疯狂猎人真疯狂：CrazyHunter勒索组织精准打击关键行业

趋势科技4月16日最新的研究报告揭露了新兴勒索组织CrazyHunter的动向，该组织正以“技术游击战”形式重创中国台湾地区关键行业。CrazyHunter将80%的GitHub开源工具（如ZammoCide、Prince勒索软件构建器）改造为攻击武器，结合自带漏洞驱动（BYOVD）技术，穿透医疗、教育、制造业的防护体系，加密数据并勒索赎金。其攻击链高度精密：利用合法驱动终止安全进程，通过组策略漏洞横向渗透，最终部署定制勒索软件，并预留文件服务器持续窃取敏感数据。目前至少10家台湾（TW）机构遭袭，780GB数据面临泄露风险，恐引发医疗急救中断、供应链瘫痪等连锁危机。趋势科技警告，此类“开源犯罪”模式正降低网络犯罪门槛，而攻击者对TW的精准聚焦，或隐含地缘博弈意图。防御需从动态监控驱动加载、强化开源代码审核、构建抗加密备份体系等多层入手，方能抵御这场融合技术滥用与政治算计的“数字割喉战”。

攻击活动概述

CrazyHunter以“手术刀式”的精准打击，精准锁定关键命脉，威胁TW地区社会运转将TW地区的医疗、教育、制造业列为头号目标，通过高度定制化的攻击链，试图瘫痪维系社会正常运转的核心服务。自2025年1月潜伏至今，该组织已构建起从防御穿透到数据勒索的完整犯罪生态，其泄露网站上公布的十名TW受害者，暴露出攻击者对地区经济命脉的深度渗透。

核心攻击链：

初始入侵：利用钓鱼攻击或漏洞利用获取初始访问权限。

防御规避：通过自带易受攻击驱动程序（BYOVD）技术加载合法但存在漏洞的驱动程序（如Zemana Anti-Malware的zam64.sys），终止安全软件进程（包括EDR、防病毒产品）。

横向移动与权限提升：使用改进版开源工具SharpGPOAbuse，利用组策略对象（GPO）权限漏洞，在目标网络中横向扩散并部署恶意载荷。

勒索软件部署：通过定制化Prince勒索软件变种加密文件（添加.Hunter扩展名），修改桌面壁纸，并释放勒索信（解密说明.txt），要求支付赎金。

数据泄露威胁：使用基于Go语言的工具file.exe监控文件变化，并通过内置文件服务器模式（默认端口9999）泄露敏感数据。

主要特点

开源武器库与驱动级攻击的致命组合。当GitHub的开源项目沦为黑客的军火库，当合法驱动程序变成突破防线的特洛伊木马，CrazyHunter用一场“技术魔术”展示了现代勒索攻击的颠覆性进化。该组织将80%的开源工具进行“犯罪化改装”，配合BYOVD技术实现内核级杀伤，形成一套成本低廉却破坏力惊人的攻击体系——这不仅是技术的滥用，更是对全球开源社区安全机制的挑衅。

高度依赖开源工具。约80%的工具来自GitHub开源项目，包括：

ZammoCide：终止EDR/AV进程，利用BYOVD技术绕过防护。

Prince Ransomware Builder：生成定制勒索软件，支持ChaCha20和ECIES加密算法。

SharpGPOAbuse：利用GPO权限漏洞实现横向移动。

攻击者修改开源代码以增强功能（如适配特定目标、优化攻击流程）。

BYOVD技术的精准利用：通过加载合法但存在漏洞的驱动程序（如zam64.sys），以内核级权限终止安全进程，规避传统端点防护。

多阶段冗余攻击设计：使用批处理脚本（.bat）分阶段执行攻击组件（如go.exe、av-1m.exe），确保即使部分环节失败，勒索软件仍可部署。

白名单机制避免加密关键系统文件（如.exe、System32目录），维持系统部分功能以延长攻击隐蔽性。

针对性地理聚焦：攻击目标全部位于TW，勒索信联系邮箱（[email protected]）含“TW”标识，表明明确的地缘政治意图。

受害者集中于医疗、教育、制造业，这些领域数据价值高且服务中断影响深远。

影响与危害

当医院急救系统因加密停摆，当大学科研数据被批量泄露，CrazyHunter的攻击已超越虚拟空间，化作插向现实社会的匕首。其针对TW关键行业的连续打击，不仅造成数千万美元级经济损失，更可能触发医疗危机、教育中断、供应链断裂等多米诺骨牌效应，而780GB敏感数据的潜在流向，则为地缘政治博弈埋下新的导火索。

关键基础设施风险：医疗、教育机构的数据加密可能导致急救服务中断、患者信息泄露、教学系统瘫痪，直接威胁公共安全。

经济与供应链冲击：制造业受害企业的生产数据、设计图纸被加密，可能破坏TW地区供应链稳定性，影响出口业务（尤其恒昌机械等出口占比高的企业）。

数据泄露与合规风险：攻击者窃取780GB敏感数据（如电力系统运营信息、国际贸易记录），可能被用于勒索或地缘政治博弈。

技术模仿效应：开源工具的滥用降低了网络犯罪门槛，可能引发其他组织效仿，加剧勒索软件生态的扩散。

安全防护建议

面对将开源技术转化为攻击利刃的CrazyHunter，传统安全防线如同纸盾。企业需要构建“监测-响应-溯源”的动态防御链：从驱动程序加载的微观监控，到网络流量行为的宏观分析；从开源代码仓库的异常扫描，到备份系统的抗加密改造——每层防护都需成为攻击者必须连续破解的“动态密码”。

强化端点防护：部署具备BYOVD防御能力的EDR解决方案，监控并阻止未经授权的驱动程序加载。定期更新操作系统、应用程序及驱动程序，修复已知漏洞（如Zemana Anti-Malware漏洞）。

权限与访问控制：遵循最小权限原则，限制用户对GPO、关键目录的修改权限。强制实施多因素认证（MFA），尤其是管理员账户。

数据备份与恢复：每日备份核心数据至隔离环境，确保备份不可被勒索软件加密。

威胁监测与响应：监控GitHub等平台的开源工具异常使用（如ZammoCide、SharpGPOAbuse的定制版本）。建立异常进程终止、端口监听（如9999端口）的实时告警机制。

员工培训与演练：提升员工对钓鱼攻击、可疑链接的识别能力。定期开展勒索软件应急演练，优化事件响应流程。

【闲话简评】

CrazyHunter的威胁本质，是网络犯罪工业化与开源技术平民化碰撞产生的“完美风暴”。它既暴露了开源社区安全审核的脆弱性，也揭示了BYOVD防御的技术盲区，更警示着地缘网络战的平民化趋势。这场攻防博弈的胜负，或将取决于我们能否在“开放共享”与“安全可控”之间找到新的平衡点——这不仅关乎TW企业的存亡，更是全球数字化进程的集体考验。

参考资源

1、https://www.trendmicro.com/en_us/research/25/d/crazyhunter-campaign.html

2、https://www.darkreading.com/threat-intelligence/ransomware-gang-crazyhunter-critical-taiwanese-orgs

原文始发于微信公众号（网空闲话plus）：“疯狂猎人”真疯狂：CrazyHunter勒索组织精准打击关键行业