"Отравление логов" через phpMyAdmin — новая техника китайских хакеров

leer en español

Huntress Nezha Gh0st RAT Китай ANTSWORD отравление логов кибератака
"Отравление логов" через phpMyAdmin — новая техника китайских хакеров
Huntress Nezha Gh0st RAT Китай ANTSWORD отравление логов кибератака

Китайские хакеры используют открытый исходный код Nezha как оружие в новой волне атак.

image

В августе 2025 года специалисты Huntress зафиксировали атаку с использованием легитимного инструмента Nezha, который изначально предназначен для мониторинга серверов. В ходе кампании злоумышленники, предположительно связанные с Китаем, использовали его в качестве средства удалённого управления и доставки вредоносного ПО Gh0st RAT.

Это произошло после того, как они скомпрометировали веб-сервер с помощью приёма под названием «отравление логов». Такая техника позволяет внедрить веб-оболочку на сервер путём записи вредоносного кода в файл логов и переименования его в PHP-скрипт, который может быть исполнен через обычный HTTP-запрос.

Первоначальный доступ был получен через уязвимую панель phpMyAdmin, размещённую в открытом доступе. После проникновения злоумышленники сменили язык интерфейса на упрощённый китайский и выполнили ряд SQL-запросов, чтобы активировать логирование, а затем внедрили свой скрипт.

Через оболочку ANTSWORD они проверили уровень доступа командой whoami и установили агент Nezha, подключающийся к внешнему серверу управления. Дальнейшие действия включали выполнение PowerShell-скрипта, который отключал защиту Microsoft Defender и активировал загрузчик Gh0st RAT — вредоносной программы, часто используемой китайскими киберпреступными группами.

Хотя основной удар пришёлся на Тайвань, Японию, Южную Корею и Гонконг, жертвами стали также пользователи из более чем 20 стран, включая Сингапур, Индию, Великобританию, США, Францию и Австралию. Всего было зафиксировано не менее сотни заражений.

Команда Huntress считает, что кроме phpMyAdmin использовались и другие векторы проникновения, поскольку на некоторых скомпрометированных системах не наблюдалось следов использования данной панели. Это подтверждается метаданными установленных агентов Nezha, обнаруженных на инфраструктуре, где такое ПО обычно не применяется. Учитывая временные метки подключения к панели управления, предполагается, что вредоносная кампания могла стартовать ещё в июне 2025 года или ранее.

Описанная схема демонстрирует, насколько активно атакующие осваивают и адаптируют открытые инструменты для своих целей. Применение легитимных решений снижает расходы на разработку вредоносного ПО, затрудняет атрибуцию и снижает вероятность детектирования со стороны защитных систем. Это подчёркивает необходимость внимательного отношения к публичным инструментам — даже тем, что изначально предназначены для благих целей.