Kínai kiberszereplők kampánya Nezha monitoring eszközzel
A Huntress kutatói bizonyítékot találtak arra, hogy feltételezett kínai szereplők egy Nezha nevű felügyeleti eszközt használtak több mint 100 áldozat gépének feltörése során Tajvanon, Japánban, Dél-Koreában és Hongkongban. A Huntress kiberbiztonsági cég incidenskezelői elmondták, hogy először egy sérülékeny, nyilvános webalkalmazás vizsgálata során bukkantak a kampányra, amely augusztus elején egy behatolás forrása volt. A támadó telepítette a Nezha-t, egy operációs és monitoring eszközt, amely lehetővé teszi parancsok futtatását egy webszerveren.
A Nezha egy lightweight, nyílt forráskódú szervermonitoring és feladatkezelő eszköz. Ez a tevékenység rávilágít arra, hogy a kiberszereplők egyre inkább visszaélnek az új és feltörekvő, nyilvánosan elérhető eszközökkel, amint azok elérhetővé válnak. Ezzel a költségek alacsonyak lesznek, a testreszabott rosszindulatú programokhoz képest legitim eszközöknek tűnnek és így a biztonsági termékek által valószínűleg nem észlelhetők.
Huntress szerint a Nezha-t más malware-ekkel és webes shell menedzsment eszközökkel együtt használtak, mint például a Ghost RAT és az AntSword. Az egyik első nyom, amely arra utalt, hogy az incidenst kínai szereplőknek tulajdoníthatják, az volt, hogy a feltört rendszer adminisztrációs felületére való belépés után az elkövető a nyelvet egyszerűsített kínaira állította. Bár a Huntress nem tulajdonította a kampányt hivatalosan egy konkrét kínai kiberszereplőnek, a Ghost RAT-ot és az AntSword-öt is használták korábban olyan tevékenységekben, amelyeket nyilvánosan kínai APT-csoportoknak tulajdonítottak.
A potenciális áldozatok földrajzi elhelyezkedésének vizsgálata azt is kimutatta, hogy Tajvan, Japán és Dél-Korea voltak a leginkább célba vett országok, amelyek éppen az a három ország, amelyek különösen érintettek a Kínai Népköztársasággal folytatott politikai vitákban a kelet-kínai-tengeri kizárólagos gazdasági övezetek kiterjedése miatt. A támadás gyorsasága és a számos környezetben megfigyelt alacsony elkövetői szakértelem alapján arra következtetett a Huntress, hogy ez inkább egy politikai motivációjú fenyegetés.
A Huntress nem tudta megállapítani, hogy a támadások célja kémkedés vagy adatlopás volt-e.