未知黑客通过SQL SERVER 窃取企业SAP核心数据，影响企业运营

威胁组织利用 SAP NetWeaver 严重漏洞，攻击扩展至巴西、印度和东南亚，受损企业的核心业务数据，财务数据以及营业数据将有可能被攻击和窃取，将给企业带来严重的运营风险。

据本周 Trend Micro（趋势科技）发布的分析报告，近期利用 SAP NetWeaver 严重漏洞进行攻击，自 2023 年以来已针对巴西、印度及东南亚多国的组织发起更广泛的攻击行动。

趋势科技安全研究员 Joseph C Chen 表示：“该威胁组织主要利用 Web 应用中的 SQL 注入漏洞，访问目标组织的 SQL 服务器。此外，该组织还利用多个已知漏洞，攻击对外开放的服务器。”

攻击重点区域还包括印度尼西亚、马来西亚、菲律宾、泰国和越南等国家。

趋势科技将该攻击集命名为 Earth Lamia，并指出其活动与 Elastic Security Labs 所记录的 REF0657、Sophos 标识的 STAC6451 以及 Palo Alto Networks Unit 42 追踪的 CL-STA-0048 威胁集存在一定重合。

🎯攻击方式分析 这些攻击行动主要针对南亚多个行业组织，常利用暴露在互联网的 Microsoft SQL Server 实例及其他资产进行侦察，随后部署 Cobalt Strike、Supershell 等后渗透工具，并通过 Rakshasa 和 Stowaway 建立代理隧道进入受害网络。

攻击者还使用了如下工具和手段：

权限提升工具：GodPotato、JuicyPotato

网络扫描工具：Fscan、Kscan

合法程序清除日志：使用 Windows 的 wevtutil.exe 工具清除系统日志、安全日志和应用日志

针对印度实体的部分入侵还曾尝试部署 Mimic 勒索软件以加密受害者文件，尽管多数尝试未成功。

Sophos 在 2024 年 8 月的分析中指出：“虽然我们观察到攻击者在所有事件中都有部署 Mimic 勒索软件二进制文件的行为，但该勒索软件常未能成功执行，部分情况下攻击者还尝试在部署后删除相关文件。”

💣利用 SAP 漏洞及其他公开漏洞 在 2025 年 7 月，EclecticIQ 披露 CL-STA-0048 是多个与中国相关的网络间谍组织之一，曾利用 CVE-2025-31324（SAP NetWeaver 中一个关键的未认证文件上传漏洞）建立反向 Shell，控制受害主机。

趋势分析攻击的路径

趋势分析攻击的路径

除了 CVE-2025-31324，Earth Lamia 还武器化了至少以下 8 个漏洞：

CVE 编号 漏洞组件 漏洞类型 CVE-2017-9805 Apache Struts2 远程代码执行漏洞 CVE-2021-22205 GitLab 远程代码执行漏洞 CVE-2024-9047 WordPress File Upload 插件 任意文件访问漏洞 CVE-2024-27198 JetBrains TeamCity 身份认证绕过漏洞 CVE-2024-27199 JetBrains TeamCity 路径遍历漏洞 CVE-2024-51378 CyberPanel 远程代码执行漏洞 CVE-2024-51567 CyberPanel 远程代码执行漏洞 CVE-2024-56145 Craft CMS 远程代码执行漏洞

📈攻击目标变化 Trend Micro 指出，Earth Lamia 行为非常活跃，攻击目标正在不断演化：

“在 2024 年初及之前，我们观察到其目标多为金融行业，尤其是证券及经纪业务；到了 2024 年下半年，其攻击重点转向物流与在线零售业；而近期，其攻击目标又变为 IT 企业、高校与政府机构。”

🔍自定义后门与持续开发 Earth Lamia 常通过 DLL 旁加载（DLL Side-loading） 技术加载其自定义后门 PULSEPACK —— 这是一种模块化的 .NET 后门程序，能通过远程服务器加载多个插件以实现不同功能。这种技术在中国攻击组织中非常常见。

Trend Micro 表示，2025 年 3 月观察到的最新版 PULSEPACK 已将其 C2（命令与控制）通信方式从 TCP 改为 WebSocket，显示该恶意软件仍在持续迭代中。

🧠总结与威胁评估 Trend Micro 总结道：

“Earth Lamia 正在多个国家和行业范围内积极开展攻击活动。与此同时，该组织不断优化攻击策略，持续开发专属的攻击工具与后门程序，展现出高度的攻击意图和能力。”

原文：https://thehackernews.com/2025/05/china-linked-hackers-exploit-sap-and.html