كشفت شركة Forescout Vedere Labs أن مجموعة تهديد سيبراني مجهولة الهوية يُشتبه بارتباطها بالصين وتُعرف باسم Chaya_004، تستغل بنشاط ثغرة خطيرة تم الكشف عنها مؤخرًا في نظام SAP NetWeaver، وذلك منذ 29 أبريل 2025.
تفاصيل الثغرة الأمنية CVE-2025-31324 (درجة CVSS: 10.0)
تُعد هذه الثغرة من النوع تنفيذ الأوامر عن بُعد (RCE)، وتتيح للمهاجمين تحميل Web Shells عبر نقطة الضعف في المسار:
وقد تم رصد هذه الثغرة لأول مرة من قبل شركة ReliaQuest أواخر أبريل، حين أكدت أن جهات تهديد مجهولة استخدمتها في هجمات حقيقية لنشر Web Shells وأداة Brute Ratel C4 المستخدمة في مراحل ما بعد الاستغلال.
الهجمات واسعة النطاق على أنظمة SAP حول العالم
وفقًا لشركة Onapsis المتخصصة بأمن SAP، فقد تم استهداف مئات الأنظمة حول العالم، تشمل قطاعات متعددة مثل:
-
الطاقة والمرافق
-
التصنيع
-
الإعلام والترفيه
-
النفط والغاز
-
الصناعات الدوائية
-
قطاع التجزئة
-
المؤسسات الحكومية
وتم تتبع نشاط استطلاعي ضد مصائد رقمية (honeypots) منذ 20 يناير 2025، بينما حدثت الاختراقات الفعلية بين 14 و31 مارس.
أداة SuperShell المستهدفة بلغة Golang
أشارت Forescout إلى أن مجموعة Chaya_004 نشرت أداة Web Shell تُعرف باسم SuperShell مكتوبة بلغة Golang
وتم استخراج هذا العنوان من ملف تنفيذي من نوع ELF، كما تم رصد منافذ مفتوحة على نفس الخادم، أحدها يستخدم شهادة TLS موقعة ذاتيًا وتنتحل هوية شركة Cloudflare.
أدوات أخرى استخدمها المهاجمون
أكد الباحثون أن البنية التحتية التي استخدمها الفاعلون السيبرانيون تحتوي على مجموعة أدوات متنوعة، تشمل:
-
NPS (نظام توجيه الشبكة)
-
SoftEther VPN
-
Cobalt Strike
-
Asset Reconnaissance Lighthouse (ARL)
-
Pocassit
-
GOSINT
-
GO Simple Tunnel
ويرجح استخدام أدوات وخدمات استضافة سحابية صينية، مما يدعم فرضية ارتباط المجموعة بالحكومة أو بجهات فاعلة داخل الصين.
تحذيرات وتوصيات أمنية لمشغلي SAP
لمنع استغلال هذه الثغرة، توصي Forescout وOnapsis باتخاذ الإجراءات التالية:
-
تطبيق آخر التحديثات الأمنية فورًا.
-
تقييد الوصول إلى نقطة تحميل البيانات.
-
تعطيل خدمة Visual Composer إن لم تكن قيد الاستخدام.
-
مراقبة الأنظمة لرصد أي نشاط مشبوه.
تهديدات مستقبلية حتى بعد تصحيح الثغرة
أوضح كبير مسؤولي التكنولوجيا في Onapsis، خوان بابلو بيريز-إتشغوين، أن الاستغلال المستمر للثغرة رغم صدور التحديثات يوسع من نطاق التهديدات، ويتيح للمهاجمين، سواء البسيطين أو المتقدمين، الاستفادة من نقاط الضعف السابقة لتوسيع هجماتهم وتنفيذ عمليات أكثر تعقيدًا.
