中國駭客利用監控工具Nezha攻擊網頁伺服器，臺灣受害最嚴重

中國駭客發動網路攻擊的活動頻頻傳出，但上週末資安業者Huntress揭露濫用開源監控工具「哪吒（Nezha）」攻擊網頁伺服器的活動，引起臺灣資安圈不少關注，原因是受害主機大部分都集中在亞太地區，而且，臺灣災情最為嚴重，有22臺系統被入侵。

另一方面，先前多起重大資安事故也出現後續進展，其中又以Oracle E-Business Suite（EBS）零時差漏洞攻擊CVE-2025-61882事故最受到矚目，最早向新聞媒體透露的Google終於公布調查結果，透露整起攻擊行動至少從7月開始，但隔了一個月才開始利用近日公布的零時差漏洞。

【攻擊與威脅】

開源工具Nezha遭中國駭客濫用，臺灣有22臺系統受害，攻擊者可藉此在網站植入後門Ghost RAT

為了迴避資安系統的偵測，駭客利用公開、合法的工具從事攻擊，幾乎可說是常態，而且駭客還會尋找鮮少被濫用的工具來犯案，以防相關手法被識別出來。

資安業者Huntress揭露中國駭客鎖定網頁伺服器的攻擊行動，他們利用事件記錄中毒（Log Poisoning，也稱做Log Injection）的攻擊手法，意圖部署名為中國菜刀（China Chopper）的Web Shell，進而透過網頁應用程式滲透測試工具AntSword控制網頁伺服器，然後他們再濫用另一款開源監控工具「哪吒（Nezha）」，從而在受害主機執行命令。根據調查結果，超過100臺網頁伺服器可能受害，而且臺灣受害主機數量最多，有22臺，日本、韓國、香港也出現災情。Huntress指出，這是首度看到有人濫用Nezha從事網路攻擊的情況。

這起事故最早可追溯至今年8月，針對攻擊行動發生的過程，Huntress指出駭客鎖定存在弱點且能透過網際網路存取的網頁應用程式而來，其中一起是針對資料庫管理介面phpMyAdmin而來，該網頁伺服器採用了預設的phpMyAdmin組態，無須通過身分驗證就能存取。一旦駭客存取了管理介面，他們就會將語言設置為簡體中文，隨後存取伺服器的SQL查詢介面，並下達SQL命令，利用事件記錄中毒手法，藉由phpMyAdmin與MariaDB部署與執行Web Shell。

Google公布企業Oracle EBS系統遭駭調查報告，濫用的漏洞可能不只CVE-2025-61882

這個月初，Google向多個新聞媒體揭露多家企業可能面臨一波勒索軟體攻擊的事故。有個附屬於勒索軟體組織Clop的團體寄敲詐信給多家企業主管，聲稱他們竊取這些公司放在ERP軟體Oracle E-Business Suite（EBS）的敏感資料，Google威脅情報團隊（GTIG）與資安應變顧問單位Mandiant已介入調查。幾天後，Oracle發布部落格文章，起先表示得知有用戶收到敲詐信，初步調查認為攻擊者可能利用今年7月揭露與修補的一批漏洞，之後又改口說是新揭露的漏洞CVE-2025-61882可能遭濫用，並為其發布資安公告，令外界搞不清楚狀況。

最先揭發此事的Google威脅情報小組（GTIG）與事故應變部門Mandiant，10月11日終於發布正式調查報告！他們的分析指出，Clop（Cl0p）的敲詐其實是幾個月鎖定EBS用戶環境入侵的後續，而且，早在8月9日，攻擊者就可能濫用零時差漏洞對付EBS用戶，而且還有其他可疑的活動，最早可追溯至7月10日。這兩個資安單位警告，在部分案例當中，攻擊者成功從受害組織竊取了大量資料。