原文在这:https://www.huntress.com/blog/nezha-china-nexus-threat-actor-tool

阅读了一下,大概的意思是:

  1. 黑客使用了一台aws hk的小鸡,扫描phpmyadmin的漏洞,使用sql注入方式获取了最高权限后安装了webshell成为肉鸡
  2. 黑客还使用了一台碳云海外站(荔枝云)的小鸡管理肉鸡的webshell,并给所有肉鸡安装了哪吒监控agent端
  3. 哪吒监控的主控端安装在一台ColoCrossing的都柏林机器上(大概率是RN),地址: http://c.mid.al ,还贴心的把哪吒语言设置成了俄语