据研究人员称，第二波网络攻击正瞄准SAP NetWeaver Visual Composer中的一个关键漏洞。

继4月份披露的初步威胁活动后，机会主义威胁行为者正利用之前通过CVE-2025-31324漏洞建立的webshell进行攻击。据Onapsis的研究人员称，该漏洞的CVSS评分为10分，允许未经身份验证的攻击者上传任意文件并完全控制系统。

Onapsis和Mandiant正在追踪全球数百起已确认的入侵事件，这些案件涉及多个行业，包括公用事业、制造业、石油和天然气以及其他关键基础设施领域。

网络安全和基础设施安全局(CISA)在4月底将该漏洞添加到了其已知被利用漏洞目录中。

Onapsis的研究人员表示，威胁活动的严重性比最初了解的要高，部分原因是威胁行为者似乎比防御者之前意识到的更熟悉SAP系统。Onapsis现在认为，黑客早在1月份就开始了对易受攻击的SAP系统的初步探测，这比之前认为的时间早了两个月。

“情况发生了变化，最初人们认为攻击者是利用远程文件上传漏洞来部署webshell，然后利用这些webshell来入侵系统，”Onapsis的首席技术官Juan Pablo (JP) Perez-Etchegoyen通过电子邮件表示。

然而，根据Onapsis重建的有效载荷，黑客实际上是在利用远程命令执行漏洞。

多家安全研究公司表示，活跃的入侵和破坏行为似乎始于3月份。

专家表示，威胁行为者似乎对SAP系统有深入的了解，并可能正在使用“就地取材”(living-off-the-land)技术来隐藏其踪迹并维持持久性。

SAP在4月底发布了一个更新，其中包含一个变通办法，可以从无法打补丁的系统中完全移除该应用程序。SAP的缓解工具为已确认的客户提供密码保护。

该公司敦促所有客户更新其系统，安装4月24日发布的紧急补丁，该漏洞最初由Reliaquest的研究人员披露。

与此同时，Forescout的研究人员发现了一个新的威胁行为者，他们将其命名为Chaya_004，该行为者正在利用SAP漏洞进行攻击。

“我们尚未将此活动集群与任何已知的威胁行为者联系起来，”Forescout威胁狩猎高级经理Sai Molige通过电子邮件表示。“不过，根据他们的基础设施和工具库，他们更可能是犯罪分子，而非国家资助的。”

研究人员发现了一个网络，该网络在787多个IP地址上伪造了Cloudflare证书。

分析人员还观察到了使用SuperShell、Cobalt Strike、SoftEther VPN和多种中文渗透测试工具的实时入侵行为。

企业网D1net(www.d1net.com)：

国内主流的to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。