コンテンツにスキップするには Enter キーを押してください

中国関連のハッカーがアジアとブラジルでSAPとSQLサーバーの脆弱性を悪用

投稿日 2025年5月30日

Image

最近、SAP NetWeaverの重大なセキュリティ欠陥を野放しに悪用した中国関連の脅威アクターが、2023年以降、ブラジル、インド、東南アジアの組織を標的とした一連の攻撃に関与しているとされています。

「この脅威アクターは主に、標的組織のSQLサーバーにアクセスするために、Webアプリケーションで発見されたSQLインジェクションの脆弱性を狙っています」とTrend Microのセキュリティ研究者Joseph C Chenは今週発表された分析で述べました。「このアクターはまた、さまざまな既知の脆弱性を利用して、外部に公開されているサーバーを攻撃します。」

敵対的な集団の他の著名な標的には、インドネシア、マレーシア、フィリピン、タイ、ベトナムが含まれます。

サイバーセキュリティ会社は、この活動をEarth Lamiaという名前で追跡しており、この活動がElastic Security LabsによってREF0657として、SophosによってSTAC6451として、Palo Alto Networks Unit 42によってCL-STA-0048として文書化された脅威クラスターとある程度の重複があると述べています。

これらの攻撃は、しばしばインターネットに公開されているMicrosoft SQLサーバーやその他のインスタンスを利用して、偵察を行い、Cobalt StrikeやSupershellのようなポストエクスプロイトツールを展開し、RakshasaやStowawayを使って被害者のネットワークにプロキシトンネルを確立することを目的としています。

また、GodPotatoやJuicyPotatoのような特権昇格ツール、FscanやKscanのようなネットワークスキャンユーティリティ、Windowsのアプリケーション、システム、セキュリティイベントログをクリーンにするためのwevtutil.exeのような正当なプログラムも使用されます。

インドの組織を狙った特定の侵入では、被害者のファイルを暗号化するためにMimicランサムウェアのバイナリを展開しようとしましたが、その試みはほとんど成功しませんでした。

「観測されたすべての事件でMimicランサムウェアのバイナリを配置しているのが確認されましたが、ランサムウェアはしばしば正常に実行されず、いくつかのケースでは、配置後にバイナリを削除しようとする様子が見られました」とSophosは2024年8月に発表された分析で指摘しました。

そして今月初め、EclecticIQは、CL-STA-0048がSAP NetWeaverの認証されていないファイルアップロードの脆弱性CVE-2025-31324を悪用して、制御下のインフラストラクチャにリバースシェルを確立するために利用した多くの中国関連のサイバースパイグループの一つであることを明らかにしました

Image

CVE-2025-31324に加えて、このハッキング集団は、外部に公開されているサーバーを侵害するために、8つもの異なる脆弱性を武器化したと言われています –

  • CVE-2017-9805 – Apache Struts2リモートコード実行の脆弱性
  • CVE-2021-22205 – GitLabリモートコード実行の脆弱性
  • CVE-2024-9047 – WordPress File Uploadプラグイン任意ファイルアクセスの脆弱性
  • CVE-2024-27198 – JetBrains TeamCity認証バイパスの脆弱性
  • CVE-2024-27199 – JetBrains TeamCityパストラバーサルの脆弱性
  • CVE-2024-51378 – CyberPanelリモートコード実行の脆弱性
  • CVE-2024-51567 – CyberPanelリモートコード実行の脆弱性
  • CVE-2024-56145 – Craft CMSリモートコード実行の脆弱性

Trend Microは、この脅威アクターが金融サービスから物流やオンライン小売、そして最近ではIT企業、大学、政府機関に焦点を移していると指摘しています。

「2024年初頭までに、彼らのターゲットは主に金融業界、特に証券やブローカーに関連する組織でした」と同社は述べました。「2024年後半には、主に物流やオンライン小売業界の組織にターゲットを移しました。最近では、IT企業、大学、政府機関にターゲットが再び移ったことが確認されています。」

Earth Lamiaが採用した注目すべき手法は、DLLサイドローディングを介してPULSEPACKのようなカスタムバックドアを展開することであり、これは中国のハッカーグループによって広く採用されている手法です。モジュラー型の.NETベースのインプラントであるPULSEPACKは、リモートサーバーと通信して、その機能を実行するためのさまざまなプラグインを取得します。

Trend Microは、2025年3月にバックドアの更新バージョンを観測し、コマンド・アンド・コントロール(C2)通信方法をTCPからWebSocketに変更していることを確認し、マルウェアの開発が継続的に進行中であることを示しています。

「Earth Lamiaは、複数の国や産業にわたって攻撃を行っており、その意図は攻撃的です」と結論付けています。「同時に、脅威アクターはカスタムハッキングツールや新しいバックドアを開発することで攻撃戦術を継続的に洗練しています。」

翻訳元: https://thehackernews.com/2025/05/china-linked-hackers-exploit-sap-and.html

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です