Source: https://thehackernews.com/2025/10/chinese-hackers-weaponize-open-source.html
🛡 概要
中国に関連すると思われる脅威アクターが、正当なオープンソース監視ツール「Nezha」を攻撃武器として利用し、既知のマルウェア「Gh0st RAT」をターゲットに配信しています。この活動は2025年8月にサイバーセキュリティ会社Huntressによって観測され、ログポイズニング(ログインジェクション)と呼ばれる異常な手法を用いて、ウェブサーバーにウェブシェルを植え付けることが特徴です。
🔍 技術詳細
この攻撃チェーンは、攻撃者が「技術的に熟練した敵」として描写され、公開されている脆弱なphpMyAdminパネルを利用して初期アクセスを取得し、その後言語を簡体字中国語に設定したことから始まります。脅威アクターはサーバーのSQLクエリインターフェースにアクセスし、さまざまなSQLコマンドを迅速に実行して、インターネット経由でアクセス可能なディレクトリにPHPウェブシェルをドロップします。具体的には、ログファイル名に.php拡張子を設定し、POSTリクエストをサーバーに送信することで直接実行できる状態にします。
その後、ANTSWORDウェブシェルを利用して「whoami」コマンドを実行し、ウェブサーバーの権限を確認した上で、オープンソースのNezhaエージェントを配信します。このエージェントは、外部サーバーに接続することで感染したホストを遠隔操作するために使用されます。興味深いことに、攻撃者はロシア語でNezhaダッシュボードを運用しており、世界中で100件以上の被害者が確認されています。
⚠ 影響
この攻撃により、台湾、日本、韓国、香港を中心に100台以上の被害者機が侵害されたとされています。Nezhaエージェントを介して、攻撃者はインタラクティブなPowerShellスクリプトを実行し、Microsoft Defender Antivirusの除外を作成し、Gh0st RATを起動することができます。このマルウェアは、中国のハッキンググループによって広く使用されており、攻撃者はローダーによって実行されるドロッパーを通じて主要ペイロードを構成し、開始します。これにより、被害者のシステムに深刻な影響を及ぼす可能性があります。
🛠 対策
このような攻撃から身を守るためには、まず脆弱なphpMyAdminパネルやその他の管理インターフェースへのアクセスを制限することが重要です。セキュリティパッチを適用し、強力な認証メカニズムを導入することで、未承認のアクセスを防ぐことができます。また、ログファイルの監視や異常なアクティビティを検知するシステムを実装することで、早期の脅威発見が可能になります。最後に、オープンソースツールを利用する際には、その安全性を十分に確認し、悪用されるリスクを認識することが重要です。
