【大纪元2025年10月09日讯】(大纪元记者纪语安综合报导)近日,资安人员揭露一起自2025年8月开始的骇客攻击行动,显示与中方有关的骇客团体,将开源服务器监控工具Nezha(哪吒)改作恶意用途,入侵并控制至少一百台分布于台湾、日本、韩国与香港的电脑服务器。
研究人员警告,攻击者行动迅速,部分企业从感染到侦测仅有数小时应变时间。
攻击源自网站漏洞 骇客植入后门再部署Nezha
资安公司Huntress表示,在调查一起网站入侵事件时,他们发现了这波攻击。骇客利用一个存在漏洞、对外公开的网站应用程式作为突破口,先取得Web Shell(网页后门)的控制权,随后部署Nezha远端执行服务器指令,维持长期控制。
Huntress的首席安全运营分析师杰‧明顿(Jai Minton)将Nezha比喻成“电视遥控器”。
他解释:“Nezha让你能够遥控一台电脑,只要它连上网络,就能在世界任何地方控制这台电脑。Nezha的控制面板就像遥控器,而安装在电脑上的Nezha agent(代理程式)则像是那台电视。”
据《资安人》报导,攻击起点是暴露于网际网络且缺乏身份验证的phpMyAdmin介面。phpMyAdmin是用于管理MySQL和MariaDB资料库的开源图形化工具。在Huntress分析的案例中,受害服务器完全没有身份验证机制,任何人都可直接存取。
取得存取权后,攻击者执行“日志投毒”(Log Poisoning)攻击。他们设定资料库将查询日志储存为可执行档案,然后发送包含Web Shell程式码的查询。由于日志档案使用.php副档名,攻击者可直接透过网页请求执行这个Web Shell。整个过程在极短时间内完成,显示攻击者对此技术非常熟练。
建立Web Shell后,攻击者更换IP地址,使用AntSword网页的Shell管理工具控制服务器。
Nezha被武器化 线索指向中共骇客
Nezha原本是一款轻量级、开源的服务器监控与任务管理工具,用于系统管理。然而,这起事件显示,骇客首次将Nezha用作入侵后持续渗透与恶意软体部署工具。
Huntress发现,攻击者除了使用Nezha,还搭配了其它恶意工具与网页后门管理软体,例如Gh0st RAT(幽灵远端存取木马)与AntSword(蚁剑)。
研究人员推测骇客来自中国大陆。一方面因为,骇客首先在入侵后的管理介面中,将系统语言改为简体中文;再者,Gh0st RAT与AntSword过去都曾在中共国家级骇客行动中使用。明顿表示,他们观察到的Gh0st RAT样本与先前针对藏人社群的中共关联骇客组织攻击版本相似。
Huntress分析指出,这波攻击的主要受害区域集中在台湾、日本、韩国、香港、新加坡、马来西亚,其中台湾受害数量最多。
报告表示,骇客入侵的速度极快,且缺乏明显的金钱导向特征,受害组织规模不小,包括一家国际媒体集团以及一所台湾的大学。这显示攻击行动可能具有政治目的,而非单纯的网络犯罪。
攻击仍在扩散 资安专家示警
Huntress估计,目前受影响的受害机构已超过一百个,而且数量仍在上升。一些攻击虽被迅速发现并移除Nezha agent,但骇客在短时间内的渗透效率令人忧心。
该公司警告,虽然攻击者在行动中出现部分操作失误,但他们能以极快速度入侵、维持长期存取权限,且利用的是一款合法但鲜少被报导的工具;不排除与具备高度能力、过去曝光度不高的中共国家级骇客组织有关。
(本文参考了“The Record”的报导)
责任编辑:林妍#
