大紀元

疑似中共黑客攻击台日韩等逾百台服务器

疑似中共黑客攻击台日韩等逾百台服务器
近日,资安人员揭露一起自2025年8月开始的骇客攻击行动,显示与中方有关的骇客团体,将开源服务器监控工具Nezha(哪吒)改作恶意用途,入侵并控制至少一百台分布于台湾、日本、韩国与香港的电脑服务器。示意图。(Philippe Huguen/AFP)
2025-10-10 07:28 中港台时间|10-10 07:43 更新
人气 1440

【大纪元2025年10月09日讯】(大纪元记者纪语安综合报导)近日,资安人员揭露一起自2025年8月开始的骇客攻击行动,显示与中方有关的骇客团体,将开源服务器监控工具Nezha(哪吒)改作恶意用途,入侵并控制至少一百台分布于台湾、日本、韩国与香港的电脑服务器。

研究人员警告,攻击者行动迅速,部分企业从感染到侦测仅有数小时应变时间。

攻击源自网站漏洞 骇客植入后门再部署Nezha

资安公司Huntress表示,在调查一起网站入侵事件时,他们发现了这波攻击。骇客利用一个存在漏洞、对外公开的网站应用程式作为突破口,先取得Web Shell(网页后门)的控制权,随后部署Nezha远端执行服务器指令,维持长期控制。

Huntress的首席安全运营分析师杰‧明顿(Jai Minton)将Nezha比喻成“电视遥控器”。

他解释:“Nezha让你能够遥控一台电脑,只要它连上网络,就能在世界任何地方控制这台电脑。Nezha的控制面板就像遥控器,而安装在电脑上的Nezha agent(代理程式)则像是那台电视。”

据《资安人》报导,攻击起点是暴露于网际网络且缺乏身份验证的phpMyAdmin介面。phpMyAdmin是用于管理MySQL和MariaDB资料库的开源图形化工具。在Huntress分析的案例中,受害服务器完全没有身份验证机制,任何人都可直接存取。

取得存取权后,攻击者执行“日志投毒”(Log Poisoning)攻击。他们设定资料库将查询日志储存为可执行档案,然后发送包含Web Shell程式码的查询。由于日志档案使用.php副档名,攻击者可直接透过网页请求执行这个Web Shell。整个过程在极短时间内完成,显示攻击者对此技术非常熟练。

建立Web Shell后,攻击者更换IP地址,使用AntSword网页的Shell管理工具控制服务器。

Nezha被武器化 线索指向中共骇客

Nezha原本是一款轻量级、开源的服务器监控与任务管理工具,用于系统管理。然而,这起事件显示,骇客首次将Nezha用作入侵后持续渗透与恶意软体部署工具。

Huntress发现,攻击者除了使用Nezha,还搭配了其它恶意工具与网页后门管理软体,例如Gh0st RAT(幽灵远端存取木马)与AntSword(蚁剑)。

研究人员推测骇客来自中国大陆。一方面因为,骇客首先在入侵后的管理介面中,将系统语言改为简体中文;再者,Gh0st RAT与AntSword过去都曾在中共国家级骇客行动中使用。明顿表示,他们观察到的Gh0st RAT样本与先前针对藏人社群的中共关联骇客组织攻击版本相似。

Huntress分析指出,这波攻击的主要受害区域集中在台湾、日本、韩国、香港、新加坡、马来西亚,其中台湾受害数量最多。

报告表示,骇客入侵的速度极快,且缺乏明显的金钱导向特征,受害组织规模不小,包括一家国际媒体集团以及一所台湾的大学。这显示攻击行动可能具有政治目的,而非单纯的网络犯罪。

攻击仍在扩散 资安专家示警

Huntress估计,目前受影响的受害机构已超过一百个,而且数量仍在上升。一些攻击虽被迅速发现并移除Nezha agent,但骇客在短时间内的渗透效率令人忧心。

该公司警告,虽然攻击者在行动中出现部分操作失误,但他们能以极快速度入侵、维持长期存取权限,且利用的是一款合法但鲜少被报导的工具;不排除与具备高度能力、过去曝光度不高的中共国家级骇客组织有关。

(本文参考了“The Record”的报导)

责任编辑:林妍#

如果您有新闻线索或资料给我们
请进入安全爆料平台
守护善良正义,值得奋战到底
大纪元电子报
一旦重大新闻发生,我们会立即发送到您的电子邮箱
Email Icon
如果您有新闻线索或资料给大纪元,请进入安全投稿爆料平台

留言

  • 大纪元保留删除恶意留言的权利,包括低俗、误导或攻击信仰等内容
本网站图文內容归大纪元所有, 任何单位及个人未经许可,不得擅自转载使用。
Copyright© 2000 - 2026 The Epoch TimesAssociation Inc.All Rights Reserved.