Netcrook Logo
👤 CRYSTALPROXY
🗓️ 23 Dec 2025   🌍 Asia

من الحارس إلى حارس البوابة: المهاجمون يستغلون أداة مراقبة Nezha للاستيلاء الخفي على الأنظمة

العنوان الفرعي: مجرمو الإنترنت يحولون أداة مفتوحة المصدر موثوقة إلى قناة وصول سرية، ويحولون سهولة إدارة تكنولوجيا المعلومات إلى تهديد خفي.

بدأ الأمر كتحقيق روتيني في نشاط شبكة مشبوه. لكن مع تعمق خبراء الدفاع السيبراني في Ontinue، كشفوا عن تطور مقلق: فقد أعاد المهاجمون توظيف Nezha - وهي أداة مراقبة مفتوحة المصدر شهيرة يستخدمها آلاف مديري الأنظمة - لتصبح سلاح وصول عن بعد صامتًا يكاد لا يُكتشف. تسلط هذه الحالة الضوء على تهديد متزايد في مجال الأمن السيبراني: تحويل أدوات تكنولوجيا المعلومات اليومية إلى قنوات هجوم مخفية على مرأى من الجميع.

تم تطوير Nezha في الأصل لمجتمع تكنولوجيا المعلومات الصيني، وأصبحت أداة أساسية لمديري الأنظمة الذين يحتاجون إلى مراقبة مجموعات الخوادم، ومتابعة الموارد، وحل المشكلات عن بعد. بنيتها الأساسية بسيطة: لوحة تحكم مركزية تدير وكلاء خفيفي الوزن مثبتين على كل نظام. يمكن للمديرين تنفيذ الأوامر، ونقل الملفات، وفتح محطات تفاعلية - وكل ذلك بامتيازات مرتفعة.

لكن في الأيدي الخطأ، تصبح هذه الميزات القوية خطيرة. اكتشف محللو Ontinue أن المهاجمين استخدموا سكريبت Bash - مزود برسائل باللغة الصينية وسر مشفر داخل الكود - لتثبيت وكلاء Nezha على أجهزة الضحايا. وبمجرد التثبيت، يسجل هؤلاء الوكلاء أنفسهم تلقائيًا في لوحات تحكم يتحكم بها المهاجمون، مما يمنح مجرمي الإنترنت وصولاً بمستوى SYSTEM أو root دون الحاجة إلى تصعيد إضافي للصلاحيات.

والأسوأ من ذلك، أن بروتوكول الاتصال الخاص بـ Nezha - الذي يدمج حركة HTTP وgRPC عبر منفذ واحد غالبًا غير مؤمن - يندمج بسلاسة مع النشاط الشبكي الشرعي. لم ترفع أدوات الأمان أي إنذارات، حيث رأت فقط كودًا مفتوح المصدر غير معدل. لم يكتشف أي من 72 بائعًا على VirusTotal شيئًا. الدليل الوحيد: زيادة في النقاط النهائية الجديدة التي تبلغ عن نفسها إلى لوحة تحكم مستضافة على بنية Alibaba Cloud.

هذا الاستغلال ليس معزولاً. تم الإبلاغ عن تكتيكات مماثلة في جميع أنحاء شرق آسيا، مما يعكس اتجاهًا أوسع: المهاجمون يستغلون بشكل متزايد أدوات الإدارة عن بعد الموثوقة، متجاوزين اكتشاف برامج مكافحة الفيروسات التقليدية التي تركز على الكود الخبيث وليس الاستخدام الخبيث.

يواجه المدافعون الآن واقعًا مقلقًا. كما تحذر Ontinue: "حتى البرامج الشرعية يمكن أن تصبح أكثر الأسلحة فاعلية للمهاجم إذا تم تجاهل السياق التشغيلي." وتحث الشركة المؤسسات على البحث بشكل استباقي عن وكلاء Nezha غير المصرح بهم، وتقييد نشر أدوات الإدارة عن بعد، وتبني الكشف القائم على السلوك. يوفر حسابهم العام على GitHub الآن استعلامات بحث ومؤشرات اختراق لمساعدة الآخرين على تجنب نفس المصير.

في عصر أصبح فيه الخط الفاصل بين الأداة والتهديد رفيعًا للغاية، يجب على فرق الأمن النظر إلى ما هو أبعد من توقيعات الكود والتركيز على السياق والنية والسلوك. قصة Nezha تذكرنا بقوة: أحيانًا، يكمن الخطر الأكبر ليس في البرمجيات الخبيثة، بل في الأدوات الموثوقة الموجودة بالفعل داخل الأنظمة.

ويكي كروك

  • Post: في الأمن السيبراني، "post" هي عملية إرسال البيانات بأمان من المستخدم إلى الخادم، وغالبًا ما تُستخدم لإرسال النماذج وتحميل الملفات.
  • أداة الوصول عن بعد (RAT): أداة الوصول عن بعد (RAT) هي برنامج يسمح لشخص بالتحكم في جهاز كمبيوتر عن بعد، وتُستخدم للدعم الشرعي والهجمات السيبرانية الخبيثة على حد سواء.
  • تصعيد الامتيازات: يحدث تصعيد الامتيازات عندما يحصل المهاجم على وصول بمستوى أعلى، وينتقل من حساب مستخدم عادي إلى صلاحيات المدير على النظام أو الشبكة.
  • gRPC: gRPC هو بروتوكول عالي الأداء للاتصال الآمن والفعال بين الخدمات، ويُستخدم غالبًا في بنى الخدمات المصغرة والسحابية.
  • مؤشرات الاختراق (IoCs): مؤشرات الاختراق (IoCs) هي أدلة مثل أسماء الملفات أو عناوين IP أو أجزاء من الكود تساعد في اكتشاف ما إذا تم اختراق نظام كمبيوتر.
Cybersecurity Remote Access Nezha Tool
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news