【2025年10月09日訊】(記者紀語安綜合報導)近日,資安人員揭露一起自2025年8月開始的駭客攻擊行動,顯示與中方有關的駭客團體,將開源伺服器監控工具Nezha(哪吒)改作惡意用途,入侵並控制至少一百台分布於台灣、日本、韓國與香港的電腦伺服器。
研究人員警告,攻擊者行動迅速,部分企業從感染到偵測僅有數小時應變時間。
攻擊源自網站漏洞 駭客植入後門再部署Nezha
資安公司Huntress表示,在調查一起網站入侵事件時,他們發現了這波攻擊。駭客利用一個存在漏洞、對外公開的網站應用程式作為突破口,先取得Web Shell(網頁後門)的控制權,隨後部署Nezha遠端執行伺服器指令,維持長期控制。
Huntress的首席安全運營分析師傑‧明頓(Jai Minton)將Nezha比喻成「電視遙控器」。
他解釋:「Nezha讓你能夠遙控一台電腦,只要它連上網絡,就能在世界任何地方控制這台電腦。Nezha的控制面板就像遙控器,而安裝在電腦上的Nezha agent(代理程式)則像是那台電視。」
據《資安人》報導,攻擊起點是暴露於網際網絡且缺乏身分驗證的phpMyAdmin介面。phpMyAdmin是用於管理MySQL和MariaDB資料庫的開源圖形化工具。在Huntress分析的案例中,受害伺服器完全沒有身分驗證機制,任何人都可直接存取。
取得存取權後,攻擊者執行「日誌投毒」(Log Poisoning)攻擊。他們設定資料庫將查詢日誌儲存為可執行檔案,然後發送包含Web Shell程式碼的查詢。由於日誌檔案使用.php副檔名,攻擊者可直接透過網頁請求執行這個Web Shell。整個過程在極短時間內完成,顯示攻擊者對此技術非常熟練。
建立Web Shell後,攻擊者更換IP地址,使用AntSword網頁的Shell管理工具控制伺服器。
Nezha被武器化 線索指向中共駭客
Nezha原本是一款輕量級、開源的伺服器監控與任務管理工具,用於系統管理。然而,這起事件顯示,駭客首次將Nezha用作入侵後持續滲透與惡意軟體部署工具。
Huntress發現,攻擊者除了使用Nezha,還搭配了其它惡意工具與網頁後門管理軟體,例如Gh0st RAT(幽靈遠端存取木馬)與AntSword(蟻劍)。
研究人員推測駭客來自中國大陸。一方面因為,駭客首先在入侵後的管理介面中,將系統語言改為簡體中文;再者,Gh0st RAT與AntSword過去都曾在中共國家級駭客行動中使用。明頓表示,他們觀察到的Gh0st RAT樣本與先前針對藏人社群的中共關聯駭客組織攻擊版本相似。
Huntress分析指出,這波攻擊的主要受害區域集中在台灣、日本、韓國、香港、新加坡、馬來西亞,其中台灣受害數量最多。
報告表示,駭客入侵的速度極快,且缺乏明顯的金錢導向特徵,受害組織規模不小,包括一家國際媒體集團以及一所台灣的大學。這顯示攻擊行動可能具有政治目的,而非單純的網絡犯罪。
攻擊仍在擴散 資安專家示警
Huntress估計,目前受影響的受害機構已超過一百個,而且數量仍在上升。一些攻擊雖被迅速發現並移除Nezha agent,但駭客在短時間內的滲透效率令人憂心。
該公司警告,雖然攻擊者在行動中出現部分操作失誤,但他們能以極快速度入侵、維持長期存取權限,且利用的是一款合法但鮮少被報導的工具;不排除與具備高度能力、過去曝光度不高的中共國家級駭客組織有關。
(本文參考了「The Record」的報導)
責任編輯:林妍#
