ハッカーがログポイズニングとウェブシェルを利用し、Nezhaを東アジア全域のネットワークを標的とするリモートアクセスツールへと変換
中国系のハッカーが、かつては無害だったオープンソースのネットワーク監視ツールを密かにリモートアクセスビーコンへと変貌させました。
サイバーセキュリティ企業Huntressの新たな調査によると、攻撃者はログポイズニングとウェブシェルを利用して、正規のリモート監視・管理ツール(RMM)であるNezhaをインストールし、足がかりとしてGhost RATを展開し、より深い永続化を図りました。
「私たちの知る限り、Nezhaがウェブ侵害を促進するために使用されたという公開報告はこれが初めてです」とHuntressの研究者Jai Minton、James Northey、Alden Schmidtは、水曜日の公開に先立ちCSOと共有したブログ記事で述べています。「侵害の分析により、脅威アクターは100台以上の被害マシンを侵害した可能性が高いことが判明しました。」
このキャンペーンは2025年8月に初めて検知され、主に台湾、日本、韓国、香港の被害者を標的としていました。
ログポイズニングによる侵入
攻撃者の侵入は、認証が設定されていない公開された「phpMyAdmin」インターフェースから始まりました。数か月前のDNS変更により、意図せず公開状態になっていたと研究者らは指摘しています。侵入後、インターフェース言語を簡体字中国語に切り替え、すぐにクエリインターフェースを通じてSQLコマンドの発行を開始しました。
次に、MariaDBの一般クエリログ機能を悪用し、ログをウェブディレクトリ内の.phpファイルに書き込むよう再設定しました。実質的に、ログファイル自体をウェブシェルへと変えたのです。PHPコードを含むSQLクエリが記録され、HTTP POST経由でアクセスされると実行されました。このPHPコードは、基本的な評価型ウェブシェルであり、一般にChina Chopperウェブシェルとして知られています。
この「ログポイズニング」手法により、攻撃者はバックドアを通常のトラフィックに紛れ込ませることができました。シェルの動作を確認した後、彼らは別のIPアドレスに切り替え、おそらく作業を分離するために、AntSwordの仮想ターミナル経由でコマンド発行に移行しました。
AntSwordは、ハッカーが侵害したウェブサーバーを管理するためのオープンソースの中国製ウェブシェル管理フレームワーク(実質的にはグラフィカルなコントロールパネル)です。このケースでは、設置されたChina Chopperバックドアとやりとりするためのコマンドステーションとして機能しました。
Nezhaを経由してGhost RATへ
ウェブシェルが設置されると、攻撃者はAntSwordを使って2つのコンポーネント、「live.exe」(Nezhaエージェント)と攻撃者が管理するドメインを指す「config.yml」をダウンロードしました。Nezhaエージェントは管理サーバーに接続し、そのダッシュボードはロシア語で動作しており、これは帰属を混乱させるためと見られます。
Nezhaが稼働すると、攻撃者は対話型PowerShellセッションを実行し、主要なシステムフォルダーに対してWindows Defenderの除外設定を作成しました。これにより、「C:\Windows\Cursors」からGhost RATの亜種を配置・実行できるようになりました。このRAT実行ファイルは永続化メカニズムもインストールし、コマンド&コントロール(C2)のためにドメイン生成アルゴリズム(DGA)も使用していました。
Huntressの分析によると、Ghost RATインプラントは多段階ローダー、動的API解決、そして中国系APT活動と一致するコマンドブロックを備えていました。チームは2025年8月のインシデントを、攻撃者が重大な被害をもたらす前に封じ込めることができました。
「幸いにも、Huntressはシステムを隔離し、ウェブシェル、Nezhaエージェント、マルウェアを削除することでインシデントを修復し、攻撃者がさらなる目的を達成する前に阻止できました」と研究者らは付け加えています。Huntressは、ウェブシェル、Nezhaエージェント、Ghost RATペイロードのファイル名やパスなど、侵害に関連するIOC(侵害指標)も公開しました。このインシデントは、2025年に見られる、正規の管理・監視ツールを悪用してネットワーク上で永続化を図る脅威アクターの広範な傾向に合致しています。
