Ameaça de cibersegurança ferramenta Nezha usada para ataques com malware

BR Defense Center (By River de Morais e Silva)
malware

Um grupo de cibercriminosos com supostas ligações à China transformou a ferramenta de monitoramento de código aberto Nezha em uma arma de ataque, utilizando-a para distribuir o malware conhecido como Gh0st RAT. A atividade foi detectada pela empresa de cibersegurança Huntress em agosto de 2025 e envolveu uma técnica incomum chamada ’log poisoning’ para implantar um web shell em servidores vulneráveis. Os invasores conseguiram acesso inicial através de um painel phpMyAdmin exposto e vulnerável, alterando a linguagem para chinês simplificado. Após acessar a interface SQL do servidor, eles executaram comandos SQL para inserir um web shell PHP, que foi registrado em um arquivo de log. Isso permitiu que os atacantes utilizassem o web shell ANTSWORD para executar comandos e implantar o agente Nezha, que possibilita o controle remoto de máquinas infectadas. A maioria das vítimas está localizada em Taiwan, Japão, Coreia do Sul e Hong Kong, mas há também um número significativo em outros países, incluindo Brasil, Reino Unido e Estados Unidos. Este incidente destaca como ferramentas de código aberto podem ser mal utilizadas por cibercriminosos, representando um risco crescente para a segurança cibernética global.

Fonte: https://thehackernews.com/2025/10/chinese-hackers-weaponize-open-source.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
08/10/2025 • Risco: ALTO
MALWARE

Ameaça de cibersegurança: ferramenta Nezha usada para ataques com malware

RESUMO EXECUTIVO
O ataque utilizando Nezha e Gh0st RAT representa uma ameaça significativa, especialmente para organizações que utilizam phpMyAdmin e outras ferramentas vulneráveis. A exploração de log poisoning para implantar web shells é uma técnica que pode ser replicada, aumentando o risco de compromissos de segurança em diversas indústrias.

💼 IMPACTO DE NEGÓCIO

Financeiro
Potenciais custos associados à recuperação de dados e mitigação de danos.
Operacional
Comprometimento de mais de 100 máquinas, principalmente em Taiwan, Japão, Coreia do Sul e Hong Kong.
Setores vulneráveis
['Tecnologia da informação', 'Finanças', 'Saúde']

📊 INDICADORES CHAVE

Mais de 100 máquinas comprometidas. Indicador
Maioria das infecções em Taiwan, Japão, Coreia do Sul e Hong Kong. Contexto BR
Nezha operando com um painel em russo, listando mais de 100 vítimas globalmente. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar a exposição de painéis phpMyAdmin e garantir que estejam protegidos.
2 Implementar regras de firewall para bloquear acessos não autorizados e revisar logs de acesso.
3 Monitorar atividades suspeitas em servidores e implementar detecções para web shells.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a crescente sofisticação de ataques que utilizam ferramentas de código aberto, que podem ser facilmente acessadas e utilizadas por cibercriminosos.

⚖️ COMPLIANCE

Implicações legais relacionadas à LGPD e à proteção de dados.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).