CrazyHunter Campaign Targets Taiwanese Critical Sectors
Key takeaways
- CrazyHunter已成为针对台湾组织的重大勒索软件威胁,主要攻击医疗、教育和工业领域,可能破坏关键服务交付。
- 该组织采用复杂技术,特别是自带易受攻击驱动程序(BYOVD)方法,有效绕过安全措施。
- 通过整合GitHub开源工具(如Prince Ransomware Builder和ZammoCide)扩展工具集。
- 约80%的工具集由开源工具组成,需监控和保护这些资源防止恶意利用。
- Trend Vision One™可检测并阻止CrazyHunter活动中的恶意组件,客户可获取狩猎查询、威胁洞察和情报报告。
详细分析
CrazyHunter迅速成为严重勒索软件威胁。该组织在过去一个月通过数据泄露网站公布十名受害者(均位于台湾)首次亮相。自1月初以来,我们通过内部监控跟踪其操作,发现明确针对台湾组织的模式。受害者主要是医院、医疗中心、教育机构、大学、制造公司和工业组织,反映其针对具有宝贵数据和敏感操作的组织。
本报告介绍CrazyHunter使用的战术、技术和程序(TTPs),重点包括BYOVD和GitHub开源工具(如Prince勒索软件构建器)。最新发现表明其工具集扩展、工具修改和能力提升。
在内部遥测狩猎中,我们发现包含以下有趣项目的恶意工件:利用组策略对象(GPO)策略的黑客工具、进程终止形式的易受攻击驱动程序漏洞利用,以及一些用Go编程语言编译的可执行文件。
CrazyHunter活动的关键发现
在其工具集中添加Prince勒索软件构建器尤其令人担忧。该工具可从GitHub轻松获取,通过用户友好方式创建勒索软件变种,进一步降低网络犯罪门槛。其BYOVD技术规避安全显示其高级方法。对SharpGPOAbuse共享工具的改进、更好的AV/EDR能力以及Go编译可执行文件使CrazyHunter操作日益普遍。
CrazyHunter的出现对台湾关键行业构成重大威胁,尤其是医疗和教育领域。这些地区的中断可能影响基本服务交付。
调查中,我们识别三个主要关注点:
- 使用GitHub上找到的开源软件。
- 增强的工具集和实施工具。
- 主要针对台湾的攻击。
研究发现攻击者战略性地故意针对台湾,表明针对该地区的特定活动。他们使用GitHub开源工具并扩展工具和方法范围以增加操作复杂性。
GitHub开源工具的使用
约80%的CrazyHunter工具集由GitHub开源工具组成。观察表明他们修改这些免费源代码以满足特定需求并显著增强能力。
我们识别了三个来自GitHub的开源工具,各具不同目的:
防御规避
该组织使用定制版开源进程终止工具ZammoCide,将其适配为AV/EDR终止器,通过BYOVD方法利用易受攻击驱动程序zam64.sys终止EDR产品进程。
基于内部遥测,我们观察到该组织尝试在攻击中使用修改版工具。我们已根据其改进和修改对版本编号。完整详情可在此查看。
执行时,它在默认路径文件夹中查找易受攻击的Zemana反恶意软件驱动程序(zam64.sys)以利用其终止高权限进程能力。然后创建并启动名为“ZammOcide”的服务,加载驱动程序并在\\.\ZemanaAntiMalware暴露设备对象。用户模式进程通过IOCTL代码与驱动程序通信,触发内核模式操作强制终止进程。
该程序目标终止特定硬编码进程名称,主要与AV和EDR产品相关,同时针对Microsoft Defender和Avira进程。终止器运行时持续终止这些进程,即使它们以不同ID重生。
权限提升/横向移动
团队使用SharpGPOAbuse利用组策略对象(GPO)。利用用户对GPO的编辑权限,他们能够危害通过GPO控制的对象,从而部署有效负载并在受害者网络中实现权限提升和横向移动。
影响(勒索软件)
攻击由Prince勒索软件变种主导,这是一种基于Go的定制勒索软件。该勒索软件使用ChaCha20和ECIES加密安全加密文件,攻击者通过添加“.Hunter”扩展名定制加密文件。勒索软件丢弃名为“Decryption Instructions.txt”的勒索笔记,修改受害者桌面壁纸,并要求支付赎金。
以下列表详细说明勒索软件白名单扩展和目录。这些白名单项目被排除在加密之外,允许关键系统功能和特定应用程序继续运行。此策略有助于规避检测并促进勒索软件目标。
白名单扩展列表:
.bat, .com, .dll, .exe, .inf, .ini, .lnk, .msi, .ps1, .reg, .scr, .sys, .vbs
白名单目录列表:
.dotnet, .gradle, .nuget, .vscode, \system volume information, appdata, boot, efi, intel, microsoft, msys64, perflogs, program files, program files (x86), programdata, public, system volume information, system32, windows
扩展工具集和执行方法
攻击者不仅依赖开源工具,还扩展了工具集和执行方法。这表明战略努力增强操作复杂性和有效性,确保攻击成功。
执行
该组织利用批处理脚本执行多个二进制文件,最终部署勒索软件有效负载。
脚本启动序列部署勒索软件同时避免检测:
- 初始执行:运行
go2.exe和go.exe利用zam64.sys禁用进程。启动go3.exe部署勒索软件。 - 确保反AV措施:如果
go.exe未运行,执行av-1m.exe(类似go2.exe和go.exe功能,但用C++编译)。 - 最终勒索软件部署:为规避检测,使用
bb.exe加载并执行crazyhunter.sys部署勒索软件。如果crazyhunter.sys执行失败,启动编译的EXE版本勒索软件进行最终部署。
这些冗余措施确保即使主要方法失败,勒索软件部署仍然有效。图7说明勒索软件部署流程。
持久性/渗出
另一个基于Go的程序“file.exe”也被使用。它用作监控Web相关文件更改的工具和潜在渗出的文件服务器。其主要功能提供两种主要操作模式:
- 监控模式:定期扫描特定扩展文件。
- 文件服务器模式:在可配置端口上运行Web服务器。
该文件接受多个命令行标志:
| 标志 | 类型 | 默认值 | 描述 |
|---|---|---|---|
| -white | bool | FALSE | 切换白名单(true)和黑名单(false)模式 |
| -e | string | “.asp” | 监控文件扩展(.asp, .php, .jsp) |
| -d | string | 当前路径 | 监控或服务目录路径 |
| -func | string | "" | 功能模式:“monitor"或"fileserver” |
| -port | int | 9999 | 文件服务器模式端口号 |
| -f | string | “1.asp” | 排除监控的文件 |
| -t | int | 1000 | 时间间隔(秒,1000=1秒) |
主要针对台湾的攻击
这些攻击的地理焦点主要集中在中国台湾地区,表明针对该特定地区的定向活动。根据其泄露网站,识别的十名受害者来自台湾。内部数据还显示该组织专门针对台湾中小型企业。
我们还观察到定制组联系邮箱payment[.]attack-tw1337@proton[.]me显眼显示在勒索笔记上,包含“tw”指定。这表明勒索软件组专门针对台湾实体。
GitHub开源工具的战略使用显著增强该组织的防御规避、横向移动和影响操作能力。通过扩展工具集和执行方法,攻击者展示其策略的演变及持久性。他们故意和聚焦的活动强调其构成日益增长的威胁。这突出迫切需要强大网络安全措施对抗勒索软件组使用的高级技术。
安全建议
勒索软件是增长威胁,企业必须采取主动方法保护其操作。以下是一般最佳实践,包括针对利用BYOVD技术和GitHub等平台开源工具威胁的具体指南:
- 确保用户仅访问其角色必需的数据和系统。
- 要求所有用户账户(特别是管理访问)多因素认证(MFA)。
- 确保所有操作系统、应用程序和驱动程序定期更新和修补以消除已知漏洞。
- 每日备份关键数据和系统到勒索软件无法访问的隔离环境。
- 定期审核用户权限并撤销不再需要的权限。
- 使用端点保护软件,通过监控和阻止未经授权的驱动程序安装特定防护BYOVD技术。
- 定期进行培训课程帮助员工识别网络钓鱼尝试、可疑链接和其他常见攻击向量。
- 维护所有使用中设备驱动程序清单并定期审查任何未经授权的安装或修改。
- 定期审查已安装驱动程序列表并禁用任何未使用的驱动程序以最小化潜在攻击。
- 确保仅允许批准的驱动程序版本并保持最新。
使用Trend Vision One™主动安全
Trend Vision One™是唯一AI驱动企业网络安全平台,集中网络风险暴露管理、安全操作和强大分层保护。这种全面方法帮助预测和预防威胁,加速数字资产的主动安全结果。凭借数十年网络安全领导和行业首个主动网络安全AI Trend Cybertron支持,它提供已验证结果:92%勒索软件风险减少和99%检测时间减少。安全领导者可以基准化其态势并向利益相关者展示持续改进。通过Trend Vision One,您可以消除安全盲点,关注最重要事项,并将安全提升为创新战略伙伴。
Trend Vision One威胁情报
为保持领先 evolving 威胁,Trend Vision One客户可以访问一系列情报报告和威胁洞察。威胁洞察帮助客户在网络安全威胁发生前保持领先,并通过提供关于威胁参与者、其恶意活动及其技术的全面信息准备新兴威胁。通过利用此情报,客户可以采取主动步骤保护其环境、减轻风险并有效响应威胁。
狩猎查询
Trend Vision One客户可以使用搜索应用匹配或狩猎本博客文章中提到的恶意指标与其环境中的数据。
使用Zemana反恶意软件(ZAM64)的BYOVD攻击 – 检测到注册表修改
eventSubId: 402 AND objectRegistryKeyHandle: ZammOcide AND objectRegistryData: zam64.sys
更多狩猎查询可用于启用威胁洞察授权的Trend Vision One客户。
危害指标(IoC)
本条目危害指标可在此处找到。