خلاصہ
سائبر سیکیورٹی ماہرین کے مطابق چین سے تعلق رکھنے والے مشتبہ ہیکرز نے ایک جائز اوپن سورس مانیٹرنگ ٹول Nezha کو ایک نئے سائبر حملے میں بطور ہتھیار استعمال کیا ہے۔
یہ مہم، جسے کمپنی Huntress نے اگست 2025 میں دریافت کیا، ایک تکنیک لاگ پویزننگ (Log Poisoning) یا لاگ انجیکشن (Log Injection) پر مبنی ہے جس کے ذریعے حملہ آور ویب سرور پر ایک ویب شیل (Web Shell) نصب کرتے ہیں اور پھر Gh0st RAT نامی میل ویئر تعینات کرتے ہیں — جو کہ ماضی میں چینی ہیکرز کے کئی حملوں میں استعمال ہو چکا ہے۔
ماہرین کا کہنا ہے کہ اس حملے کے نتیجے میں 100 سے زائد مشینیں متاثر ہوئیں، جن میں زیادہ تر تائیوان، جاپان، جنوبی کوریا اور ہانگ کانگ شامل ہیں، جبکہ دیگر متاثرہ ممالک میں سنگاپور، بھارت، ملائیشیا، برطانیہ، امریکہ، فرانس، کینیڈا، آسٹریلیا اور کئی دیگر شامل ہیں۔
حملے کا طریقہ
Huntress کی رپورٹ کے مطابق یہ حملہ درج ذیل مراحل میں انجام دیا گیا:
1. ابتدائی رسائی
•ہیکرز نے عوامی طور پر دستیاب اور کمزور phpMyAdmin پینل تلاش کر کے ان میں داخلہ حاصل کیا۔
•سسٹم میں داخل ہونے کے بعد انہوں نے زبان کو سادہ چینی (Simplified Chinese) میں تبدیل کیا۔
2. لاگ پویزننگ کے ذریعے ویب شیل نصب کرنا
•ہیکرز نے SQL سرور میں General Query Logging فعال کیا تاکہ تمام کوئریز ڈسک پر محفوظ ہو جائیں۔
•پھر انہوں نے ایک ایسی SQL کوئری چلائی جس میں ایک PHP ویب شیل کا ایک لائن کوڈ شامل تھا۔
•انہوں نے لاگ فائل کو .php ایکسٹینشن کے ساتھ محفوظ کیا، تاکہ ویب سرور اسے براہ راست ایگزیکیوٹ کر سکے۔
•اس کے بعد POST ریکویسٹ کے ذریعے وہ شیل فعال ہو گیا اور ہیکرز کو سرور پر مکمل کنٹرول مل گیا۔
3. کنٹرول حاصل کرنا اور Nezha انسٹال کرنا
•ہیکرز نے ANTSWORD نامی ویب شیل کا استعمال کرتے ہوئے whoami جیسی کمانڈز چلائیں تاکہ سرور کے اختیارات معلوم کر سکیں۔
•اسی ویب شیل کے ذریعے انہوں نے Nezha ایجنٹ انسٹال کیا، جو کہ ایک مانیٹرنگ اور کمانڈ کنٹرول ٹول ہے۔
•Nezha ایجنٹ نے ایک بیرونی سرور (c.mid[.]al) سے کنکشن قائم کیا۔
•حیرت انگیز طور پر، ہیکرز نے اپنا Nezha ڈیش بورڈ روسی زبان میں چلایا، جس میں دنیا بھر کے 100 سے زائد متاثرین درج تھے۔
4. میل ویئر انسٹالیشن اور Gh0st RAT
•Nezha ایجنٹ کے ذریعے ہیکرز نے ایک PowerShell اسکرپٹ چلایا، جو Microsoft Defender میں مخصوص فولڈرز اور فائلوں کو اسکین سے مستثنیٰ (Exclude) کر دیتا ہے۔
•اس کے بعد ایک لوڈر اور ڈراپر چین کے ذریعے Gh0st RAT میل ویئر لانچ کیا گیا، جو متاثرہ سسٹم پر مکمل ریموٹ کنٹرول فراہم کرتا ہے۔
نمایاں تکنیکیں
•Log Poisoning: لاگ فائل میں ایکزیکیوٹیبل کوڈ شامل کر کے اسے PHP فائل کی طرح قابلِ عمل بنانا۔
•phpMyAdmin کا غلط استعمال: پبلک طور پر ایکسپوزڈ یا غیر محفوظ ایڈمن انٹرفیس ہیکرز کے لیے آسان راستہ ہیں۔
•اوپن سورس ٹولز کا غلط استعمال: Nezha جیسے جائز ٹولز کو بد نیتی سے استعمال کر کے ہیکرز کم لاگت اور زیادہ پوشیدگی کے ساتھ حملے کرتے ہیں۔
•ANTSWORD کا استعمال: یہ ویب شیل ہیکرز کو کمانڈز چلانے اور میل ویئر انسٹال کرنے کی اجازت دیتا ہے۔
•Gh0st RAT کا نفاذ: معروف چینی ہیکنگ گروپوں کا پسندیدہ میل ویئر جو مکمل ریموٹ ایکسیس فراہم کرتا ہے۔
اثرات اور نقصان
•100 سے زائد سرورز متاثر
•زیادہ تر متاثرہ سسٹمز: تائیوان، جاپان، جنوبی کوریا، ہانگ کانگ
•دیگر ممالک میں: سنگاپور، بھارت، ملائیشیا، برطانیہ، امریکہ، فرانس، کینیڈا، آسٹریلیا، انڈونیشیا، سری لنکا، آئرلینڈ، کینیا وغیرہ۔
•یہ مہم اس حقیقت کو اجاگر کرتی ہے کہ معمولی غلط کنفیگریشن اور پبلک ایکسپوژر بھی بڑے پیمانے پر نقصان کا باعث بن سکتا ہے۔
کیوں یہ اہم ہے
یہ واقعہ تین بڑے رجحانات کو واضح کرتا ہے:
1.اوپن سورس ٹولز ہیکرز کے لیے پرکشش ہیں کیونکہ وہ سستے اور باآسانی دستیاب ہیں۔
2.غیر محفوظ ایڈمن انٹرفیسز آج بھی سب سے بڑی کمزوری ہیں۔
3.لاگز اور دیگر آپریشنل فائلز کو صحیح طریقے سے محفوظ نہ کیا جائے تو وہ خود حملے کا ذریعہ بن سکتی ہیں۔
بچاؤ اور سیکیورٹی اقدامات
•phpMyAdmin جیسے ایڈمن ٹولز کو پبلک نیٹ پر مت رکھیں؛ انہیں VPN یا IP allow-list سے محدود کریں۔
•لاگ فائلز کو ویب سرور کے ایگزیکیوٹیبل ڈائریکٹریز سے الگ رکھیں۔
•کسی بھی نئی .php فائل کی تخلیق یا تبدیلی کی نگرانی کریں۔
•ANTSWORD یا کسی مشتبہ PHP شیل کی سرگرمی پر الرٹ سیٹ کریں۔
•Microsoft Defender میں ہونے والی Exclusion تبدیلیوں کو مانیٹر کریں۔
•غیر معمولی PowerShell اسکرپٹس یا c.mid[.]al جیسے مشتبہ ڈومینز کی ٹریفک کو بلاک کریں۔
نتیجہ
Huntress کی تحقیق ظاہر کرتی ہے کہ جدید ہیکرز صرف جدید میل ویئر پر انحصار نہیں کرتے — وہ جائز اوپن سورس ٹولز اور سادہ تکنیکی خامیوں کو ہتھیار کے طور پر استعمال کر رہے ہیں۔
اگر سسٹمز کو باقاعدگی سے اپ ڈیٹ، محفوظ، اور مانیٹر کیا جائے تو اس طرح کے حملوں سے بچاؤ ممکن ہے۔
سورس
https://thehackernews.com/2025/10/chinese-hackers-weaponize-open-source.html?m=1
