CrazyHunter黑客组织利用GitHub开源工具攻击多国机构

一个名为 CrazyHunter 的复杂勒索软件组织已成为对组织的重大威胁，尤其是台湾关键基础设施领域的组织。

自 2025 年初以来，这个新发现的威胁行为者一直在对医疗机构、教育机构和工业组织进行有针对性的攻击，显示出令人担忧的作复杂性水平。

该活动利用 GitHub 中现成的开源工具，显著降低了执行复杂勒索软件作的准入门槛。

CrazyHunter 的攻击方法揭示了一种破坏受害者网络的战略方法。该组织采用自带易受攻击的驱动程序 （BYOVD） 技术，该技术允许他们通过利用系统中已经存在的合法但易受攻击的驱动程序来绕过安全措施。

这使他们能够终止安全进程并以最少的检测来部署其勒索软件有效载荷。

最令人担忧的是他们专注于台湾的基本服务，这可能会扰乱医疗保健和教育部门的关键运营。

Trend Micro 研究人员发现，CrazyHunter 工具包中大约 80% 由公开可用的 GitHub 资源组成，这些资源已经过修改以增强其功能。

分析师发现，这些工具被用于一个精心策划的攻击链中，专门针对台湾组织，受害者数据和在其联系电子邮件地址中包含“tw”就证明了这一点（payment[.]attacktw1337@proton[.]我）。

该组织的基础设施揭示了一种有条不紊的网络攻击方法。获得初始访问权限后，他们部署了多种工具来禁用安全机制、建立持久性并通过网络横向移动。

一旦他们获得了足够的控制权，他们就会部署勒索软件，并使用“.Hunter“扩展名并留下名为”Decryption Instructions.txt“的赎金票据，同时还更改了受害者的桌面壁纸以显示赎金要求。

CrazyHunter 运营最值得注意的方面之一是他们的执行方法，该方法采用冗余措施来确保勒索软件部署，即使主要方法失败。这表明在较新的勒索软件组织中很少见的不断发展的复杂性。

执行机制分析

CrazyHunter 攻击的核心在于他们的执行脚本，这是一个按顺序编排多个组件部署的批处理文件。

勒索软件部署过程的流程

该脚本首先启动利用易受攻击的 Zemana Anti-Malware 驱动程序 （zam64.sys） 来禁用安全产品的进程：-

@echo offstart C:UsersPublicgo2.exetimeout /t 10 /nobreak > nulstart C:UsersPublicgo.exetimeout /t 10 /nobreak > nulstart C:UsersPublicgo3.exe

批处理脚本的内容

该脚本包括错误处理机制，用于检查每个组件是否成功执行，并在需要时启动备用有效负载。

例如，如果 go.exe 无法执行，则脚本会启动 av-1m.exe 以执行类似的功能。这可确保即使某些组件被阻止，攻击也会通过替代路径继续进行。

禁用安全措施后，该脚本继续使用 bb.exe 加载勒索软件驱动程序，然后启动加密过程。

勒索软件本身基于开源的 Prince 勒索软件构建器，经过修改后添加了“.Hunter“扩展名添加到加密文件中。

原文来自: cybersecuritynews.com