Güvenlik araştırmacıları, Çinli tehdit aktörlerinin, web kabuklarını dağıtmak ve ardından meşru bir sunucu izleme aracı olan Nezha’yı kötü niyetli komut yürütmek için silah haline getirmek için yenilikçi bir günlük zehirleme tekniği kullanarak web uygulamalarından yararlandığı karmaşık bir siber saldırı kampanyasını ortaya çıkardı.
Yaratıcı Saldırı Metodolojisi Keşfedildi
Siber güvenlik firması Huntress, Ağustos 2025’ten itibaren, saldırganların savunmasız web sunucularına China Chopper web kabuğu yerleştirmek için günlük zehirleme kullandığı bir izinsiz giriş tespit etti.
Bu teknik, ilk erişimi elde etmeye yönelik yaratıcı bir yaklaşımı temsil eder ve tehdit aktörlerinin kalıcı komut yürütme yetenekleri için Nezha’yı konuşlandırmadan önce AntSword kullanarak güvenliği ihlal edilmiş sistemleri kontrol etmelerine olanak tanır.
Saldırı zinciri, uygun kimlik doğrulama mekanizmalarına sahip olmayan savunmasız phpMyAdmin panellerinden yararlanılmasıyla başlar.
Tehdit aktörleri, bu idari arayüzlere eriştikten sonra dili hemen basitleştirilmiş Çince’ye ayarlıyor ve bu da saldırganların olası kökenini gösteriyor.
Saldırganlar, dil yapılandırmasından sonraki 30 saniye içinde genel sorgu günlüğünü etkinleştirmek ve web kabuğu yükünü dağıtmak için tasarlanmış SQL komutlarını yürütmeye başlar.
Günlük zehirlenmesi tekniği, kötü amaçlı PHP kodunu doğrudan çalıştırılabilir uzantılara sahip günlük dosyalarına yazmak için MariaDB’nin genel günlük kaydı işlevini değiştirmeyi içerir.
Saldırganlar, günlük dosyası adını bir .php uzantısı içerecek şekilde ayarlayarak ve bunu web sunucusunun erişilebilir dizin yapısına yerleştirerek, uzaktan erişim özelliklerini korurken web kabuğunu meşru günlük girişleri arasında etkili bir şekilde gizler.
Başarılı web kabuğu dağıtımının ardından tehdit aktörleri, Nezha aracılarını güvenliği ihlal edilmiş sistemlere indirip yükler.
Hafif bir açık kaynaklı sunucu izleme ve görev yönetimi aracı olarak pazarlanan Nezha, sistem yönetimi için meşru işlevsellik sağlıyor ancak tehdit aktörleri tarafından kötü niyetli komut yürütme ve kalıcı erişim için yeniden tasarlandı.
Analiz, saldırganların Nezha kontrol panelini Rusça dil ayarlarında yapılandırırken birden fazla coğrafi bölgede güvenliği ihlal edilmiş 100’den fazla kurban makinesini yönettiklerini ortaya koyuyor; etkilenen sistemlerin en yüksek konsantrasyonunu Tayvan, Japonya, Güney Kore ve Hong Kong gösteriyor.
Tehdit aktörünün altyapısının incelenmesi, şüpheli otonom sistem kayıtlarını ve gelişmiş kalıcı tehdit operasyonlarıyla tutarlı alan adı oluşturma algoritmalarını ortaya çıkardı.
Saldırganlar, Hong Kong’daki AWS tarafından barındırılan IP adresleri ve Dublin’deki sanal özel sunucular da dahil olmak üzere birden fazla sağlayıcıyı kapsayan bulut tabanlı altyapıyı kullanarak gelişmiş operasyonel güvenlik uygulamaları gösterdi.
Kampanya, tehdit aktörlerinin, özel kötü amaçlı yazılım geliştirmeyle karşılaştırıldığında kabul edilebilir inkar edilebilirliği korurken, hedeflerine ulaşmak için kamuya açık araçları nasıl giderek daha fazla kötüye kullandığını gösteriyor.
Düşük araştırma maliyetleri, azaltılmış tespit olasılığı ve meşru araç görünümü, bu yaklaşımı özellikle sürdürülebilir operasyonlar için çekici kılmaktadır.
Kuruluşlar ayrıca şüpheli idari araç kullanım modellerini tespit edebilecek ağ bölümleme ve izleme çözümlerini uygulamayı da düşünmelidir.
Aşağıdaki tablo, web sunucularında kötü amaçlı komutların yürütülmesi için Nezha izleme araçlarını kullanan Çin tehdit aktörü kampanyasıyla ilişkili kapsamlı güvenlik ihlali göstergelerini içermektedir.
| Kategori | Öğe | Tip | Tanım |
| Dosyalar | C:\xampp\htdocs\123.php | Dosya Yolu | Web kabuğu dosya konumu |
| Dosyalar | f3570bb6e0f9c695d48f89f043380b43831dd0f6fe79b16eda2a3ffd9fd7ad16 | SHA256 Karma | Web kabuğu dosyası karması |
| Dosyalar | https://rism.pages[.]dev/microsoft.exe | İndirme URL’si | Nezha Agent indirme kaynağı |
| Dosyalar | C:\Windows\Cursors\live.exe | Dosya Yolu | İndirilen Nezha Agent yürütülebilir dosyası |
| Dosyalar | 9f33095a24471bed55ce11803e4ebbed5118bfb5d3861baf1c8214efcd9e7de6 | SHA256 Karma | Nezha Ajan Dosya Karması |
| Dosyalar | C:\Windows\İmleçler\x.exe | Dosya Yolu | Hayalet RAT veri dosyası |
| Dosyalar | 7b2599ed54b72daec0acfd32744c7a9a77b19e6cf4e1651837175e4606dbc958 | SHA256 Karma | Hayalet RAT yükü karması |
| Dosyalar | C:\Windows\system32\SQLlite.exe | Dosya Yolu | Kalıcılık için rundll32.exe yeniden adlandırıldı |
| Dosyalar | 82611e60a2c5de23a1b976bb3b9a32c4427cb60a002e4c27cadfa84031d87999 | SHA256 Karma | Rundll32.exe karması yeniden adlandırıldı |
| Dosyalar | C:\Windows\system32\32138546.dll | Dosya Yolu | Kötü amaçlı DLL bileşeni |
| Altyapı | 54.46.50[.]255 | IP Adresi | İlk erişim IP adresi |
| Altyapı | 45.207.220[.]12 | IP Adresi | Web kabuğu C2 operatör IP’si |
| Altyapı | c.orta[.]al | İhtisas | Nezha C2 Alan Adı |
| Altyapı | 172.245.52[.]169 | IP Adresi | Nezha C2 IP Adresi |
| Altyapı | gd.bj2[.]xyz | İhtisas | Arka kapı C2 alanı |
| Çeşitli | SQLite | Hizmet Adı | Kalıcılık hizmeti tanımlayıcısı |
| Çeşitli | gd.bj2[.]xyz:53762:SQLlite | Muteks | enfekte etmek |
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.