Threat Actors Weaponizing Nezha Monitoring Tool as Remote Access Trojan

Ερευνητές στο Κέντρο Άμυνας στον Κυβερνοχώρο του Ontinue ανακάλυψαν μια σημαντική απειλή καθώς οι εισβολείς εκμεταλλεύονται το Nezha, ένα νόμιμο εργαλείο παρακολούθησης διακομιστή ανοιχτού κώδικα, για πρόσβαση μετά την εκμετάλλευση.

Η ανακάλυψη αποκαλύπτει πώς οι εξελιγμένοι παράγοντες απειλών επαναχρησιμοποιούν το καλοήθη λογισμικό για να αποκτήσουν τον πλήρη έλεγχο των παραβιασμένων συστημάτων, αποφεύγοντας τους παραδοσιακούς μηχανισμούς ανίχνευσης ασφάλειας.

Το Nezha, που αναπτύχθηκε αρχικά για την κινεζική κοινότητα πληροφορικής, έχει συγκεντρώσει σχεδόν 10.000 αστέρια στο GitHub και εξυπηρετεί νόμιμους διαχειριστές για την παρακολούθηση πολλών διακομιστών, την παρακολούθηση της χρήσης πόρων και την εκτέλεση απομακρυσμένης συντήρησης.

Η αρχιτεκτονική του εργαλείου περιλαμβάνει έναν κεντρικό διακομιστή ταμπλό που συντονίζει ελαφρούς πράκτορες που αναπτύσσονται σε συστήματα παρακολούθησης, επιτρέποντας την παρατήρηση της υγείας του συστήματος, την εκτέλεση εντολών, τη μεταφορά αρχείων και τις διαδραστικές περιόδους σύνδεσης τερματικού.

Ωστόσο, αυτές οι ίδιες δυνατότητες που καθιστούν το Nezha πολύτιμο για νόμιμη χρήση το έχουν καταστήσει ελκυστικό στόχο για κακόβουλους παράγοντες που αναζητούν μη εντοπισμένη απομακρυσμένη πρόσβαση.

Συνεχίστε αναλυτές και ερευνητές αναγνωρισθείς το κακόβουλο λογισμικό που χρησιμοποιήθηκε κατά τη διάρκεια μιας έρευνας περιστατικού μετά την εκμετάλλευση.

Ένα σενάριο bash ανάπτυξης αποκάλυψε τις λεπτομέρειες της υποδομής του εισβολέα, συμπεριλαμβανομένων των διευθύνσεων διακομιστή εντολών και ελέγχου, των διακριτικών ελέγχου ταυτότητας και μιας απενεργοποιημένης διαμόρφωσης TLS.

Το σενάριο περιείχε φυσικά γραμμένα μηνύματα κατάστασης στην κινεζική γλώσσα, υποδεικνύοντας ότι το συντάχθηκε από έναν μητρικό ομιλητή.

Είναι σημαντικό ότι οι παράγοντες της απειλής κατάφεραν να θέσουν σε κίνδυνο εκατοντάδες τελικά σημεία χρησιμοποιώντας αυτήν την τεχνική, αποδεικνύοντας την κλίμακα της απειλής.

Στρατηγική ανάπτυξης του The Threat Actor

Η προσέγγιση του επιτιθέμενου δείχνει εξελιγμένο επιχειρησιακό εμπόριο. Το σενάριο bash περιελάμβανε παραμέτρους διαμόρφωσης που δείχνουν σε έναν διακομιστή C2 που φιλοξενείται σε υπηρεσίες Alibaba Cloud στη διεύθυνση IP 47.79.42.91, γεωγραφικά εντοπισμένη στην Ιαπωνία.

Η εγκατάσταση πραγματοποιήθηκε αθόρυβα σε συστήματα-στόχους, με την ανίχνευση να ενεργοποιείται μόνο όταν οι εισβολείς εκτελούσαν εντολές μέσω του πράκτορα. Οι ερευνητές της Ontinue είχαν πρόσβαση στο ταμπλό του παράγοντα απειλής σε περιβάλλον sandbox, ανακαλύπτοντας το πλήρες εύρος της παραβιασμένης υποδομής.

Αυτό που κάνει το Nezha ιδιαίτερα επικίνδυνο είναι ότι όταν αναπτύσσεται, ο πράκτορας εκτελείται με δικαιώματα SYSTEM στα Windows και πρόσβαση root στο Linux.

Αυτό συμβαίνει επειδή ο παράγοντας απαιτεί αυξημένα δικαιώματα για την ανάγνωση μετρήσεων συστήματος και τη διαχείριση διαδικασιών.

Όταν οι εισβολείς ζητούν συνεδρίες τερματικού, το κληρονομικό πλαίσιο διαδικασίας διασφαλίζει ότι η πρόσβαση στο φλοιό λειτουργεί με πλήρεις δυνατότητες διαχείρισης. Αυτό εξαλείφει τυχόν απαιτήσεις κλιμάκωσης προνομίων που διαφορετικά θα μπορούσαν να ειδοποιήσουν τους υπερασπιστές.

Το νόμιμο δυαδικό πέτυχε μηδενικές ανιχνεύσεις σε 72 προμηθευτές ασφαλείας στο VirusTotal επειδή είναι πραγματικά νόμιμο λογισμικό που κατευθύνεται στην υποδομή εισβολέων. Η αποφυγή ανίχνευσης γίνεται ασήμαντη όταν το πραγματικό δυαδικό αρχείο δεν περιέχει κακόβουλο κώδικα, παρά μόνο εσφαλμένα διαμορφωμένα τελικά σημεία C2.

Η διαχείριση αρχείων, η εκτέλεση εντολών και οι δυνατότητες διαδραστικού τερματικού παρέχουν πλήρη έλεγχο μετά τον συμβιβασμό χωρίς να απαιτούνται πρόσθετα εργαλεία ή ανάπτυξη προσαρμοσμένου ωφέλιμου φορτίου.

Οι οργανισμοί θα πρέπει να αναζητήσουν αμέσως την παρουσία του Nezha και να εφαρμόσουν παρακολούθηση συμπεριφοράς για να εντοπίσουν ύποπτη δραστηριότητα τερματικού και λειτουργίες αρχείων που υποδεικνύουν συμβιβασμό.