脅威アクターは、正規のサーバー監視ツールを、すでに侵害されたシステムを遠隔操作するための既製プラットフォームとして転用し始めています。Ontinue Cyber Defense Centerによると、最近のインシデントではNezhaが関与しており、NezhaはWindowsとLinuxの両方で動作可能な、人気のオープンソース監視・管理ソリューションです。
このキャンペーンにおいてNezhaは、従来の意味でのマルウェアではなく、侵害後に用いられるリモートアクセスツールです。活発なコミュニティの支援がある正規ソフトウェアであるがゆえに、疑念を抱かれにくいのです。研究者が指摘するように、そのコンポーネントはVirusTotalの72エンジンすべてで検知されませんでした。エージェントは静かにインストールされ、攻撃者がコマンドを発行し始めるまで長期間気付かれないままでいる可能性があります。その結果、従来のシグネチャベースの防御はしばしば効果を発揮しません。
専門家はこれを、攻撃者が検知を回避しながら環境内に足場を固め、横展開するために「普通の」ソフトウェアを組織的に悪用するという、拡大する傾向の一部だと説明しています。Qualysの研究者は、Nezhaがすでに標準ツールと見なされているネットワークでは、防御側が異常を完全に見落とし、悪意ある活動を日常的な管理作業と取り違える可能性があると指摘しています。
もともと中国のITコミュニティ向けに開発されたNezhaは、GitHubで約1万のスターを獲得しています。そのアーキテクチャはこの種のプラットフォームとして典型的で、中央の管理コンソールと、管理対象ホストに展開される軽量エージェントの組み合わせです。これらのエージェントは、コマンド実行、ファイル転送、対話型ターミナルセッションをサポートしており、管理者にとって非常に有用である一方、攻撃者にとっても同様に都合のよい機能です。
Ontinueの報告によれば、この攻撃では、エージェントを展開して攻撃者が管理するインフラへ接続するために設計されたbashスクリプトが使用されました。スクリプトには中国語のステータスメッセージが含まれ、設定パラメータはAlibaba Cloud上、具体的には日本リージョンにホストされたリモートのコントロールパネルを指していました。ただし研究者は、言語の痕跡は容易に捏造できるため、帰属(アトリビューション)の根拠としては弱いシグナルであると注意を促しています。
特に懸念されるのは、Nezhaのエージェントが高い権限で動作するよう設計されている点です。テスト環境では、Windows上のNezhaはNT AUTHORITY\SYSTEM権限で対話型のPowerShellセッションを提供し、Linuxではrootレベルのアクセスを付与します。しかも、別途脆弱性の悪用や権限昇格を必要としません。
分析者が強調するように、問題はNezha自体が「悪意ある」ことではなく、攻撃者が独自ツールを開発する手間を省きつつ、侵害されたシステム上で遠隔コマンドの実行、ファイル操作、対話型シェルの取得を確実に行えるようにしてしまう点にあります。
調査の過程で、Ontinueはこのインシデントに関連する公開状態のダッシュボードも調べました。状況証拠から、数百のエンドポイントが接続されていた可能性が示唆されました。このような規模は、共有シークレットやアクセスキーが漏えいし、単一のコントロールパネルで多数のマシンを管理できるようになった場合に実現し得ます。
研究者が認めるように、防御側にとっての中心的な課題は、正当な利用と悪用を見分けることにあります。こうしたケースでは文脈が決定的です。誰がエージェントをインストールしたのか、いつ現れたのか、どこへ接続しているのか、どのようなコマンドを実行しているのか、そしてその挙動が本物の管理者のそれにどれほど近いのか。Qualysが結論づけるように、「良い」ツールと「悪い」ツールという単純なラベル付けを捨て、代わりに挙動と運用上の意図に焦点を当てる時が来ています。
