Çin Bağlantılı Saldırganların Yeni Yöntemleri
Siber güvenlik alanında önemli bir tehdit, Çin ile bağlantılı olduğu düşünülen tehdit aktörlerinin, meşru bir açık kaynak izleme aracını (Nezha) nasıl bir saldırı silahına dönüştürdüğünü göstermektedir. Cyberspace’teki gelişmeler, özellikle Huntress isimli siber güvenlik şirketinin Ağustos 2025’te gözlemlediği bir olaya odaklanmıştır. Bu saldırılar, log zehirleme gibi alışılmadık bir teknik kullanılarak gerçekleştirilmiştir.
Saldırının Detayları
Nezha, web sunucularında komut çalıştırmamıza olanak tanıyan bir izleme aracıdır. Saldırganlar, ANTSWORD aracını kullanarak bu web sunucusunu kontrol altına almış ve ardından Nezha aracını dağıtmıştır. Araştırmacılar Jai Minton, James Northey ve Alden Schmidt’in raporuna göre, bu olayda 100’den fazla makinenin kaynaklandığı belirtilmiştir. Bu enfeksiyonların çoğu, Tayvan, Japonya, Güney Kore ve Hong Kong gibi ülkelerde tespit edilmiştir.
İlk giriş için saldırganlar, kamuya açık ve zayıf bir phpMyAdmin panelinden yararlanmış ve dili Basitleştirilmiş Çince olarak ayarlamıştır. Bu süreçte, sunucu SQL sorgu arayüzüne erişim sağlanmış ve çeşitli SQL komutları hızla çalıştırılarak, internet üzerinden erişilebilen bir dizine bir PHP web shell yerleştirilmiştir.
Log Zehirleme Yöntemi
Saldırganlar, bir PHP web shell sorgusu oluşturarak bunu bir log dosyasına kaydetmeyi başarmıştır. Huntress’in açıklamalarına göre, log dosyasının adı .php uzantısıyla belirlenmiş, böylece sunucuya gönderilen POST istekleri ile doğrudan yürütülebilmiştir. Bu tür bir saldırı, siber güvenlik alanında yeni bir tehdit modeli olarak dikkat çekmektedir.
Daha sonra, ANTSWORD web shell’inin sağladığı erişim ile “whoami” komutu çalıştırılmış ve web sunucusunun ayrıcalıkları belirlenmiştir. Ardından, açık kaynak Nezha aracını, dış bir sunucuya bağlanarak kötü amaçlarla kullanılmak üzere yüklemişlerdir.
Küresel Etkiler
Nezha aracını kullanan saldırganlar, dünya genelinde 100’den fazla kurbanı hedef almışlardır. Bu kurbanlar arasında Singapur, Malezya, Hindistan, İngiltere, ABD, Kolombiya, Laos, Tayland, Avustralya, Endonezya, Fransa, Kanada, Arjantin, Sri Lanka, Filipinler, İrlanda, Kenya ve Macao gibi ülkeler de bulunmaktadır. Saldırganın Nezha kontrol panelini Rusça olarak kullandığı dikkat çekmektedir.
Gh0st RAT Malware Kullanımı
Saldırının bir diğer ilginç yönü, Nezha aracının bir sonraki aşamada, Microsoft Defender Antivirus hariç tutmalarını oluşturmak ve Gh0st RAT isimli kötü amaçlı yazılımı başlatmak için etkileşimli bir PowerShell script çalıştırmasıdır. Gh0st RAT, özellikle Çinli hack grupları tarafından yaygın olarak kullanılan bir yazılım olup, burada bir yükleyici aracılığıyla yürütülmektedir.
Bu tür saldırılar, yeni ve mevcut açık kaynak araçların kötüye kullanılması açısından önemli bir örnek sunmaktadır. Huntress araştırmacıları, kamuya açık araçların sıkça hedef alındığını ve bu araçların saldırganlar tarafından haklı çıkarma olanağı sağladığını belirtmiştir. Üstelik, bu araçların güvenlik ürünleri tarafından tespit edilme olasılıklarının düşük olması, saldırganlar için cazip bir durum oluşturmaktadır.
Siber Güvenlikte Yeni Tehditler
Sonuç olarak, bu tür saldırılar siber güvenlik alanında ciddi bir endişe kaynağı olarak öne çıkmaktadır. Açık kaynak araçlara olan talep ve bunların tehdit aktörleri tarafından nasıl kötüye kullanıldığı, güvenlik stratejilerinin yeniden gözden geçirilmesi gerektiğini ortaya koymaktadır. Güvenlik alanındaki uzmanlar, bu tür karmaşık saldırıların daha sık görülmeye başlanacağını öngörmektedir. Dolayısıyla, bu olaylar, güvenlik düzeyimizi artırmak ve yeni oluşan tehditlere karşı hazırlıklı olmak adına önemli bir uyarı niteliğindedir.
