歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
中芯數據揭CrazyHunter關鍵戰術
2025 / 04 / 17
編輯部
中芯數據資安研究團隊發布最新報告,揭露近期猖獗的中國駭客團體CrazyHunter如何在短短兩個月內成功攻擊多家台灣企業及組織,並針對其繞過EDR防護的技術提出專業分析。
據中芯數據安全研究總監表示,CrazyHunter平均每一至兩週就在其官網更新受害名單,該組織更直接宣稱可100%繞過多家國際知名大廠EDR的偵測與保護,使台灣企業IT人員面臨前所未有的壓力。
中芯數據的研究團隊透過分析近期成功阻擋的攻擊案例,確認了CrazyHunter的幾項關鍵作業手法。首先,
該組織會對常見的網路滲透工具如impacket進行客製化修改,針對Windows大小寫特性進行混淆並修改特徵碼,有效規避多數資安產品的偵測機制。
另一項CrazyHunter的標準作業手法是使用Bring Your Own Vulnerable Driver (BYOVD)攻擊,透過載入有弱點的驅動程式來嘗試停止端點上的資安設備。研究人員進一步分析發現,這些惡意程式主要使用Golang語言開發,並專門設計用來停止各種資安軟體。
「除了將趨勢、微軟的防毒產品程序列入停止清單,其他諸如Avira小紅傘等防毒軟體也被納入目標,」報告中指出,「更令人擔憂的是,攻擊者會將在攻擊目標中發現的特定資安軟體額外加入清單後,重新編譯客製化的惡意程式。」
中芯數據團隊在實際案例中發現,攻擊者不僅使用了
zam64.sys
這個因馬偕醫院事件而被多數資安廠商列入黑名單的驅動程式,還使用了多個其他嘗試停止資安軟體的驅動程式。這些驅動程式在VirusTotal上大多被超過半數防毒軟體識別為惡意程式。特別值得注意的是,
viragt64.sys
(SHA1: 05c0c49e8bcf11b883d41441ce87a2ee7a3aba1d) 在VirusTotal上的檢測率相對較低,若未及時阻擋,企業資安軟體極可能被成功停止。
「CrazyHunter大量使用寄生手法,將中繼站連線隱藏於合法網域內,有效繞過資安設備的檢查,」報告中進一步指出。
針對市場上普遍質疑EDR已不再有效的聲音,中芯數據明確表示,EDR「看似」無效的主要原因在於攻擊者運用大量最新紅隊研究和免殺技術,使其在被發現時已接近造成實際損害的階段,極大程度壓縮了資安人員的反應和處理時間。
中芯數據建議企業應採取三方面防護措施:強化偵測能力、確保EDR穩固性,以及完善資安管理。特別是在資安管理方面,企業應定期進行安全性更新、建立良好的安全系統發展生命週期,並嚴格執行資安規範與高權限帳號管理。
報告最後指出,傳統的縱深防禦架構已無法完美抵禦今日的攻擊者,資安人員需從單純購買設備轉向深入研究攻擊階段,掌握最新技術與手法。「與攻擊者的軍備競賽已然開打,唯有與時俱進,方能有效阻擋CrazyHunter等勒索團體的威脅,」報告總結道。
中芯數據表示將持續監控CrazyHunter的活動,並提供最新的防護建議給台灣企業與組織。
CrazyHunter
EDR
BYOVD
寄生攻擊
最新活動
2025.05.23
2025 雲端資安趨勢論壇
2025.05.09
商丞科技『Superna Cyberstorage 資訊安全儲存設備軟體』 與 『Silverfort 身分安全平台』網路研討會
2025.05.14
OpenText+精誠資訊【AI x DevOps打造高效敏捷團隊,提升軟體交付速度!|成功企業案例分享】
2025.05.14
資訊作業系統委外與AI安全性資安管理課程
2025.05.16
資安媒合交流系列活動
看更多活動
大家都在看
SAP NetWeaver關鍵漏洞遭駭客利用植入惡意網頁命令執行介面
中國駭客組織利用 IPv6 SLAAC 執行中間人攻擊
SSL.com 驗證漏洞:攻擊者可輕易取得重要網域憑證
SonicWall SMA 裝置遭攻擊,多個資安漏洞被利用
報告:台灣居25年第一季亞太地區網攻次數之首
資安人科技網
文章推薦
RolandSkimmer透過瀏覽器惡意擴充功能 竊取信用卡號
德知士資訊推出旗艦資安解決方案「零知量鎖」
思科推出AI 供應鏈風險管理安全控管機制