Ağustos 2025’ten bu yana aktif olan ve Çin bağlantılı bir tehdit aktörünün, komutları yürütmek ve güvenliği ihlal edilmiş web sunucularına kötü amaçlı yazılım dağıtmak için Nezha adlı meşru bir sunucu operasyon aracını silah haline getirdiği karmaşık bir siber saldırı kampanyası.
Huntress tarafından ortaya çıkarılan bu kampanya, Nezha’nın bu şekilde istismar edildiğine dair kamuoyuna bildirilen ilk örneği temsil ediyor ve tespitten kaçınmak için açık kaynak araçlarından yararlanmaya yönelik taktiksel bir değişikliğin altını çiziyor.
Saldırganlar, öncelikle Tayvan, Japonya, Güney Kore ve Hong Kong’daki varlıkları hedef alan kötü şöhretli Ghost RAT’ı konuşlandırmadan önce ilk erişim elde etmek için yaratıcı bir günlük zehirleme tekniği kullandı.
İzinsiz giriş, uygun kimlik doğrulaması olmayan, halka açık, savunmasız bir phpMyAdmin panelinin kullanılmasıyla başladı. Saldırganlar, Hong Kong’da AWS tarafından barındırılan bir IP’den erişim sağladıktan sonra arayüz dilini hemen basitleştirilmiş Çince olarak ayarladı.
Daha sonra bir ağ kabuğu yerleştirmek için kütük zehirlenmesi olarak bilinen yaratıcı bir teknik kullandılar. Tehdit aktörü, MariaDB’nin günlük tutma işlevlerini değiştirerek genel günlük dosyasını web kökü içindeki bir PHP dosyasına ayarladı.
Daha sonra tek satırlık bir PHP web kabuğu içeren bir SQL sorgusu yürüttüler ve arka kapılarını etkin bir şekilde yürütülebilir günlük dosyasına yazdılar.
Bu yöntem, bu tür arka kapıları yönetmek için tasarlanmış AntSword gibi araçları kullanarak sunucuda rastgele kod yürütmelerine olanak sağladı.
Web kabuğuyla kontrolü sağladıktan sonra düşmanın öncelikli hedefi daha kalıcı ve çok yönlü bir araç kullanmaktı. İndirmek ve çalıştırmak için AntSword bağlantısını kullandılar live.exeSon’un yükleyicisi.
Nezha, sunucu izleme ve görev yönetimi için meşru, açık kaynaklı bir araçtır. Ancak bu durumda, kötü amaçlı bir implant olarak yeniden tasarlandı.
Huntress, ajanın yapılandırma dosyasının, saldırganın Nezha kontrol panelini çalıştıran komuta ve kontrol (C2) sunucusuna işaret ettiğini söyledi.
Rusça olarak ayarlanan bu kontrol paneli, saldırganların Çin’in jeopolitik çıkarlarıyla uyumlu olarak Doğu Asya’da önemli bir yoğunlaşma olmak üzere 53 bölgede 100’den fazla kurban makineyi tehlikeye attığını ortaya çıkardı.
Nezha ajanının istikrarlı ve gizli erişim sağlamasıyla saldırganlar ayrıcalıklarını artırdı. Etkileşimli bir PowerShell oturumu başlatmak için Nezha’nın komut yürütme yeteneklerini kullandılar ve burada tespit edilmekten kaçınmak için Windows Defender’da bir hariç tutma kuralı oluşturdular.
Hemen ardından harekete geçtiler x.exekötü şöhretli Ghost RAT’ın bir çeşidi. Bu kötü amaçlı yazılımın analizi, Çin gelişmiş kalıcı tehdit (APT) gruplarına atfedilen önceki kampanyalarla tutarlı iletişim protokollerini ve kalıcılık mekanizmalarını ortaya çıkardı.
Tehdit aktörleri savunucuların önünde kalmak için taktiklerini uyarlamaya devam ederken, olay halka açık uygulamaların güçlendirilmesi ve meşru yazılımın kötüye kullanılmasının izlenmesi gerekliliğinin altını çiziyor.
| Kategori | Tip | Gösterge | Tanım |
|---|---|---|---|
| Dosya | Yol | C:\xamp\htdocs\123.php | Web kabuğu |
| Dosya | SHA256 | f3570bb6e0f9c695d48f89f043380b43831dd0f6fe79b16eda2a3ffd9fd7ad16 | Web kabuğu |
| Dosya | URL’si | https://rism.pages[.]dev/microsoft.exe | Nezha Temsilcisi |
| Dosya | Yol | C:\Windows\Cursors\live.exe | Nezha Temsilcisi |
| Dosya | SHA256 | 9f33095a24471bed55ce11803e4ebbed5118bfb5d3861baf1c8214efcd9e7de6 | Nezha Temsilcisi |
| Dosya | Yol | C:\Windows\İmleçler\x.exe | Hayalet RAT Yükü |
| Dosya | SHA256 | 7b2599ed54b72daec0acfd32744c7a9a77b19e6cf4e1651837175e4606dbc958 | Hayalet RAT Yükü |
| Dosya | Yol | C:\Windows\system32\SQLlite.exe | Rundll32.exe yeniden adlandırıldı |
| Dosya | SHA256 | 82611e60a2c5de23a1b976bb3b9a32c4427cb60a002e4c27cadfa84031d87999 | Rundll32.exe yeniden adlandırıldı |
| Dosya | Yol | C:\Windows\system32\32138546.dll | Kötü amaçlı DLL |
| Dosya | SHA256 | 35e0b22139fb27d2c9721aedf5770d893423bf029e1f56be92485ff8fce210f3 | Kötü amaçlı DLL |
| Altyapı | IP Adresi | 54.46.50[.]255 | İlk Erişim IP’si |
| Altyapı | IP Adresi | 45.207.220[.]12 | Web kabuğu ve Arka Kapı C2/Operatör IP’si |
| Altyapı | İhtisas | c.orta[.]al | Nezha C2 Alan Adı |
| Altyapı | IP Adresi | 172.245.52[.]169 | Nezha C2 IP’si |
| Altyapı | İhtisas | gd.bj2[.]xyz | Arka Kapı C2/Operatör Alanı |
| Çeşitli | Hizmet Adı | SQLite | Kalıcılık Hizmeti Adı |
| Çeşitli | Muteks | gd.bj2[.]xyz:53762:SQLlite | Enfeksiyon Belirteci |
Cyber Awareness Month Offer: Upskill With 100+ Premium Cybersecurity Courses From EHA's Diamond Membership: Join Today
