資安公司 Huntress 於 10 月 8 日發布威脅報告,揭露一起針對東南亞地區的大規模網路攻擊活動仍在持續進行。疑似中國駭客組織將開源伺服器監控工具 Nezha (哪吒,暫譯)武器化,已入侵全球超過 100 個組織,台灣為最主要受害地區。研究人員警告,攻擊者行動迅速,部分企業從感染到偵測僅有數小時應變窗口。
攻擊規模:台灣為重災區
自 8 月開始追蹤的這起攻擊活動,受害組織遍布六大洲超過 100 台機器。受害者主要集中在東南亞國家,包括台灣、日本、南韓、香港、新加坡、馬來西亞,其中台灣受害數量最多。其他受害地區零星分布於瓜地馬拉、斯洛伐克、坦尚尼亞等地。
受害組織規模不小,包括一家國際媒體集團以及一所台灣大學。Huntress 首席資安營運分析師 Jai Minton 表示,這顯示攻擊者並非針對特定產業。
攻擊手法:從 Web 漏洞到後門部署
攻擊起點是暴露於網際網路且缺乏身份驗證的 phpMyAdmin 介面。phpMyAdmin 是用於管理 MySQL 和 MariaDB 資料庫的開源圖形化工具。在 Huntress 分析的案例中,受害伺服器完全沒有身份驗證機制,任何人都可直接存取。
Minton 解釋:「通常 phpMyAdmin 需要底層資料庫的帳號密碼才能存取,但某些快速部署的測試環境產品允許輕鬆啟動服務。在這個案例中,他們安裝後顯然未加上必要的身份驗證。」
取得存取權後,攻擊者執行「日誌投毒」(Log Poisoning) 攻擊。他們設定資料庫將查詢日誌儲存為可執行檔案,然後發送包含 Web Shell 程式碼的查詢。由於日誌檔案使用 .php 副檔名,攻擊者可直接透過網頁請求執行這個 Web Shell。整個過程在極短時間內完成,顯示攻擊者對此技術非常熟練。
建立 Web Shell 後,攻擊者更換 IP 位址,使用 AntSword 網頁 Shell 管理工具控制伺服器。AntSword 是中國駭客組織常用工具。
Nezha:合法工具變身攻擊武器
攻擊者透過 AntSword 執行指令確認權限後,下載並部署 Nezha 代理程式。Nezha 是輕量級開源伺服器監控工具,在 GitHub 上擁有近 10,000 顆星,主要由中國用戶使用。這是 Nezha 首次被發現用於惡意目的。
Minton 解釋:「Nezha 提供執行指令、部署程式的功能,可遠端管理系統。對攻擊者而言,這意味著他們可以控制安裝了 Nezha 的系統。」
攻擊者將 Nezha 連線至命令與控制伺服器 ,透過它執行互動式 PowerShell 工作階段,並建立 Windows Defender 排除規則,指示防毒軟體停止掃描 C: 磁碟機。最終,攻擊者投放 Gh0st RAT 遠端存取木馬程式,這是中國駭客組織普遍使用的惡意軟體。
歸因線索:指向中國 APT 組織
雖然 Huntress 未正式歸因特定組織,但多項線索指向中國駭客。攻擊者將系統語言設定為簡體中文,使用的 Gh0st RAT 和 AntSword 都是中國 APT)組織過去使用過的工具。
Huntress 強調,
攻擊活動仍在持續,受害組織數量隨時間增加。然而,資料顯示部分組織因快速應變而成功阻止進一步破壞。某些系統上 Nezha 代理程式的首次與最後發現時間僅相隔數小時,顯示這些組織快速偵測並採取行動。
研究人員在報告中指出:「雖然攻擊者在作業安全上犯了錯誤,但他們快速入侵系統並使用未被充分報導的工具長期維持存取的能力不應被低估。工具、惡意軟體、IP 位址、網域以及受害者特徵,都指向一個能力強大但報導不足的中國關聯威脅行為者。」
企業應立即採取的防護措施
Huntress 研究人員建議企業立即採取以下行動:
- 盤點並保護 Web 應用程式:檢視所有暴露於網際網路的 Web 應用程式與管理介面,特別是 phpMyAdmin 等資料庫管理工具。確保所有介面都實施身份驗證,並限制存取來源 IP 位址。
- 審查日誌檔案設定:檢查資料庫與 Web 伺服器的日誌設定,確保日誌檔案不會儲存在網頁可存取的目錄,且不使用可執行的副檔名如 .php。
- 監控異常外連行為:監控網路流量中是否有與 Nezha 相關的異常外連通訊,封鎖已知惡意網域。
- 檢查防毒排除規則:審查所有 Windows 系統的 Windows Defender 排除規則,刪除任何可疑或過於寬鬆的排除設定,特別是針對整個磁碟機的排除規則。
- 部署入侵偵測機制:使用端點偵測與回應 (Endpoint Detection and Response, EDR) 工具,監控 AntSword、Gh0st RAT 等已知工具的特徵。
研究人員總結:「這起攻擊突顯出攻擊者越來越常濫用新興公開工具。由於研究成本低、相較於客製化惡意軟體更具合理推諉性,且較不容易被資安產品偵測,即使設計用於合法目的的公開工具,也常被威脅行為者濫用。」
對台灣企業而言,面對持續且快速演進的威脅,數小時的應變窗口將決定能否在攻擊造成重大損害前成功阻止威脅。