عامل تهدید مرتبط با چین که اخیراً با اکسپلویت گسترده از نقص امنیتی حیاتی در SAP NetWeaver مرتبط است، از سال ۲۰۲۳ به مجموعه گستردهتری از حملات علیه سازمانهای برزیل، هند و آسیای جنوب شرقی نسبت داده شده است.
محقق امنیتی Trend Micro، در تحلیلی گفت: این عامل تهدید عمدتاً آسیبپذیریهای تزریق SQL کشف شده در وباپلیکیشنها را برای دسترسی به سرورهای SQL سازمانهای مد نظر هدف قرار میدهد. این عامل تهدید همچنین از آسیبپذیریهای شناختهشده مختلف برای سوءاستفاده از سرورهای عمومی استفاده میکند. برخی دیگر از اهداف برجسته این گروه تهدید عبارتند از اندونزی، مالزی، فیلیپین، تایلند و ویتنام. این شرکت امنیت سایبری در حال ردیابی فعالیت تحت نام مستعار Earth Lamia است و اظهار میکند که این فعالیت تا حدودی با گروههای تهدیدی که به ترتیب توسط Elastic Security Labs، Sophos، Palo Alto Networks Unit 42 تحت عناوین REF0657، STAC6451 و CL-STA-0048 ردیابی شدهاند، همپوشانی دارد. در این حملات از ابزارهای ارتقا سطح دسترسی مانند GodPotato و JuicyPotato؛ ابزارهای اسکن شبکه مانند Fscan و Kscan؛ و برنامههای قانونی مانند wevtutil.exe برای پاکسازی گزارشهای رویداد برنامههای ویندوز، سیستم و امنیت استفاده شده است. علاوه بر نقص امنیتی حیاتی CVE-2025-31324، گفته میشود که گروه هکری از هشت آسیبپذیری مختلف برای نفوذ به سرورهای عمومی استفاده کردهاند:
- CVE-2017-9805: آسیبپذیری اجرای کد از راه دور Apache Struts2
- CVE-2021-22205: آسیبپذیری اجرای کد از راه دور GitLab
- CVE-2024-9047: آسیبپذیری دسترسی به فایل دلخواه افزونه آپلود فایل وردپرس
- CVE-2024-27198: آسیبپذیری دور زدن احراز هویت JetBrains TeamCity
- CVE-2024-27199: آسیبپذیری پیمایش مسیر JetBrains TeamCity
- CVE-2024-51378: آسیبپذیری اجرای کد از راه دور CyberPanel
- CVE-2024-51567: آسیبپذیری اجرای کد از راه دور CyberPanel
- CVE-2024-56145: آسیبپذیری اجرای کد از راه دور Craft CMS
https://thehackernews.com/2025/05/china-linked-hackers-exploit-sap-and.html
