كشفت فرق الأمن السيبراني عن استغلال متزايد لأداة مراقبة الخوادم مفتوحة المصدر “Nezha”، حيث يقوم ممتهنو الجرائم الإلكترونية بتحويلها إلى أداة وصول عن بعد (RAT) للوصول إلى الأنظمة المخترقة.
تُظهر هذه التطورات كيف يسيء المهاجمون استخدام أدوات شرعية لتجنب الكشف عن أنشطتهم الخبيثة، مما يشكل تحديًا جديدًا أمام استراتيجيات الأمن التقليدية.
أداة “Nezha”، التي طورها مجتمع تكنولوجيا المعلومات الصيني، تحظى بشعبية واسعة مع ما يقرب من 10,000 نجمة على منصة “GitHub”. تُستخدم هذه الأداة في الأصل بواسطة مسؤولي الأنظمة لمراقبة خوادم متعددة، وتتبع استهلاك الموارد، وإجراء الصيانة عن بعد.
تتكون “Nezha” من خادم مركزي يدير عوامل خفيفة الوزن مثبتة على الأنظمة المراد مراقبتها. تسمح هذه المعمارية بمراقبة حالة النظام، تنفيذ الأوامر، نقل الملفات، وإجراء جلسات طرفية تفاعلية.
ومع ذلك، فإن نفس الميزات التي تجعل “Nezha” أداة قيمة للمسؤولين الشرعيين، قد جعلتها هدفًا جذابًا للمهاجمين الذين يبحثون عن وسائل وصول خفية وغير مكتشفة.
تمكن باحثو مركز أونتيني للدفاع السيبراني من تحديد هذه الأداة أثناء تحقيق في حادثة ما بعد الاختراق.
أظهر تحليل لسكريبت نشر الأدوات، معلومات حول البنية التحتية للمهاجمين، بما في ذلك عناوين خوادم القيادة والتحكم (C2)، ورموز المصادقة، وتكوين TLS معطل.
اكتشف الباحثون رسائل حالة باللغة الصينية داخل السكريبت، مما يشير إلى أن كاتبه يتحدث اللغة بطلاقة، ويرجح أن يكون المنفذون من الناطقين باللغة الصينية.
من المثير للقلق أن المهاجمين تمكنوا من اختراق مئات الأجهزة بهذه الطريقة، مما يدل على النطاق الواسع للتهديد.
استراتيجية المهاجمين في نشر أداة Nezha
تُظهر طريقة المهاجمين مستوى عاليًا من الخبرة التشغيلية. تضمن السكريبت الذي تم تحليله توجيه معلمات التكوين إلى خادم C2 مستضاف على خدمات Alibaba Cloud، وعنوانه IP هو 47.79.42.91، وتم تحديد موقعه الجغرافي في اليابان.
حدثت عملية التثبيت خلسة على الأنظمة المستهدفة، ولم يتم الكشف عن الاختراق إلا عند قيام المهاجمين بتنفيذ الأوامر عبر العميل. تمكن باحثو أونتيني من الوصول إلى لوحة تحكم المهاجم في بيئة معزولة، واكتشاف النطاق الكامل للبنية التحتية المخترقة.
يكمن الخطر الأكبر في أن عميل “Nezha” يعمل بصلاحيات النظام (SYSTEM) على ويندوز، وصلاحيات الجذر (root) على لينكس عند تثبيته.
يحدث هذا لأن العميل يحتاج إلى صلاحيات مرتفعة لقراءة مقاييس النظام وإدارة العمليات.
عندما يطلب المهاجمون جلسات طرفية، يضمن سياق العملية الموروث أن تعمل جلسة الطرفية بصلاحيات إدارية كاملة، مما يلغي الحاجة إلى أي تصعيد في الصلاحيات قد ينبه المدافعين.
حقق المصنف الشرعي للأداة صفر اكتشافات عبر 72 بائعًا للأمن على VirusTotal، لأنها برنامج شرعي فعليًا يوجه اتصالاته إلى بنية تحتية يتحكم فيها المهاجمون. يصبح التهرب من الكشف سهلاً عندما لا يحتوي المصنف نفسه على أي شفرة خبيثة، بل فقط نقاط نهاية C2 سيئة التكوين.
توفر إمكانيات إدارة الملفات، وتنفيذ الأوامر، وجلسات الطرفية التفاعلية تحكمًا كاملاً بعد الاختراق دون الحاجة إلى أدوات إضافية أو تطوير حمولات مخصصة.
لذلك، يجب على المؤسسات البحث فورًا عن وجود “Nezha” لديها، وتطبيق مراقبة سلوكية لتحديد نشاط الطرفية المشبوه وعمليات الملفات التي قد تشير إلى اختراق.