【資安日報】4月1日，CrazyHunter勒索攻擊規模擴大，同時對同集團旗下3家公司出手

勒索軟體駭客CrazyHunter肆虐，接連對臺灣大型企業組織而來的情況，已發生多起，如今攻勢並未緩和，甚至發生一口氣攻擊多家公司的現象。自2月開始這些駭客攻擊國內兩家大型醫院引起外界關注，從3月下旬開始，他們先後針對環保裝潢加工板材業者科定、喬山健康科技下手，如今再傳新的資安事故。

值得留意的是，這次駭客一起對振曜集團3家公司出手，甚至竄改網頁嘲笑國內資安業者TeamT5防護不力。對此杜浦數位安全（TeamT5）澄清此事，表示這些公司並非他們的客戶，也沒有部署相關防護工具。

【攻擊與威脅】

CrazyHunter勒索攻擊規模擴大，振曜、沛亨、東荃同時遭攻擊，駭客一次攻擊鎖定同集團的3家公司

專門鎖定臺灣的CrazyHunter再度犯案，受關注的是，這次攻擊鎖定臺灣企業集團而來，包括振曜、沛亨半導體與其子公司東荃科技，該集團有3家公司成為受害者。振曜集團在3月31日上午向我們證實，他們的確遭遇該勒索軟體攻擊。

這兩個月來，CrazyHunter的攻擊事件頻繁登上新聞版面，受害對象涵蓋國內醫院與上市公司。我們持續追蹤該組織的動向，發現X社群平臺上再次出現爬取暗網資訊的警示貼文，指稱沛亨半導體（Analog Integrations）與東荃科技（Zunidata Systems）被CrazyHunter列為受害者。

一次有兩家公司受害，情況頗不尋常，經過進一步追查，我們發現振曜科技（Netronix）也遭受攻擊，而這三家公司皆隸屬振曜集團，這可能意味駭客膽子越來越大，或是同一集團的多家子公司可能有共通資安弱點。

振曜科技網站首頁遭置換，駭客恐嚇已竊取3家公司資料

3月31日再度傳出CrazyHunter鎖定臺灣企業犯案，我們在上午發現CrazyHunter勒索攻擊規模擴大，振曜集團有3家公司同時遭攻擊，而且駭客攻擊後依然十分囂張，我們早上10時檢視這些公司的網站時，發現沛亨半導體、東荃科技的網頁無法連上，而振曜科技的網站首頁遭惡意置換。

根據駭客竄改振曜網站首頁的內容顯示，攻擊者同時向振曜科技（Netronix）、沛亨半導體（Analog Integrations）、東荃科技（Zunidata Systems）這三家公司恐嚇，聲稱加密了受害者所有的系統，並覆寫與刪除了NAS、VMware、Veeam的備份，以及竊取800 GB的資料，涵蓋檔案伺服器、CRM、BPM、EIP、ERP的資料，並要脅受害者與他們聯繫，否則將在24小時後（4月1日晚上8時）外洩首批資料。

另一引發關注的是，CrazyHunter還在上述勒索訊息中，特別嘲諷了臺灣資安業者TeamT5，聲稱這次攻擊成功入侵其客戶，且資安產品都沒有發出警示。對此狀況，我們進一步向杜浦數位安全（TeamT5）瞭解狀況，該公司駁斥了這項說法，並表示是無端遭拖下水。TeamT5在31日中午12點發布澄清聲明，指出近期CrazyHunter宣稱已入侵臺灣企業，經他們查證，均非TeamT5的客戶，也未部署ThreatSonar Anti-Ransomware端點防護產品。

甲骨文外洩病患醫療資訊，處理方式惹議

根據資安新聞網站Bleeping Computer報導，甲骨文旗下健康部門（Oracle Health）疑似今年2月系統被駭，導致美國當地多家醫院的病人資訊外洩，已有數家醫院遭到勒索，而且甲骨文從通知到應對客戶的態度讓客戶頗感不滿。

多家醫院接獲甲骨文電子郵件告知，其Cerner雲端電子病歷系統遭駭，且可能有病患資料外流。2月20日甲骨文發現，電子病歷系統Cerner其中1臺未移轉到Oracle Cloud雲端平臺的舊伺服器遭未經授權存取，攻擊者將資料複製到一臺遠端伺服器上。甲骨文分析後研判，攻擊者是在今年1月22日之後利用一名外流的客戶憑證成功存取甲骨文伺服器。外洩資料可能包含儲存在Cerner電子病歷系統中的病患資訊。

雖然甲骨文語帶模糊，但多名消息人士向媒體證實，的確有病患資訊遭竊。此外，多家醫院遭到名為Andrew的人士勒索數百萬美元的加密貨幣，否則將把病患資訊公布在網路上。然而甲骨文的許多做法引起客戶不滿，其中一項最可議的是，該公司表明願意支付信用監控服務及寄送通知信的費用，卻不願為受影響的醫院通知病人。

駭客在網上公開三星德國分公司27萬筆客服資料

本週名為GHNA的人士在駭客論壇聲稱，他手上握有三星德國分公司客服工單系統的資料，並供人下載，並稱這批資料包含敏感個人資料如全名、住家地址、電子郵件信箱。

資安業者Hudson Rock分析指出，這批資料是駭客取得的合法用戶憑證資料，存取三星使用的德國業者Spectos GmbH的客服系統所得。2021年Spectos公司一名員工用以監控和管理三星客服工單系統服務品質的登入憑證，遭Raccoon Infostealer竊資軟體暗中竊走外流，最後流入GHNA手上。研究人員表示，Hudson Rock幾年前就曾經發現被竊的三星憑證並警示，不過三星並未及時行動。

精誠收到駭客勒索信，著手釐清受影響範圍

3月31日資服業者精誠資訊發布資安重大訊息，表明他們收到匿名勒索信，並向法務部調查局報案，啟動資安應變機制，清查受到影響的系統。雖然尚在清查，但該公司初步評估這起事故對營運無重大影響。由於近期駭客組織CrazyHunter宣稱攻擊振曜集團旗下3家公司，這起事故很難不讓外界懷疑也與此組駭客有關。

針對這起事故，我們也向精誠進一步確認，該公司表示他們收到從電子郵件傳入的勒索信，並發現有惡意程式入侵的情況，初步排除是遭遇勒索軟體攻擊。

其他攻擊與威脅

◆社群網站X驚傳28億用戶資料外洩

◆駭客聲稱入侵資安業者Check Point，兜售存取管道

◆俄羅斯駭客Gamaredon以軍事行動為誘餌，對烏克蘭散布Remcos RAT

◆中國駭客利用網釣工具包Lucid，發送iMessage、RCS訊息對近170個企業組織下手

其他漏洞與修補

◆微軟揭露開機程式GRUB2、U-Boot、Barebox高風險資安漏洞

近期資安日報

【3月31日】安卓惡意軟體PJobRAT鎖定臺灣使用者而來

【3月28日】NPM惡意套件攻擊出現難以清除的新手法

【3月27日】資安業者揭露能對GitHub Copilot用戶發動的AI供應鏈攻擊手法