中国APTグループによるCVE-2025-31324の脆弱性を利用した重要インフラ攻撃の検知

新たに明らかになったSAP NetWeaverの重大な脆弱性である、認証不要のファイルアップロードの欠陥は、 RCE として追跡されている CVE-2025-31324が、中国関連の国家的グループによって重要なインフラシステムを攻撃するために積極的に悪用されています。防御者は、観測された侵入を中国のサイバースパイグループに帰属させており、これらは中国の国家安全部（MSS）またはその関連する民間請負業者と関連している可能性があります。

中国に関連する敵対者によるCVE-2025-31324の悪用試みを検出

As ゼロデイ の悪用が現代のサイバー攻撃をますます定義する中で、最大重度のSAP NetWeaverの欠陥CVE-2025-31324は、それ以来、中国関連のAPTグループによって2025年4月以降、広範に利用されて重要インフラを狙っています。

増大する侵入リスクに対抗するために、 SOC Prime Platformに登録し、 中国関連グループによる最新キャンペーンに関連するCVE-2025-31324の悪用検出のためのSigmaルールセットへアクセスします。

検出を探索

CVE-2025-31324の悪用に対処するさらなる検出アルゴリズムを探しているセキュリティ専門家は、CVE IDを直接参照するか、 このリンクに従うことができます。また、 CVEタグを使用することで、サイバー防御者は脆弱性の悪用を検出するルールのより広範なコレクションにアクセスできます。

検出は数十のSIEM、EDR、およびData Lakeソリューションに対応しており、 MITRE ATT&CK® フレームワークと整合しています。それらはまた、詳細な調査のための包括的なサイバー脅威のコンテキストを提供するために実用的なメタデータで強化されています。

セキュリティエンジニアはまた、 Uncoder AI—脅威に基づいた検出エンジニアリング向けに特別に設計されたプライベートで非エージェントのAIを活用できます。Uncoderを使用すると、防御者は専用のEclecticIQレポートからIOCを自動的に実行可能なハンティングクエリに変換でき、中国関連のAPT活動の効率的な調査を可能にします。また、Uncoderは生の脅威レポートからの検出ロジックの作成、ATT&CKタグの予測、AI駆動のクエリ最適化、および複数プラットフォーム間での検出コンテンツ翻訳をサポートします。

中国APTグループに関連するCVE-2025-31324の悪用分析

2025年4月、防御者はSAP NetWeaver Visual Composerを悪用して重大なゼロデイ脆弱性CVE-2025-31324を利用することにより、重要インフラを標的とする高強度の悪用キャンペーンを観測しました。敵対者の作戦は、重要インフラへの侵入、機密データの盗難、および高値のグローバルネットワークへの長期アクセスの確立を戦略的に狙っています。

EclecticIQのアナリストは 中国関連の APT グループが、SAP NetWeaverシステムを狙った大規模なインターネットスキャンおよび悪用キャンペーンを活発に実施している可能性が高いと評価しています。このキャンペーンは、イギリスの天然ガス配送、水および廃棄管理サービス、アメリカの医療機器メーカー、および石油とガス関連会社、さらにはサウジアラビアの投資および金融政策を管轄する政府機関などのさまざまなセクターを狙っています。

キャンペーンの規模の証拠は、IPアドレス15.204.56[.]106にホストされた敵対者制御のサーバーを通じて明らかにされました。このサーバーには、複数の侵入されたシステムの活動を詳細に載せたイベントログが含まれていました。このIPアドレスにあるサーバーは、「CVE-2025-31324-results.txt」を含む複数のファイルをホストしており、これはバックドア付きのwebシェルを搭載した581のフ SAP NetWeaverインスタンスを記録したもので、他に800のSAP NetWeaverを実行するドメインを載せたTXTファイルが見つかっており、これらが今後の標的である可能性を示唆しています。CVE-2025-31324の悪用に続いて、攻撃者は2つのwebシェルを展開し、感染システム上での持続的な遠隔アクセスと任意のコマンドの実行を維持します。

防御者はこれらの侵入を、UNC5221、UNC5174、およびCL-STA-0048として識別された中国のハッキンググループに帰属しています。CL-STA-0048は、以前にグループと関連付けられていたIP 43.247.135[.]53とのインタラクティブなリバースシェルを設定しようとしました。このハッキング集団は以前に、South AsiaでIIS、Apache Tomcat、およびMS-SQLサーバー上に公開された既知の欠陥を悪用してwebシェル、リバースシェル、および PlugX マルウェアを導入していたことが提起されています。

UNC5221として追跡された別のグループは、webシェルを使用してKrustyLoaderを展開し、Sliverのような二次ペイロードを配信し、持続性を維持し、シェルコマンドを実行する能力があります。CVE-2025-31324の悪用に関与したもう1つのハッキンググループとして知られるUNC5174は、VShellを取得するためにハードコードされたサーバーに接続するGoベースのRATであるSNOWLIGHTローダーをダウンロードする動きが観測されました。

研究者によると、中国に関連するAPTは、重要インフラに長期的なアクセスを得るために、インターネットに面したエンタープライズソフトウェアおよびエッジデバイスの兵器化を続けている可能性が高いです。

継続的なアクティブな悪用を鑑み、SAP NetWeaverユーザーは、 利用可能な最新バージョン へのバージョンアップを迅速に行うことを強く推奨されています。パッチ適用が現実的でない場合のCVE-2025-31324の緩和措置として、ベンダーはSAP Note #3593336に詳述されているように、コンポーネント sap.com/devserver_metadataupload_ear を削除することを推奨しています。また、 /developmentserver/metadatauploader へのアクセスは、内部の認証済みIP範囲に制限し、未認証または公共ネットワークのアクセスはWAFまたはファイアウォールルールによって遮断するべきです。

中国関連の脅威グループがエンタープライズ環境で重要な役割を果たすSAP NetWeaverのような広く使用されているプラットフォームを戦略的に狙っているのは、その未修正の脆弱性があることのためと考えられ、防御者の超応答性が出現する脅威を積極的に阻止するための重要なステップです。 SOC Prime Platform は、セキュリティチームに完全な製品スイートを提供し、-poweredテクノロジー、自動化機能、リアルタイム脅威インテリジェンスを背後に持ち、世界規模の企業がスケールでの防御力を強化できるように支援します。 AI-powered technology, automated capabilities, and real-time threat intelligence to help global enterprises strengthen their defenses at scale.