此篇文章深入探討了資安業者Forescout以及其他研究機構所揭示的中國駭客以及勒索軟體駭客組織如何利用SAP NetWeaver的重大漏洞CVE-2025-31324進行攻擊。該漏洞被評為危險程度滿分的10分,並已經引發了多個駭客集團的關注,這些駭客利用此漏洞展開一系列針對全球關鍵基礎設施的攻擊。
根據資安業者EclecticIQ的研究,至少有三組中國駭客集團在利用此漏洞進行攻擊。這三組駭客分別是CL-STA-0048、UNC5221和UNC5174,且均與中國國家安全部(MSS)有關。這些駭客的攻擊範圍涵蓋了英國的關鍵天然氣網路、水資源和廢水管理設施,以及美國的先進醫療裝置製造商和石油天然氣探勘公司,甚至包括沙烏地阿拉伯財務部門。這些駭客利用漏洞進行反向Shell互動、執行遠端命令、下載惡意程式等攻擊行為,顯示出其攻擊行為的多樣性和高危性。
此外,作者也提到,EclecticIQ觀察到來自中國的駭客進行大規模掃描,並嘗試將Web Shell植入多達581臺受影響的NetWeaver伺服器。駭客隨後將1,800個網域列為後續攻擊的目標,顯示出此漏洞的利用已經達到大規模的攻擊行動。
除了國家級駭客,勒索軟體駭客也將CVE-2025-31324納入其攻擊手段。資安業者ReliaQuest指出,俄羅斯勒索軟體駭客「變臉(BianLian)」和「RansomEXX」兩個勒索軟體家族也已利用此漏洞進行攻擊。變臉駭客透過兩個IP位址發動攻擊,其中一臺主機啟動反向代理伺服器服務,另一臺充當C2伺服器;而RansomEXX則透過該漏洞散播惡意程式PipeMagic,並可能同時利用CLFS漏洞CVE-2025-29824加劇攻擊的效果。
本文展示了CVE-2025-31324漏洞的高度危險性,並且強調了該漏洞已被不同類型的駭客所廣泛利用,無論是國家級駭客還是勒索軟體駭客。各種駭客組織所採取的攻擊方式和所針對的目標範圍,讓這次漏洞事件成為全球資安領域的重要警訊。
