กลุ่มแฮ็กเกอร์ที่เชื่อมโยงกับจีนที่ชื่อว่า Chaya_004 ถูกพบว่ากำลังใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยที่ถูกเปิดเผยใหม่ใน SAP NetWeaver
ในรายงานของ Forescout Vedere Labs ที่เผยแพร่เมื่อวันพฤหัสบดีที่ผ่านมาระบุว่า ได้พบโครงสร้างพื้นฐานที่เป็นอันตรายซึ่งน่าจะเชื่อมโยงกับกลุ่มแฮ็กเกอร์ที่ใช้ประโยชน์จากช่องโหว่ CVE-2025-31324 (คะแนน CVSS: 10.0) มาตั้งแต่วันที่ 29 เมษายน 2025
CVE-2025-31324 เป็นช่องโหว่ระดับ Critical ใน SAP NetWeaver ซึ่งสามารถทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) โดยการอัปโหลดเว็บเชลล์ผ่าน "/developmentserver/metadatauploader" endpoint ได้
ช่องโหว่นี้ถูกพบครั้งแรกโดย ReliaQuest เมื่อปลายเดือนที่แล้ว เมื่อพบว่าได้มีการใช้ช่องโหว่นี้ในการโจมตีจริงโดยกลุ่มแฮ็กเกอร์ที่ยังไม่ถูกเปิดเผยชื่อเพื่อติดตั้ง web shells และหลังการโจมตี Brute Ratel C4 framework
ตามข้อมูลจาก Onapsis พบว่า ระบบ SAP หลายร้อยเครื่องทั่วโลกตกเป็นเหยื่อของการโจมตีในหลากหลายอุตสาหกรรม และภูมิภาค รวมถึงในภาคพลังงาน และสาธารณูปโภค, การผลิต, สื่อ และบันเทิง, น้ำมัน และก๊าซ, ยา, ค้าปลีก และองค์กรของรัฐบาล
บริษัทด้านความปลอดภัยเกี่ยวกับระบบ SAP ระบุว่า มีกิจกรรมการโจมตีที่เกี่ยวข้องกับการทดสอบด้วยเพย์โหลดของช่องโหว่นี้กับ honeypots ของบริษัทตั้งแต่วันที่ 20 มกราคม 2025 โดยการโจมตีที่สำเร็จในการติดตั้ง web shells ถูกพบระหว่างวันที่ 14 มีนาคม ถึง 31 มีนาคม
Mandiant ซึ่งเป็นบริษัทในเครือ Google ที่ยังคงมีส่วนร่วมในความพยายามตอบสนองต่อเหตุการณ์ที่เกี่ยวข้องกับการโจมตีเหล่านี้ ได้มีหลักฐานว่าพบการโจมตี ครั้งแรกในวันที่ 12 มีนาคม 2025
ในช่วงไม่กี่วันที่ผ่านมา มีแฮ็กเกอร์หลายกลุ่มที่ถูกระบุว่าเข้าร่วมการโจมตีโดยใช้ช่องโหว่นี้ โดยมุ่งเป้าไปที่ระบบที่มีความเสี่ยง เพื่อที่จะติดตั้ง web shells และมัลแวร์สำหรับขุดเหรียญสกุลเงินดิจิทัล
ตามรายงานของ Forescout ยังรวมถึงว่า Chaya_004 ซึ่งได้โฮสต์ web-based reverse shell ที่เขียนด้วยภาษา Golang-base ที่ชื่อว่า SuperShell บน IP Address 47.97.42[.]177 โดยบริษัทด้านความปลอดภัยทางเทคโนโลยีปฏิบัติการ (OT) ระบุว่า พวกเขาได้ข้อมูล IP Address นี้จาก ELF binary ที่มีชื่อว่า config ซึ่งถูกนำมาใช้ในการโจมตี
นักวิจัย Forescout Sai Molige และ Luca Barba ระบุว่า "IP Address เดียวกันที่โฮสต์ Supershell (47.97.42[.]177) พบพอร์ตเปิดอื่น ๆ หลายพอร์ต รวมถึง 3232/HTTP ที่ใช้ self-signed certificate ที่ผิดปกติปลอมตัวเป็น Cloudflare โดยมี properties ดังนี้: Subject DN: C=US, O=Cloudflare, Inc, CN=:3232"
จากการวิเคราะห์เพิ่มเติมพบว่า แฮ็กเกอร์ต้องโฮสต์เครื่องมือหลายตัวบนโครงสร้างพื้นฐาน รวมถึง NPS, SoftEther VPN, Cobalt Strike, Asset Reconnaissance Lighthouse (ARL), Pocassit, GOSINT, และ GO Simple Tunnel
นักวิจัยระบุเพิ่มเติมว่า "การใช้ผู้ให้บริการคลาวด์ของจีน และเครื่องมือที่เป็นภาษาจีนหลายตัวบ่งชี้ว่าแฮ็กเกอร์น่าจะมาจากจีน"
เพื่อป้องกันการโจมตี ผู้ใช้ควรติดตั้งแพตช์ทันที หากยังไม่สามารถอัปเดตได้ ให้จำกัดการเข้าถึง metadata uploader endpoint, ปิดใช้งาน Visual Composer service หากไม่ได้ใช้งาน และตรวจสอบพฤติกรรมที่น่าสงสัย
Juan Pablo JP Perez-Etchegoyen CTO ของ Onapsis ให้ข้อมูลกับ The Hacker News ว่า พฤติกรรมที่ Forescout แสดงให้เห็นนั้น เกิดขึ้นหลังจากมีการออกแพตช์อัปเดต และมันจะขยายภัยคุกคามจากการใช้ web shells ที่ถูกติดตั้งไว้ ไม่เพียงแต่แฮ็กเกอร์ที่ฉวยโอกาสจากสถานการณ์นี้เท่านั้น แต่ยังรวมถึงแฮ็กเกอร์ที่มีความชำนาญมากขึ้นที่ดูเหมือนจะตอบสนองอย่างรวดเร็วต่อช่องโหว่นี้เพื่อลงมือใช้การโจมตีที่มีอยู่ และขยายการโจมตีเพิ่มเติม"
ที่มา : thehackernews
You must be logged in to post a comment.