ช่องโหว่ระดับ Critical ในระบบ SAP NetWeaver ที่เพิ่งถูกเปิดเผย กำลังถูกกลุ่มแฮ็กเกอร์ที่เกี่ยวข้องกับรัฐบาลจีนหลายกลุ่มใช้ในการโจมตีเครือข่ายของโครงสร้างพื้นฐานสำคัญในหลายประเทศ
นักวิจัยจาก EclecticIQ เปิดเผยว่า กลุ่มแฮ็กเกอร์ที่เกี่ยวข้องกับรัฐบาลจีนกำลังใช้ประโยชน์จากช่องโหว่ CVE-2025-31324 ในผลิตภัณฑ์ SAP ซึ่งเปิดช่องให้ผู้โจมตีสามารถอัปโหลดไฟล์ และสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องเข้าสู่ระบบ การโจมตีนี้ส่งผลกระทบต่อระบบสำคัญ 581 แห่งทั่วโลก ซึ่งรวมถึงเครือข่ายจัดจำหน่ายก๊าซธรรมชาติ, ระบบจัดการน้ำ และขยะในสหราชอาณาจักร, โรงงานผลิตอุปกรณ์การแพทย์, บริษัทน้ำมัน และก๊าซในสหรัฐอเมริกา และกระทรวงในซาอุดีอาระเบียที่ดูแลด้านการลงทุน และการเงิน ข้อมูลการโจมตีถูกพบในโครงสร้างพื้นฐานที่ถูกควบคุมโดยผู้โจมตีที่มาจาก IP address '15.204.56[.]106' โดยการเจาะระบบต่าง ๆ ได้รับการบันทึกหลักฐานการดำเนินการไว้ในหลาย ๆ ระบบที่ถูกโจมตี
บริษัทรักษาความปลอดภัยทางไซเบอร์ของเนเธอร์แลนด์พบความเชื่อมโยงการโจมตีทางไซเบอร์ไปยังกลุ่มปฏิบัติการจากจีน ได้แก่ UNC5221, UNC5174 และ CL-STA-0048 โดยเฉพาะกลุ่ม CL-STA-0048 ที่มีส่วนเกี่ยวข้องกับการโจมตีเป้าหมายสำคัญในเอเชียใต้ โดยใช้ช่องโหว่ในเซิร์ฟเวอร์ที่ถูกเปิดเผยออกสู่สาธารณะ เช่น IIS, Apache Tomcat และ MS-SQL เพื่อฝังเว็บเชลล์, รีเวิร์สเชลล์ และ PlugX backdoor
รายงานยังระบุเพิ่มเติมว่า มีกลุ่มผู้โจมตีจากจีนที่ยังไม่ถูกระบุชื่อ กำลังดำเนินการสแกน และโจมตีระบบ SAP NetWeaver ผ่านอินเทอร์เน็ต โดยเซิร์ฟเวอร์ที่โฮสต์อยู่ที่ IP "15.204.56[.]106" ถูกพบว่ามีไฟล์หลายรายการ รวมถึง
- CVE-2025-31324-results.txt ซึ่งบันทึกข้อมูลระบบ SAP NetWeaver จำนวน 581 ระบบที่ถูกเจาะ และฝังเว็บเชลล์ไว้
- 服务数据_20250427_212229.txt ซึ่งเป็นรายการโดเมน 800 แห่งที่รัน SAP NetWeaver และมีแนวโน้มว่าจะเป็นเป้าหมายในอนาคต
Büyükkaya ระบุว่า โครงสร้างพื้นฐานแบบ open directory ที่ถูกเปิดเผยนี้ เป็นหลักฐานยืนยันการโจมตีทางไซเบอร์ และเผยให้เห็นเป้าหมายที่กลุ่มผู้โจมตีตั้งเป้าสำหรับการโจมตี ซึ่งสอดคล้องกับรูปแบบการโจมตีในอดีต และอนาคตของกลุ่มนี้
ผู้โจมตีใช้ประโยชน์จากช่องโหว่ CVE-2025-31324 และติดตั้งเว็บเชลล์สองตัวในระบบที่ถูกบุกรุก เพื่อรักษาการเข้าถึงจากระยะไกล และสั่งรันคำสั่งบนระบบ
มีการตรวจพบว่ากลุ่มแฮ็กเกอร์จากจีนอย่างน้อยสามกลุ่มได้ใช้ช่องโหว่ใน SAP NetWeaver เพื่อรักษาการเข้าถึงระบบจากระยะไกล, ทำการสอดแนม และติดตั้งมัลแวร์เพิ่มเติม โดยแต่ละกลุ่มมีเทคนิคที่แตกต่างกันดังนี้:
- CL-STA-0048 พยายามสร้าง reverse shell ตอบกลับไปยัง IP "43.247.135[.]53" ซึ่งเคยถูกระบุว่าเป็นของกลุ่มผู้โจมตีนี้มาก่อน
- UNC5221 ใช้เว็บเชลล์เพื่อติดตั้ง KrustyLoader มัลแวร์ที่พัฒนาโดยใช้ภาษา Rust ซึ่งสามารถใช้เพื่อติดตั้งเพย์โหลดขั้นที่สอง (secondary payload) อย่าง Sliver, ตั้งค่าการเข้าถึงอย่างถาวรในระบบ และรันคำสั่งต่าง ๆ ผ่าน shell
- UNC5174 ใช้เว็บเชลล์ในการดาวน์โหลด SNOWLIGHT ซึ่งเป็น loader ที่เชื่อมต่อกับเซิร์ฟเวอร์ที่ถูกกำหนดไว้ล่วงหน้า เพื่อโหลดมัลแวร์ประเภท remote access trojan ที่พัฒนาด้วยภาษา Go ชื่อว่า VShell รวมถึง backdoor ที่เรียกว่า GOREVERSE
Büyükkaya วิเคราะห์ว่า กลุ่ม APT ที่เชื่อมโยงกับจีนมีแนวโน้มสูงว่าจะยังคงมุ่งเป้าโจมตีแอปพลิเคชันขององค์กร และอุปกรณ์ที่เปิดให้เข้าถึงได้ผ่านอินเทอร์เน็ต เพื่อสร้างการเข้าถึงเครือข่ายโครงสร้างพื้นฐานสำคัญทั่วโลกในระยะยาวอย่างเป็นระบบ โดยหนึ่งในกลยุทธ์หลักคือการโจมตีแพลตฟอร์มที่ใช้อย่างแพร่หลาย เช่น SAP NetWeaver ซึ่งมักถูกใช้ภายในระบบขององค์กร และมักมีช่องโหว่ที่ยังไม่ได้รับการแก้ไข ทำให้เป็นเป้าหมายที่น่าดึงดูด และมีความเสี่ยงสูง
SAP ออกแพตช์แก้ไขช่องโหว่ใหม่ใน NetWeaver ในการอัปเดตเดือนพฤษภาคม 2025
การเปิดเผยข้อมูลดังกล่าวเกิดขึ้นไม่กี่วันหลังจากที่มีการระบุว่ากลุ่มผู้โจมตีที่เชื่อมโยงกับจีน ซึ่งยังไม่ถูกเปิดเผยชื่อ แต่ถูกตั้งชื่อว่า Chaya_004 ได้ถูกเชื่อมโยงกับการใช้ประโยชน์จากช่องโหว่ CVE-2025-31324 เพื่อใช้ในการติดตั้ง reverse shell ที่เขียนด้วยภาษา Go ชื่อว่า SuperShell
บริษัท Onapsis พบว่าขณะนี้มีการโจมตีที่สำคัญ โดยผู้โจมตีใช้ข้อมูลช่องโหว่ที่ถูกเปิดเผยออกสู่สาธารณะเพื่อเจาะช่องโหว่ CVE-2025-31324 และใช้เว็บเชลล์ที่เคยติดตั้งไว้ก่อนหน้า ซึ่งขณะนี้ไม่พบร่องรอยแล้ว
จากการวิเคราะห์การโจมตีเพิ่มเติม พบช่องโหว่ที่สำคัญอีกรายการในส่วน Visual Composer Metadata Uploader ของ NetWeaver คือ CVE-2025-42999 (คะแนน CVSS: 9.1) ช่องโหว่นี้เป็นปัญหาในกระบวนการ deserialization ซึ่งผู้ใช้ที่มีสิทธิ์อาจใช้เพื่ออัปโหลดเนื้อหาที่ไม่น่าเชื่อถือ หรือเป็นอันตรายได้
เนื่องจากการโจมตียังคงเกิดขึ้นอย่างต่อเนื่อง ลูกค้า SAP NetWeaver ควรทำการอัปเดตระบบให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด
ที่มา : thehackernews
You must be logged in to post a comment.