從今年2月開始攻擊馬偕、彰基,以及臺灣多家上市櫃公司而引起全臺灣高度關注勒索軟體駭客組織CrazyHunter,4月初刑事警察局公布駭客身分,並表示地檢署已發布通緝,但對於駭客的攻擊手法,近期終於有資安業者公布相關細節。
趨勢科技本週透過部落格文章揭露這一系列鎖定臺灣的攻擊調查結果,他們從1月初開始追蹤、調查CrazyHunter,並確認該組織約有8成的作案工具透過GitHub平臺取得,且藉由自帶驅動程式(BYOVD)手法迴避偵測。而根據駭客架設的資料外洩網站,他們專門針對臺灣的企業組織而來,尤其針對醫療保健及教育機構,但也有製造業及工業領域受害的情形。
針對駭客使用的工具,最引起研究人員注意的是勒索軟體建置工具Prince,原因是此工具可直接從GitHub取得,且能讓攻擊者輕易產生變種勒索軟體來降低攻擊門檻。此勒索軟體以Go語言打造而成,駭客採用ChaCha20與ECIES演算法加密受害電腦,並置換副檔名為.Hunter。在檔案加密完成後,CrazyHunter會留下勒索訊息Decryption Instructions.txt,並更換桌布向受害者施壓,要求他們支付贖金。
研究人員特別提及駭客廣泛從GitHub取得開源工具並加以修改、運用的現象,也突顯想要自行組建惡意攻擊工具的門檻越來越低。其中,駭客從來發動BYOVD攻擊的工具稱為ZammoCide,他們搭配Zemana Anti-Malware含有弱點的驅動程式zam64.sys,藉此終止與EDR有關的處理程序。
而對於權限提升及橫向移動,CrazyHunter則是運用名為SharpGPOAbuse的工具,竄改群組原則物件(GPO),而能於受害組織的網路環境部署惡意酬載,並試圖提升權限及橫向移動。
熱門新聞
2025-05-22
2025-05-19
2025-05-19
2025-05-19
2025-05-20
2025-05-20
2025-05-20