هاكرز صينيون يسخرون من أداة Nezha مفتوحة المصدر في موجة هجمات جديدة
قام المهاجمون الذين يُشتبه في ارتباطهم بالصين بتحويل أداة مراقبة مفتوحة المصدر شرعية تُدعى Nezha إلى سلاح هجوم، مستخدمين إياها لتوصيل برمجية خبيثة معروفة تُدعى Gh0st RAT إلى الأهداف.
تمت ملاحظة هذه النشاطات من قبل شركة الأمن السيبراني Huntress في أغسطس 2025، وتتميز باستخدام تقنية غير عادية تُعرف بتسمم السجلات (أو حقن السجلات) لزرع قشرة ويب على خادم ويب.
“هذا سمح للمهاجم بالتحكم في خادم الويب باستخدام ANTSWORD، قبل نشر Nezha، وهي أداة تشغيل ومراقبة تسمح بتنفيذ الأوامر على خادم الويب،” كما قال الباحثون جاي مينتون، جيمس نورثي، وألدن شميت في تقرير تم مشاركته مع The Hacker News.
تأثير الهجمات
يُقال إن الاختراق قد أثر على أكثر من 100 جهاز ضحية، مع تسجيل معظم الإصابات في تايوان واليابان وكوريا الجنوبية وهونغ كونغ.
“تستمر هذه النشاطات منذ يونيو 2025 على الأقل، لكن قد يكون ذلك لفترة أطول،” كما قال مينتون، المحلل الرئيسي لعمليات الأمن في Huntress، لـ The Hacker News. “هذا يعتمد على الطوابع الزمنية الأولى للأنظمة التي تتصل بلوحة معلومات Nezha الخاصة بالمهاجم، والتي تعتبر أيضًا مؤشرًا جيدًا على متى تم اختراق الأنظمة الفردية.”
سلسلة الهجوم
تظهر سلسلة الهجوم التي جمعتها Huntress أن المهاجمين، الذين وُصفوا بأنهم “خصم ذو مهارات تقنية عالية،” استغلوا لوحة phpMyAdmin العامة المعرضة للخطر للحصول على الوصول الأولي، ثم قاموا بتعيين اللغة إلى الصينية المبسطة.
قالت شركة الأمن السيبراني إنه على الرغم من عدم ملاحظتها لطرق وصول أولية أخرى، إلا أنها تقيّم بثقة عالية أن هناك طرقًا أخرى يستخدمها المهاجمون لاختراق الشبكات ذات الأهمية. “هذا يعتمد على بيانات التعريف للأنظمة المتنوعة التي تم تثبيت عميل Nezha عليها، مما يشير إلى بعض الأنظمة التي لم نتوقع بالضرورة أن تعمل على لوحة phpMyAdmin،” كما قالت.
تم العثور على المهاجمين لاحقًا للوصول إلى واجهة استعلام SQL للخادم وتنفيذ أوامر SQL مختلفة بسرعة من أجل إسقاط قشرة ويب PHP في دليل يمكن الوصول إليه عبر الإنترنت بعد التأكد من تسجيل الاستعلامات على القرص من خلال تمكين تسجيل الاستعلامات العامة.
“ثم أصدروا استعلامًا يحتوي على قشرة ويب PHP الخاصة بهم، مما تسبب في تسجيلها في ملف السجل،” كما أوضحت Huntress. “من المهم، أنهم قاموا بتعيين اسم ملف السجل بامتداد .php، مما يسمح بتنفيذه مباشرة عن طريق إرسال طلبات POST إلى الخادم.”
يتم استخدام الوصول الممنوح من قشرة الويب ANTSWORD بعد ذلك لتنفيذ أمر “whoami” لتحديد صلاحيات خادم الويب وتوصيل عميل Nezha مفتوح المصدر، الذي يمكن استخدامه للتحكم عن بُعد في مضيف مصاب من خلال الاتصال بخادم خارجي (“c.mid[.]al”).
جانب مثير للاهتمام من الهجوم هو أن المهاجم الذي يقف وراء العملية كان يدير لوحة معلومات Nezha الخاصة به باللغة الروسية، مع وجود أكثر من 100 ضحية مسجلة حول العالم. يتم توزيع تركيز أصغر من الضحايا عبر سنغافورة وماليزيا والهند والمملكة المتحدة والولايات المتحدة وكولومبيا ولاوس وتايلاند وأستراليا وإندونيسيا وفرنسا وكندا والأرجنتين وسريلانكا والفلبين وأيرلندا وكينيا وماكاو، من بين آخرين.
المرحلة التالية من الهجوم
يمكن لعميل Nezha تمكين المرحلة التالية من سلسلة الهجوم، مما يسهل تنفيذ نص PowerShell تفاعلي لإنشاء استثناءات في Microsoft Defender Antivirus وإطلاق Gh0st RAT، وهي برمجية خبيثة تُستخدم على نطاق واسع من قبل مجموعات القرصنة الصينية. يتم تنفيذ البرمجية الخبيثة من خلال محمل يقوم بدوره بتشغيل مُسقط مسؤول عن تكوين وبدء الحمولة الرئيسية.
“تسلط هذه النشاطات الضوء على كيفية استغلال المهاجمين للأدوات العامة الجديدة والناشئة كلما أصبحت متاحة لتحقيق أهدافهم،” كما قال الباحثون.
“بسبب ذلك، فإنه تذكير صارخ بأنه بينما يمكن استخدام الأدوات المتاحة للجمهور لأغراض مشروعة، فإنها تُستغل أيضًا بشكل شائع من قبل المهاجمين بسبب انخفاض تكلفة البحث، والقدرة على توفير إنكار معقول مقارنةً بالبرمجيات الخبيثة المخصصة، واحتمالية عدم اكتشافها بواسطة منتجات الأمن.”
(تم تحديث القصة بعد النشر لتضمين رؤى إضافية من Huntress.)
