Threat Actors Exploiting NGINX Servers to Redirect Web Traffic to Malicious Sites
2026/02/05 gbhackers — Web サーバを乗っ取り、悪意の Web サイトへと訪問者をリダイレクトさせる、新たなサイバー・キャンペーンが確認された。このキャンペーンは、広く利用されている Web サーバ・ソフトウェア NGINX を標的としており、特に Baota (BT) 管理パネルを使用するサーバが狙われている。この攻撃者は、過去の React2Shell 活動と関連付けられており、サーバのコンフィグ・ファイルを改変することで、通信を密かに横取りする。
攻撃の仕組み
この攻撃の中核は、NGINX が Web リクエストの処理方法を決定するコンフィグ・ファイルの改変にある。攻撃者は、これらのファイル内の location ブロックへ悪意のルールを注入する。
こうして侵害された Web サイトへユーザーがアクセスすると、悪意のコンフィグで用いられる proxy_pass ディレクティブにより、正規サイトから攻撃者が管理するサーバへとリクエストが転送される。
この仕組みにより、ギャンブルや詐欺ページなどの偽コンテンツが配信されるが、Web サイトの所有者は、それに気が付かない。
攻撃ツールキット:段階的プロセス
Datadog Security Labs の研究者たちは、このキャンペーンで使用されたスクリプトを分析し、5 段階のプロセスを明らかにした。
Stage 1:オーケストレータ (zx.sh):このスクリプトは、Web サイトへの侵入後の起点である。サーバへ侵入した攻撃者は zx.sh を実行する。このスクリプトは悪意の管理役として機能し、他の必要なスクリプトをダウンロードして実行する。curl などの標準ツールがブロックされている場合であっても、生のネットワーク接続を生成できる。
Stage 2:Baota パネル注入 (bt.sh):このスクリプトは、Baota 管理パネルを直接標的とする。コンフィグ・ファイルを探索し、Web サイトのドメイン名 (TLD) ベースに悪意のコードを注入する。秘匿性を重視した設計となっており、ファイルの上書きとサーバのリロードの前に、前回の感染を確認する。
Stage 3:高度な注入 (4zdh.sh):前段のスクリプトを拡張した、より複雑なバージョンである。エラーチェック機能を備え、”/etc/nginx/sites-enabled” などの標準的な Linux NGINX ディレクトリを標的とする。Web サイトを停止させて所有者に気付かれないようにするために、サービスの再起動前にコンフィグの正当性を検証する。
Stage 4:Linux 特化型注入 (zdh.sh):このスクリプトは、コンテナ化された環境や .in (インド)、.id (インドネシア) といった特定のドメインを対象とする。通常の再読み込みが失敗した場合であっても、より強制的な手法でサーバを再起動する。
Stage 5:報告 (ok.sh):最終段階として、このスクリプトは侵害したサーバをスキャンし、乗っ取ったドメインを確認する。その結果をレポートとして生成し、攻撃者の Command and Control (C2) サーバへ送信し、新たな被害者の把握を可能とする。
このキャンペーンが浮き彫りにするのは、サーバ・コンフィグ保護の重要性である。管理者が行うべきことは、NGINX の location ブロックの定期的な確認と、不審なドメインを指す proxy_pass ディレクティブの有無の検査である。
この問題の原因は、Web サーバの動作ルールを決める NGINX のコンフィグ・ファイルへの、管理パネル (Baota) を介した外部からの書き換えにあります。サーバ内に侵入した攻撃者は、正規の転送設定 (proxy_pass) を悪用して、偽のサイトへと訪問者を誘導する命令を紛れ込ませます。本文で説明されているように、5 段階に分かれた専用のスクリプトを使い分けることで、ミスコンフィグをチェックし、セキュリティソフトを回避しながら、確実にサーバを乗っ取るための状態が維持されます。これにより、サイトの所有者が気づかないうちに、訪れたユーザーが詐欺ページなどに飛ばされてしまうという被害が発生しています。ご利用のチームは、ご注意ください。よろしければ、NGINX での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.