедлительно обновить ПО NetWeaver, ограничить функции загрузки метаданных, внимательно следить за подозрительной активностью и по возможности деактивировать сервис Visual Composer.

Американское CISA неделю назад включило брешь CVE-2025-31324 в перечень активно эксплуатируемых уязвимостей. Согласно директиве BOD 22-01, федеральные ведомства США должны обезопасить свои системы от подобных атак до 20 мая.

Уязвимости такого типа регулярно становятся инструментом в руках киберпреступников и создают серьезную угрозу для государственной инфраструктуры, — предупреждает агентство.