台日韓逾百台伺服器遭駭客「搖控」

資安人員近日揭露一起自8月開始的駭客攻擊，與中方有關的駭客團體將開源伺服器監控工具Nezha（哪吒）改作惡意用途，入侵並控制至少一百台分布於台灣、日本、韓國與香港的電腦伺服器。

資安公司Huntress表示，駭客利用對外公開的網站應用程式作為突破口，先取得Web Shell（網頁後門）的控制權，隨後部署Nezha遠端執行伺服器指令，維持長期控制；攻擊者行動迅速，部分企業從感染到偵測僅有數小時應變時間。

Huntress的首席安全運營分析師明頓（Jai Minton）將Nezha比喻成「電視遙控器」。

他解釋：「Nezha讓你能夠遙控一台電腦，只要它連上網路，就能在世界任何地方控制這台電腦。Nezha的控制面板就像遙控器，而安裝在電腦上的Nezha代理程式則像是那台電視。」

Nezha原本是一款輕量級、開源的伺服器監控與任務管理工具，用於系統管理。然而，這起事件顯示，駭客首次將Nezha作為入侵後持續滲透與部署惡意軟體的工具。

Huntress發現，攻擊者除了使用Nezha，還搭配了其他惡意工具與網頁後門管理軟體，例如Gh0st RAT（幽靈遠端存取木馬）與AntSword（蟻劍）。

擬似中共駭客所為

研究人員推測駭客來自中國大陸，原因是駭客在入侵後的管理介面中，先將系統語言改為簡體中文；再者，Gh0st RAT與AntSword都曾被中共國家級駭客使用。明頓表示，他們觀察到的Gh0st RAT樣本與先前針對藏人社群的中共關聯駭客組織，有相似的攻擊版本。

Huntress分析，攻擊主要受害區域集中在台灣、日本、韓國、香港、新加坡、馬來西亞，其中台灣受害數量最多。

報告表示，駭客入侵的速度極快，且缺乏明顯的金錢導向特徵，受害組織規模不小，包括一家國際媒體集團及一所台灣的大學。這顯示攻擊行動可能具有政治目的，而非單純的網路犯罪。◇