オープンソースツール「Nezha」を用いた新たに発見されたサイバー攻撃キャンペーンが、脆弱なWebアプリケーションを標的にしていることが確認された。
2025年8月に始まり、Huntressのアナリストは、創意工夫されたログ汚染(log poisoning)手法を用いてPHPのWebシェルを埋め込み、その後AntSwordで管理し、さらにNezhaエージェントとGhost RATマルウェアの両方をインストールする高度な侵入を追跡した。
この発見は、Webサーバー侵害を容易にする目的でNezhaが使用されたことについての初の公的報告となる。通常は正当なシステム管理のために利用される監視・タスク管理ユーティリティが、中国に拠点を置くインフラに関連する脅威アクターによって悪用された。
攻撃の流れ
Huntressの調査担当者は、攻撃者がインターネットに公開されたphpMyAdminパネルを通じてアクセスを得たことを突き止めた。
AWSでホストされたIPを使用し、攻撃者はインターフェース言語を簡体字中国語に切り替えたうえで、一連のSQLコマンドを実行した。これらの操作によりMariaDBの一般クエリログが有効化され、出力先が.phpファイルに設定され、通常のログデータの中に隠されたバックドアが事実上埋め込まれた。
侵入者はその後、AntSwordを用いて侵害されたWebサーバーを操作し、「live.exe」というファイルをダウンロードした。これはNezhaエージェントであることが判明した。インストールされると、このエージェントはc.mid[.]alのコマンドサーバーに接続し、リモート監視とタスク実行を可能にした。
「このインシデントは、公開アプリケーションにパッチを適用する必要性を浮き彫りにしています」とHuntressの研究者は述べた。
「このような攻撃者が用いる手順を段階的に理解することで、私たちのツールをより適切に調整できます。」
Webシェルについて詳しく読む:Microsoft:攻撃者がオンプレミスのSharePoint顧客を積極的に侵害
Huntressは、100を超える被害システムが攻撃者のNezhaダッシュボードと通信していることを確認した。
影響を受けたマシンの大半は台湾、日本、韓国、香港に所在していた。アナリストはまた、米国、インド、複数の欧州諸国を含む世界各地でも少数の感染が見られると指摘した。
攻撃者はNezhaを利用して、Windows Defenderのスキャンを無効化するPowerShellコマンドを実行した後、Ghost RATの亜種である「x.exe」を展開した。
このマルウェアは「SQLlite」という名称で永続化を確立し、さらに中国関連の組織を通じて登録されたコマンド&コントロール(C2)ドメインと通信した。
防御策
Huntressの研究者は、同様の侵入を防ぐために、組織がいくつかの防御策を講じることを推奨した。
-
公開アプリケーションにパッチを適用し、堅牢化すること
-
テスト環境を含め、可能な限り認証を必須にすること
-
Webシェル、不審なサービス作成、通常とは異なるディレクトリから実行される実行ファイルなど、侵害後の活動を検知できる可視化と検知ロジックを整備すること
脅威アクターが検知回避のために正規ソフトウェアを悪意ある目的と組み合わせ続けているため、防御側は警戒を怠ってはならない。
翻訳元: https://www.infosecurity-magazine.com/news/nezha-tool-used-new-cyber-campaign/
