Çinli Hackerlar Nezha Aracını Web Sunucusunda Komutları Çalıştırmak İçin Silahlandırdı


Nezha Aracı Silahlandırıldı

Ağustos 2025’ten bu yana aktif olan ve Çin bağlantılı bir tehdit aktörünün, komutları yürütmek ve güvenliği ihlal edilmiş web sunucularına kötü amaçlı yazılım dağıtmak için Nezha adlı meşru bir sunucu operasyon aracını silah haline getirdiği karmaşık bir siber saldırı kampanyası.

Huntress tarafından ortaya çıkarılan bu kampanya, Nezha’nın bu şekilde istismar edildiğine dair kamuoyuna bildirilen ilk örneği temsil ediyor ve tespitten kaçınmak için açık kaynak araçlarından yararlanmaya yönelik taktiksel bir değişikliğin altını çiziyor.

Saldırganlar, öncelikle Tayvan, Japonya, Güney Kore ve Hong Kong’daki varlıkları hedef alan kötü şöhretli Ghost RAT’ı konuşlandırmadan önce ilk erişim elde etmek için yaratıcı bir günlük zehirleme tekniği kullandı.

İzinsiz giriş, uygun kimlik doğrulaması olmayan, halka açık, savunmasız bir phpMyAdmin panelinin kullanılmasıyla başladı. Saldırganlar, Hong Kong’da AWS tarafından barındırılan bir IP’den erişim sağladıktan sonra arayüz dilini hemen basitleştirilmiş Çince olarak ayarladı.

Daha sonra bir ağ kabuğu yerleştirmek için kütük zehirlenmesi olarak bilinen yaratıcı bir teknik kullandılar. Tehdit aktörü, MariaDB’nin günlük tutma işlevlerini değiştirerek genel günlük dosyasını web kökü içindeki bir PHP dosyasına ayarladı.

Daha sonra tek satırlık bir PHP web kabuğu içeren bir SQL sorgusu yürüttüler ve arka kapılarını etkin bir şekilde yürütülebilir günlük dosyasına yazdılar.

google

PHP Web Kabuğu
PHP Web Kabuğu

Bu yöntem, bu tür arka kapıları yönetmek için tasarlanmış AntSword gibi araçları kullanarak sunucuda rastgele kod yürütmelerine olanak sağladı.

Web kabuğuyla kontrolü sağladıktan sonra düşmanın öncelikli hedefi daha kalıcı ve çok yönlü bir araç kullanmaktı. İndirmek ve çalıştırmak için AntSword bağlantısını kullandılar live.exeSon’un yükleyicisi.

Nezha, sunucu izleme ve görev yönetimi için meşru, açık kaynaklı bir araçtır. Ancak bu durumda, kötü amaçlı bir implant olarak yeniden tasarlandı.

Huntress, ajanın yapılandırma dosyasının, saldırganın Nezha kontrol panelini çalıştıran komuta ve kontrol (C2) sunucusuna işaret ettiğini söyledi.

Rusça olarak ayarlanan bu kontrol paneli, saldırganların Çin’in jeopolitik çıkarlarıyla uyumlu olarak Doğu Asya’da önemli bir yoğunlaşma olmak üzere 53 bölgede 100’den fazla kurban makineyi tehlikeye attığını ortaya çıkardı.

Kurbanlar
Kurbanlar enfekte

Nezha ajanının istikrarlı ve gizli erişim sağlamasıyla saldırganlar ayrıcalıklarını artırdı. Etkileşimli bir PowerShell oturumu başlatmak için Nezha’nın komut yürütme yeteneklerini kullandılar ve burada tespit edilmekten kaçınmak için Windows Defender’da bir hariç tutma kuralı oluşturdular.

Hemen ardından harekete geçtiler x.exekötü şöhretli Ghost RAT’ın bir çeşidi. Bu kötü amaçlı yazılımın analizi, Çin gelişmiş kalıcı tehdit (APT) gruplarına atfedilen önceki kampanyalarla tutarlı iletişim protokollerini ve kalıcılık mekanizmalarını ortaya çıkardı.

Tehdit aktörleri savunucuların önünde kalmak için taktiklerini uyarlamaya devam ederken, olay halka açık uygulamaların güçlendirilmesi ve meşru yazılımın kötüye kullanılmasının izlenmesi gerekliliğinin altını çiziyor.

Kategori Tip Gösterge Tanım
Dosya Yol C:\xamp\htdocs\123.php Web kabuğu
Dosya SHA256 f3570bb6e0f9c695d48f89f043380b43831dd0f6fe79b16eda2a3ffd9fd7ad16 Web kabuğu
Dosya URL’si https://rism.pages[.]dev/microsoft.exe Nezha Temsilcisi
Dosya Yol C:\Windows\Cursors\live.exe Nezha Temsilcisi
Dosya SHA256 9f33095a24471bed55ce11803e4ebbed5118bfb5d3861baf1c8214efcd9e7de6 Nezha Temsilcisi
Dosya Yol C:\Windows\İmleçler\x.exe Hayalet RAT Yükü
Dosya SHA256 7b2599ed54b72daec0acfd32744c7a9a77b19e6cf4e1651837175e4606dbc958 Hayalet RAT Yükü
Dosya Yol C:\Windows\system32\SQLlite.exe Rundll32.exe yeniden adlandırıldı
Dosya SHA256 82611e60a2c5de23a1b976bb3b9a32c4427cb60a002e4c27cadfa84031d87999 Rundll32.exe yeniden adlandırıldı
Dosya Yol C:\Windows\system32\32138546.dll Kötü amaçlı DLL
Dosya SHA256 35e0b22139fb27d2c9721aedf5770d893423bf029e1f56be92485ff8fce210f3 Kötü amaçlı DLL
Altyapı IP Adresi 54.46.50[.]255 İlk Erişim IP’si
Altyapı IP Adresi 45.207.220[.]12 Web kabuğu ve Arka Kapı C2/Operatör IP’si
Altyapı İhtisas c.orta[.]al Nezha C2 Alan Adı
Altyapı IP Adresi 172.245.52[.]169 Nezha C2 IP’si
Altyapı İhtisas gd.bj2[.]xyz Arka Kapı C2/Operatör Alanı
Çeşitli Hizmet Adı SQLite Kalıcılık Hizmeti Adı
Çeşitli Muteks gd.bj2[.]xyz:53762:SQLlite Enfeksiyon Belirteci

Cyber Awareness Month Offer: Upskill With 100+ Premium Cybersecurity Courses From EHA's Diamond Membership: Join Today

googlehaberler



Source link