Çin ile bağları şüpheli olan tehdit aktörleri, meşru bir açık kaynak izleme aracını çevirdi. Nezha bir saldırı silahına, hedeflere GH0ST Rat adlı bilinen bir kötü amaçlı yazılım sunmak için kullanın.
Ağustos 2025’te siber güvenlik şirketi Huntress tarafından gözlemlenen etkinlik, bir web sunucusuna bir web kabuğu dikmek için log zehirlenmesi (aka günlük enjeksiyonu) adı verilen alışılmadık bir tekniğin kullanımı ile karakterizedir.
Araştırmacılar Jai Minton, James Northey ve Alden Schmidt, Hacker News ile paylaşılan bir raporda, “Bu, tehdit oyuncusunun, komutların bir web sunucusunda çalıştırılmasına izin veren bir operasyon ve izleme aracı olan Nezha’yı dağıtmadan önce Web sunucusunu Antsword kullanarak kontrol etmesine izin verdi.” Dedi.
Toplamda, saldırının Tayvan, Japonya, Güney Kore ve Hong Kong’da bildirilen enfeksiyonların çoğunluğu ile 100’den fazla kurban makinesini tehlikeye attığı söyleniyor.
Huntress tarafından bir araya getirilen saldırı zinciri, “teknik olarak yetkin bir düşman” olarak tanımlanan saldırganların, ilk erişimi elde etmek için halka açık ve savunmasız bir Phpmyadmin panelinden yararlandığını ve ardından dili basitleştirilmiş Çince olarak ayarladığını gösteriyor.
Tehdit aktörlerinin daha sonra Sunucu SQL sorgu arayüzüne eriştiği ve sorguların genel sorgu günlüğünü etkinleştirerek diske giriş yapmasını sağladıktan sonra internet üzerinden bir dizine bir PHP web kabuğunu bırakmak için çeşitli SQL komutlarını hızlı bir şekilde çalıştırdığı bulunmuştur.
Huntress, “Daha sonra tek astarlı PHP web kabuğunu içeren bir sorgu yayınladılar ve günlük dosyasına kaydedilmesine neden oldular.” “En önemlisi, günlük dosyasının adını bir .php uzantısı ile ayarlayarak, sunucuya posta isteği göndererek doğrudan yürütülmesine izin verdiler.”
Antsword web kabuğunun sağladığı erişim daha sonra, web sunucusunun ayrıcalıklarını belirlemek ve harici bir sunucuya bağlanarak enfekte olmuş bir ana bilgisayarı uzaktan komuta etmek için kullanılabilen açık kaynaklı Nezha ajanını sunmak için “Whoami” komutunu çalıştırmak için kullanılır (C.Mid[.]Al “).
Saldırının ilginç bir yönü, operasyonun arkasındaki tehdit aktörünün Nezha gösterge panellerini Rusça gösterdiği ve dünya çapında 100’den fazla kurban listelemesidir. Daha küçük bir kurban yoğunluğu, Singapur, Malezya, Hindistan, İngiltere, ABD, Kolombiya, Laos, Tayland, Avustralya, Endonezya, Fransa, Kanada, Arjantin, Sri Lanka, Filipinler, İrlanda, Kenya ve Macao’ya dağılmıştır.
Nezha ajanı, saldırı zincirinin bir sonraki aşamasını sağlayarak, Microsoft Defender antivirüs istisnaları oluşturmak ve Çin hack grupları tarafından yaygın olarak kullanılan bir kötü amaçlı yazılım olan GH0ST sıçanını başlatmak için etkileşimli bir PowerShell komut dosyasının yürütülmesini kolaylaştırır. Kötü amaçlı yazılım, ana yükü yapılandırmak ve başlatmaktan sorumlu bir damlalık çalıştıran bir yükleyici aracılığıyla yürütülür.
Araştırmacılar, “Bu etkinlik, saldırganların hedeflerine ulaşmak için kullanılabilir hale geldikçe yeni ve ortaya çıkan kamuya açık araçları nasıl istismar ettiklerini vurgulamaktadır.” Dedi.
Diyerek şöyle devam etti: “Bu nedenle, halka açık takımların meşru amaçlar için kullanılabilmesi olsa da, düşük araştırma maliyeti, ısmarlama kötü amaçlı yazılımlara kıyasla makul inkar edilebilirlik sağlama yeteneği ve güvenlik ürünleri tarafından tespit etme olasılığının yaygın olarak istismar edildiğini hatırlatıyor.”