Nezha攻撃の検出：中国関連ハッカーが採用するオープンソース監視ツールを用いたGh0st RATの展開

中国のハッカーが増加しており、高度な技術とマルチステージの攻撃チェーンを用いて、世界中の組織を標的にしています。最近のキャンペーンとして、 UNC5221 はBRICKSTORMバックドアで米国の法律および技術組織を標的にし、 UNC6384はPlugXマルウェアで外交官を標的にしました。これらの例は、これらの攻撃者のスキルと持続性の向上を示しています。

2025年8月、中国関連の攻撃者がLogインジェクション技術を利用してWebサーバーに中国チョッパーウェブシェルをインストールする新しいキャンペーンをセキュリティ研究者が観察しました。ANTSWORDを利用してアクセスした後、攻撃者はNezhaという正当にオープンソースで提供されている監視ツールを展開し、最終的にGh0st RATを配信しました。NezhaがWebサーバーの侵害で使用されたのは初めての公表される事例となります。

Nezha攻撃の検知

CrowdStrikeの2025年版世界的脅威レポート は、中国関連のサイバー作戦のペースが加速していることを強調し、国家支援活動が150%増加し、金融サービス、メディア、製造業、産業部門を対象とした攻撃が最大300%増加したと報告しています。Nezhaを不正な目的で濫用する最新のキャンペーンは、この傾向を反映しており、これらの脅威アクターがどのようにして革新し、能力を拡大し続けているかを示しています。

SOC Primeプラットフォームに登録 し、業界をリードするセキュリティ分析ソリューション、AIネイティブの脅威インテリジェンス、先進的な検知エンジニアリング機能に跨る600,000以上の検知ルールとクエリからなる広範なマーケットプレイスにアクセスできます。SOC Primeプラットフォームは、世界中の組織がNezhaの濫用による中国関連攻撃から保護するための関連検知スタックをキュレートします。

をクリックし、 検知の探索 ボタンで、 MITRE ATT&CK® フレームワークにマッピングされた一連の行動ルールにアクセスできます。これは、複数のSIEM、EDR、データレイクプラットフォームと互換性があり、IOCsとAI生成ルールが含まれています。

検知の探索

脅威の調査を簡略化するために、セキュリティ専門家は Uncoder AIを使用するかもしれません。これは、検知エンジニアリングのためのIDEと共同パイロットです。Uncoderを使用することで、防御者はIOCをカスタム検索クエリに即座に変換し、脅威レポートから検知コードを作成し、アタックフローダイアグラムを生成し、ATT&CKタグ予測を有効にし、AI駆動のクエリ最適化を活用し、検知コンテンツを複数プラットフォーム間で翻訳することができます。

SOC Primeチームは、Nezha攻撃を2025年10月の今月の脅威として命名しました。セキュリティ専門家は、SOC Primeプラットフォームの アクティブ脅威 ページを訪問し、すべての行動ルール、IOC、AI検知、アタックフロー、AIサマリー、先進的なシミュレーション​など、今月の脅威の一部として完全に無料で利用可能なすべての内容にアクセスできます。

Nezha攻撃を分析してGh0st RATを配信

最新の Huntressレポート は、中国関連の脅威アクターが、Gh0st RATマルウェアを配信するために正当にオープンソースな監視ツールNezhaを利用した広範な悪意のあるキャンペーンを詳述しています。証拠は、Nezhaが主に台湾、日本、韓国、香港での100人以上の被害者マシンの侵害中に使用されたことを示しています。また、新加坡、マレーシア、インド、イギリス、アメリカ、コロンビア、ラオス、タイ、オーストラリア、インドネシア、フランス、カナダ、アルゼンチン、スリランカ、フィリピン、アイルランド、ケニア、マカオでもより少ない数の攻撃が観察されました。

Nezhaは、軽量サーバー監視およびタスク管理ツールとして公に利用可能でマーケティングされていますが、このキャンペーンでは、Web侵入後の悪意のある活動を促進するために再利用されました。

攻撃の連鎖は、公開されている脆弱なphpMyAdminパネルの悪用から始まりました。攻撃者はインターフェースの言語設定を簡体字中国語に設定し、これが観察された唯一のエントリポイントである間、研究者が調査したNezhaのインストールのメタデータは、phpMyAdminを実行していないシステムに初期アクセスを得るために追加の方法が使用された可能性があることを示しています。

アクセスを得た後、中国のアクターはサーバーのSQLクエリインターフェースを活用して複数のSQLコマンドを迅速に実行し、最終的にインターネットアクセス可能なディレクトリにPHPウェブシェルをドロップしました。一般的なクエリログを有効にし、ログファイルに.php拡張子を付けることで、ウェブシェルはPOSTリクエストを通じて直接実行可能にされました。

ANTSWORDウェブシェルを介してアクセスしたことで、中国関連のアクターは、 whoami コマンドを実行してウェブサーバーの権限を確認するなど、侵害されたサーバーで偵察を実行することが可能となりました。この情報を使用して、オープンソースのNezhaエージェントの展開を指導しました。インストールされると、Nezhaエージェントは外部のコマンド＆コントロールサーバー（「c.mid[.]al」）に接続して感染したホスト上での完全なリモートコントロールを提供し、攻撃者がコマンドを実行し、キャンペーンの次の段階を調整することを可能にしました。

Nezhaエージェントは、インタラクティブなPowerShellスクリプトを実行するために活用され、Microsoft Defender Antivirusに除外を作成するためにシステム設定を修正し、持続性を確保し、検知の可能性を低減しました。これらのスクリプトは次に Gh0st RAT をローダーとドロッパーを介してデプロイしました。これは主要なマルウェアペイロードの設定、インストール、実行を取り扱いました。この多段階のプロセスは、攻撃者が正当なツールとカスタムスクリプトを組み合わせて防御を回避し、持続性を維持し、作戦目標を達成する能力を示しています。このキャンペーンは、中国関連のアクターがNezhaなどの公に利用可能なツールを濫用し、攻撃の能力を拡大し、世界中の広範な組織を標的にしているという増加傾向を強調しています。

中国のハッキンググループが新しい攻撃戦術を多く採用し、攻撃の高度化を進めていることから、組織は早期の攻撃段階で脅威を特定し、全体的なサイバーセキュリティの姿勢を保護するために積極的な防衛を強化するよう求められています。 SOC Primeの完全な製品スイート は、トップサイバーセキュリティ専門知識、AI、自動化機能、リアルタイムの脅威インテリジェンスによりバックアップされて、組織がAPT攻撃および予想される他の重大な脅威に対して積極的に防御するためのサポートを提供します。