「CrazyHunter」近期鎖定台灣關鍵基礎設施部門,包括醫療、教育等領域進行攻擊,引起國際資安社群及媒體高度關注。
根據外媒報導,CrazyHunter勒索軟體組織在過去一個月間迅速崛起,
所有攻擊目標均位於台灣,且主要針對醫療中心、教育機構、製造業和工業組織等敏感領域。
趨勢科技資深威脅研究員 Stephen Hilt 表示:「這些部門的運作中斷可能會影響基本關鍵服務的提供。」顯示攻擊者明確瞄準擁有重要數據和敏感操作的組織。
外媒報導特別指出,CrazyHunter組織的一個顯著特點是大量使用GitHub上的開源技術,其中約80%的工具組來自開源軟體,包括Prince Ransomware Builder和進程終止工具ZammoCide。同一周發布的Sysdig研究報告也指出,
開源工具為威脅行為者提供多項優勢,不僅比商業工具更具成本效益,還能讓攻擊者混入眾多使用相同工具的低階威脅組織中,增加溯源難度。
CrazyHunter的技術熟練程度尤其令人擔憂,該組織使用「自帶易受攻擊驅動程式」(BYOVD)攻擊手法。在這類攻擊中,威脅行動者將有漏洞的已簽署驅動程式載入目標的操作系統核心,以繞過威脅檢測技術。
相關文章:中芯數據揭CrazyHunter關鍵戰術
根據趨勢科技的調查,CrazyHunter上個月首次出現,在其洩漏網站上公布了10個據稱位於台灣的受害者。該組織使用的工具包括:
- ZammoCide:一種利用易受攻擊的Zemana反惡意軟體驅動程式(zam64.sys)終止高權限進程的工具,可有效關閉端點偵測及回應(EDR)和防毒軟體產品。
- Prince Ransomware Builder:允許威脅行動者不需具備高超技術即可建立勒索軟體變種的工具。該勒索軟體會加密檔案,為非白名單檔案添加「.Hunter」副檔名,並更改受害者的桌面背景。
- SharpGPOAbuse:用於利用群組策略物件(Group Policy Object , GPO) 工具,可部署惡意載荷並實現權限提升和橫向移動。
當被問及是否可以將CrazyHunter歸因於特定地區或國家時,趨勢科技的Stephen Hilt 表示目前沒有足夠資訊做出明確判斷。「雖然其目標選擇和技術可能類似於其他活動中看到的策略,包括那些與中國行動者相關的策略,但現有證據不允許我們對歸因做出明確判斷,」他說,「我們將繼續監控這些活動,並在了解更多訊息時分享進一步的更新。」
趨勢科技建議組織採取多項防護措施,包括確保用戶僅能訪問其角色必要的數據和系統、為所有用戶帳戶要求多因素認證(MFA)、及時修補系統漏洞、每日備份關鍵數據、定期審計用戶權限,以及「使用專門防護BYOVD技術的端點保護軟體,監控並阻止未授權的驅動程式安裝」。
隨著CrazyHunter組織的活動持續擴大,台灣的關鍵基礎設施部門面臨嚴峻挑戰。國際資安專家呼籲台灣組織加強防禦措施,特別關注開源工具的濫用以及針對端點安全解決方案的繞過技術。
本文轉載自darkreading。