중국 APT 그룹의 CVE-2025-31324 악용 탐지: 중요 인프라 타겟
목차:
새롭게 드러난 SAP NetWeaver의 중대한 취약점, 인증되지 않은 파일 업로드 결함으로 RCE 그리고 추적된 CVE-2025-31324가 중국과 관련된 여러 국가단위 그룹에 의해 중요한 인프라 시스템을 공격하기 위해 적극적으로 악용되고 있습니다. 방어자들은 이러한 침입을 중국의 사이버첩보 단체에 의해 발생된 것으로 추정하고 있으며, 이는 중국 국가안전부(MSS) 또는 연관된 민간 계약자와 관련이 있을 가능성이 높습니다.
중국-연결 적대자와 관련된 CVE-2025-31324 악용 시도를 탐지하세요
As 제로데이 익스플로잇은 현대 사이버 공격을 점점 정의하고 있으며, 최대 심각도의 SAP NetWeaver 결함 CVE-2025-31324는 2025년 4월 이후 중국과 관련된 APT 그룹이 중요한 인프라를 대상으로 하는 광범위한 악용으로 그 뒤를 따릅니다.
침입 위험이 증가하는 상황에 선제적으로 견디려면, SOC Prime 플랫폼에 등록하세요 그리고 중국-연결 그룹의 최근 캠페인에 연관된 CVE-2025-31324 익스플로잇 탐지를 위한 Sigma 규칙 세트를 액세스하세요.
CVE-2025-31324 익스플로잇을 해결하기 위해 더 많은 탐지 알고리즘을 찾고 있는 보안 전문가들은 CVE ID를 통해 직접 위협 탐지 시장을 탐색하거나 이 링크를 따라가세요. 또한, CVE 태그를 사용하여 사이버 방어자는 취약점 악용을 탐지하기 위한 규칙의 폭넓은 모음집에 접근할 수 있습니다.
탐지는 수십 개의 SIEM, EDR 및 데이터 레이크 솔루션과 호환되며, MITRE ATT&CK® 프레임워크와 정렬됩니다. 또한 심층 조사를 위한 포괄적인 사이버 위협 컨텍스트를 제공하는 실행 가능한 메타데이터로 강화되어 있습니다.
보안 엔지니어는 또한 Uncoder AI—위협 정보 기반의 탐지 엔지니어링을 위해 제작된 비에이전트 AI를 활용할 수 있습니다. Uncoder를 사용하여 방어자는 지정된 EclecticIQ 보고서에서 IOC를 실행 가능한 사냥 쿼리로 자동으로 변환하여 CVE-2025-31324를 악용하는 중국-연결 APT 활동의 효율적인 조사를 가능하게 합니다. 또한, Uncoder는 원시 위협 보고서에서 탐지 논리를 작성하고, ATT&CK 태그 예측, AI 기반 쿼리 최적화, 다양한 플랫폼 간의 탐지 콘텐츠 번역을 지원합니다.
중국 APT 그룹과 연결된 CVE-2025-31324 악용 분석
2025년 4월, 방어자들은 SAP NetWeaver 비주얼 컴포저를 남용하고 최대 심각도의 제로데이 취약점을 악용하여 중요한 인프라를 대상으로 한 고강도 악용 캠페인을 관찰했습니다. 적대자의 작전은 중요한 인프라에 침투하고, 민감한 데이터를 탈취하며, 고가치 글로벌 네트워크에 장기적으로 접근을 설정하는 것을 전략적으로 목표로 하고 있습니다.
EclecticIQ 분석가는 중국과 연결된 APT 그룹이 SAP NetWeaver 시스템을 대상으로 하는 대규모 인터넷 스캐닝 및 악용 캠페인을 활발히 수행하고 있을 가능성이 높음을 평가합니다. 이 캠페인은 U.K.의 천연가스 배급 및 수자원, 폐기물 관리 서비스, U.S.의 의료 기기 제조업체 및 석유 및 가스 회사, 그리고 투자 및 금융 정책을 감독하는 사우디 아라비아 정부 부처를 포함하는 다양한 분야를 대상으로 하고 있습니다.
이 캠페인의 범위에 대한 증거는 IP 주소 15.204.56[.]106에 호스팅된 적의 서버를 통해 드러났습니다. 여기에는 침투된 여러 시스템에서 활동을 상세히 기록한 이벤트 로그가 포함되어 있었습니다. 이 IP 주소에 있는 서버는 “CVE-2025-31324-results.txt”를 포함하여 여러 파일을 호스팅하고 있으며, 이는 웹 쉘로 백도어가 설치된 581개의 SAP NetWeaver 인스턴스를 문서화하고, 또 다른 TXT 파일은 향후 표적이 될 수 있는 SAP NetWeaver를 실행하는 800개의 도메인을 나열하고 있습니다. CVE-2025-31324가 악용된 후, 공격자는 지속적인 원격 접근을 유지하고 감염된 시스템에서 임의의 명령을 실행하기 위해 두 개의 웹 쉘을 배포합니다.
방어자들은 UNC5221, UNC5174, 그리고 CL-STA-0048로 식별된 중국 해킹 그룹으로 이러한 침입을 귀속시킵니다. CL-STA-0048은 서로 소통할 수 있는 역방향 쉘을 IP 43.247.135[.]53과 설정하려 시도했으며, 이 IP는 이전에 이 그룹과 연결되었습니다. 이 해킹팀은 남아시아에서 공개적으로 노출된 IIS, Apache Tomcat, MS-SQL 서버에서 알려진 취약점을 악용하여 웹 쉘, 역방향 쉘, 그리고 PlugX 악성 소프트웨어를 배포한 공격과 이전에 연결되었습니다.
UNC5221로 추적된 또 다른 그룹은 웹 쉘을 사용하여 2차 페이로드로 Sliver와 같은 것을 전달할 수 있는 러스트 기반 도구인 KrustyLoader를 배포하고, 지속성을 유지하며, 쉘 명령을 실행했습니다. CVE-2025-31324를 악용한 또 다른 해킹 그룹인 UNC5174는 SNOWLIGHT를 다운로드하는 것이 관찰되었으며, 이는 고정된 서버에 연결하여 Go 기반 RAT인 VShell과 GOREVERSE 백도어를 검색합니다.
연구에 따르면, 중국 연관 APT는 전 세계의 중요한 인프라에 장기적으로 접근하기 위해 인터넷에 노출된 엔터프라이즈 소프트웨어와 엣지 장치를 무장화할 가능성이 매우 높습니다.
지속적인 악용을 감안할 때, SAP NetWeaver 사용자는 인스턴스를 신속하게 최신 버전으로 업그레이드할 것을 강력히 권장합니다 SAP 보안 노트 #3594142에 자세히 설명된 대로. 패치가 불가능한 경우의 CVE-2025-31324의 잠재적 완화 조치로서, 공급업체는 구성 요소를 제거할 것을 권장합니다 sap.com/devserver_metadataupload_ear SAP 노트 #3593336에 설명된 대로. 또한 /developmentserver/metadatauploader 에 대한 접근은 내부 인증된 IP 범위로 제한되어야 하며, WAF 또는 방화벽 규칙을 사용하여 인증되지 않거나 공공 네트워크 접근을 차단해야 합니다.
SAP NetWeaver와 같은 널리 사용되는 플랫폼을 전략적으로 타겟으로 하고 있는 중국 연결 위협 그룹은 엔터프라이즈 환경에서 중요한 역할을 하고 있으며, 미패치 취약점을 포함하는 경향이 있기 때문에 방어자의 초신속한 대응이 새롭게 부상하는 위협을 선제적으로 저지하는 데 있어 중요한 단계가 됩니다. SOC Prime 플랫폼 은 보안 팀에게 AI으로 지원되는 완전한 제품군, 자동화된 기능, 그리고 실시간 위협 인텔리전스를 제공하여 전 세계 기업이 방어를 대규모로 강화할 수 있도록 돕습니다.
