OntinueのCyber Defense Centerのセキュリティ研究者は、攻撃者が正規のオープンソース監視ユーティリティである Nezhaを、ステルス性の高い侵害後(ポストエクスプロイト)リモートアクセスツールとして悪用していることを発見しました。
この脅威は、攻撃者が侵害されたデバイスにNezhaを密かにインストールするためのBashスクリプトを展開していたインシデント調査の過程で判明しました。
稼働すると、エージェントは攻撃者が管理するインフラに接続し、セキュリティアラートを発生させることなくSYSTEMまたはrootレベルのアクセスを提供しました。
中国のITコミュニティ向けに開発され、GitHubで約1万のスターを獲得しているNezhaは、複数サーバーの管理、リソースの追跡、アラートの受信、リモート保守の実施のために管理者に広く利用されています。
その正規のアーキテクチャは、監視対象システムにインストールされた軽量エージェントを中央のダッシュボードサーバーが調整する構成になっています。
管理者はシステムの健全性を確認し、コマンドを実行し、ファイルを転送し、対話型のターミナルセッションを維持できます。残念ながら、これらと同じ機能が、侵害環境を完全に制御しようとする攻撃者にとってNezhaを非常に魅力的なものにしています。
ContinueのSOCは、中国語のステータスメッセージとハードコードされた認証 シークレットを含むスクリプトを通じて悪意ある展開を特定しました。これにより、攻撃者のダッシュボードへの自動登録が可能になっていました。
コマンド&コントロール(C2)インフラはAlibaba Cloud上でホストされていることが判明し、ドメインはAlibabaのネットワークに割り当てられたIPレンジ(47.79.40.0/21)に解決されました。
分析の結果、数百のエンドポイントが攻撃者のNezhaダッシュボードに接続しており、広範な侵害の兆候が示されました。
VirusTotalのスキャンでは72ベンダーすべてで検出ゼロとなりました。ツール自体が正規で改変されていないためです。悪意はコードではなく使用方法に起因するため、セキュリティ製品はこれをマルウェアとして分類できません。
Ontinueのテストにより、Nezhaエージェントは設計上、昇格した権限で動作することが確認されました。Windowsでは「NT AUTHORITY\SYSTEM」として動作し、Linux ではrootとして動作するため、権限昇格なしで完全な管理者権限が付与されます。
通信チャネルは同一ポート(デフォルト8008)上でHTTPとgRPCのトラフィックを多重化し、TLSなしで運用されることも多く、正規の監視トラフィックを装ってシグネチャベースの検知を回避します。
このインシデントは、2025年10月にHuntressが記録したパターンを反映しており、東アジア全域でNezhaの同様の悪用が観測されていました。
Continueは、正規のリモート管理ツールが悪意ある制御に利用されるケースが増えていることは、従来型アンチウイルスモデルの限界を浮き彫りにしていると警告しています。
同組織は、Nezhaエージェントのプロアクティブなハンティング、リモート監視ツールの厳格な認可、そして振る舞いベースの検知戦略を推奨しています。
セキュリティチームには、Microsoft Defender for Endpointの導入、Tamper Protectionの有効化、侵害後活動をブロックするためのAttack Surface Reductionポリシーの適用が推奨されています。
翻訳元: https://cyberpress.org/nezha-monitoring-tool-attack/