RALord 勒索集團曝光:新興 RaaS 威脅解析,台灣知名連鎖餐廳驚現受害名單!

前言

最近,竣盟科技發現了一個新的最新的數據洩露網站(Data Leak Site, DLS)「RALord」,這是 2025 年 3 月內發現的 14 個新 DLS 之一。該勒索軟體即服務(Ransomware-as-a-Service, RaaS)團隊展現出高度組織化的運營模式,提供聯盟計畫、數據贖金機制及暗網廣告等多種服務。據了解,該團隊至少活躍於一個網路犯罪論壇,主要負責人使用者名為「ForLord」。

截至 2025 年 3 月底,尚無證據顯示 RALord 與其他已知威脅行為者有直接關聯。然而,該團隊聲稱其勒索軟體並非全新產品,而是建立在過往 RaaS 經驗的基礎上,因此不排除其與名稱相近的「RAWorld」(亦稱「RAGroup」)有潛在聯繫。目前,RAWorld 的 DLS 已失效,且自 2024 年 12 月後未再公佈新受害者。此外,RALord 也可能僅是借用 RAWorld 的名稱,以利用其既有聲譽來建立可信度。

值得注意的是,RALord 的已知受害者清單中,首度出現來自台灣的企業,該企業為知名連鎖餐飲品牌,成為台灣首例公開曝光的受害者。這表明 RALord 正積極拓展其攻擊範圍,並將亞洲市場納入目標。

關鍵要點

  • RALord DLS 於 2025 年 3 月下旬首次出現,首名受害者(工程與工業服務公司)於 3 月 22 日被列出。截至 3 月 28 日,該網站已公開三名受害者。
  • 該團隊運營 RaaS 計畫,聯盟成員可獲取 85% 的勒索贖金分成,而 RALord 則抽取 15%。
  • RALord 提供多種服務,包括 數據販售、Tor 網站廣告、一次性加密工具銷售(無需訂閱 RaaS 計畫)。
  • RALord DLS 上的所有受害者均未曾出現在其他已知勒索軟體組織的洩露名單中。
  • RALord 可能與 RAWorld 或其他已建立的勒索軟體團隊有關聯,但目前無確鑿證據證明。

背景分析

勒索軟體團隊通常利用 DLS 來增加對受害者的壓力,典型模式包含:

  1. 初步威脅:在 DLS 上公開受害者名稱,聲稱已成功入侵。
  2. 證據展示:若受害者未支付贖金,攻擊者可能上傳內部檔案結構截圖、個資樣本或其他敏感文件,以證明持有機密數據。
  3. 倒數計時:設置期限,威脅若受害者不付款,將公開或出售全部數據。

RALord DLS 詳細分析

RALord DLS 於 2025 年 3 月下旬上線,支援俄文與英文,網站包含多個核心區塊:

  • 主頁:列出受害者清單。
  • 受害者專頁:顯示企業名稱、業務類別、被盜數據類型,部分受害者頁面還附有數據樣本。
  • 倒數計時器:顯示資料公開或出售的時間點。
  • 聯絡方式:提供 Tox 和 Session ID 以利匿名聯繫。
  • RaaS 服務:詳細介紹聯盟計畫、數據仲介與廣告機制。
  • 支付指南:支援 BTC、XMR、LTC 等加密貨幣交易,甚至接受部分銀行轉帳,並提供仲介機制(Escrow)降低交易風險。

RaaS 計畫與加密服務

RALord 聲稱其開發的勒索軟體具備「反偵測」能力,攻擊者可單次支付 €200 獲取使用權,若成功勒索贖金,RALord 會抽取 10% 分成。此外,將受害者資訊發佈至 RALord DLS 需額外支付 €20。

該團隊亦提供 RaaS 計畫,利潤分成為 85:15,聯盟成員負責滲透,而 RALord 則負責執行加密攻擊。與 Anubis(80:20)或 RansomHub(90:10)相比,RALord 提供較高的分成比例,吸引更多聯盟成員參與。

此外,RALord 積極尋求 初始存取經紀人(IABs 合作,降低技術門檻並提高攻擊效率。

受害者分析

截至 2025 年 3 月底,RALord 已公開以下受害者:

  • 法國:École Centrale de Nantes(工程學校)
  • 阿根廷:Tomio Ingeniería S.A.(工程與工業服務公司)
  • 巴西:IHARA(農業化學產品製造商)
  • 台灣:台式知名連鎖餐飲品牌(首例台灣受害者)

受害者主要分布於南美洲、歐洲與亞洲,顯示 RALord 正在快速拓展其攻擊目標。

額外情報

消息來源顯示,法國資源中心 Sémaphore Mulhouse Sud Alsace 可能亦為受害者,但尚未出現在 RALord DLS,推測該機構仍在與攻擊者談判。

威脅評估

截至 2025 年 3 月底,RALord 已曝光多名受害者,但尚無受害者公開證實攻擊事件。然而,其提供的數據樣本與詳盡資訊,使攻擊活動的真實性較高。

該組織可能與 RAWorld 或其他勒索軟體團隊存在關聯,但目前無明確證據證實。考量其在短短 7 天內曝光 3 名受害者的節奏,RALord 似乎仍在積極運作,未來可能持續擴展影響範圍。

資安專家建議

  1. 企業應加強勒索軟體防禦機制,包括端點防護、定期備份及網路安全監控。
  2. 提高勒索軟體意識培訓,強化內部員工對網路釣魚與社交工程攻擊的認識。
  3. 持續監測暗網活動,掌握新興 RaaS 威脅,以便提前部署防禦策略。

RALord 的出現,進一步印證了勒索軟體威脅的持續進化,且其攻擊範圍已擴展至亞洲市場。企業與機構應密切關注,並採取主動防禦措施,以降低潛在風險。

RAlord的部分入侵指標(Indicator of compromise IOCs):
be15f62d14d1cbe2aecce8396f4c6289

NightSpire 勒索軟體團夥現身 ,成為網路犯罪新威脅,台灣企業亦遭攻擊!

概述

NightSpire 是一個以財務利益為動機的網路威脅組織,針對多個產業的企業進行攻擊。該組織最初專注於竊取敏感數據並進行勒索或轉售,然而近期的活動顯示,他們已轉向雙重勒索模式,結合數據竊取與勒索軟體加密來最大化對受害者的壓力。這種轉變顯示出該組織的適應能力與不斷成熟的運營策略。

商業模式演變

NightSpire 最近的攻擊顯示,其策略已從純粹的數據勒索轉變為結合勒索軟體加密的混合模式。目前尚不清楚該組織是以封閉模式運營,還是採取勒索軟體即服務(RaaS)的模式,允許成員加盟攻擊並共享利潤。

根據暗網活動的證據,NightSpire 可能正試圖擴展規模。2025 年 3 月 14 日,一名代號為「xdragon128」的威脅行為者在 BreachForum 上發佈招聘訊息,尋找談判專家,並提供 20% 的利潤分成。這可能表明該組織正在強化其勒索談判策略。然而,目前尚無證據顯示 NightSpire 正在尋找新的加盟者來執行攻擊,如典型的 RaaS 模式那樣。

該組織運營著一個暗網洩露網站,於 2025 年 3 月 12 首次被發現。他們利用該網站公開受害者資訊,並威脅完全洩露數據,以強迫受害者支付贖金。

目標選擇(受害者分析)

自 2025 年 3 月以來,NightSpire 已聲稱對至少 11 家企業發動攻擊。其中,36% 的攻擊針對製造業。然而,其攻擊模式顯示,目標選擇具有一定的隨機性,並非專注於特定產業。

值得關注的是,受害企業中有 73% 為中小型企業(SME),即員工人數少於 1,000 人。這可能與中小企業普遍較為薄弱的網路安全防禦有關,使其成為較易受攻擊的目標。此外,根據暗網洩露的數據,已有兩家台灣企業遭受 NightSpire 攻擊並被列入其名單。

攻擊戰術、技術與程序(TTPs

初始入侵

NightSpire 主要利用外部邊界設備的漏洞進行攻擊,例如 防火牆虛擬私人網路(VPN。該組織曾利用 CVE-2024-55591,這是一個 FortiOS 的零日漏洞,允許未授權攻擊者獲取 Fortigate 防火牆設備的超級管理員權限,無需提供合法憑據。攻擊者利用此漏洞後,可以更改設備配置,建立持久訪問,並進一步橫向移動至受害者內部網路。

數據竊取

NightSpire 在攻擊中使用合法的檔案傳輸工具,例如 WinSCPMEGACmd,以進行數據外傳。這些工具可幫助攻擊者隱藏惡意活動,讓數據流量看起來與正常業務操作無異,從而規避檢測。

規避防禦

該組織運用 外部工具「本地二進位執行技術(LOLBins)」,即利用受害者系統內原生工具進行惡意操作。例如:

  • 網路掃描器 用於偵察內部環境。
  • 內建 FTP 客戶端 用於數據外傳。
  • PowerShell 腳本 執行攻擊指令,避免觸發傳統安全防禦機制。

勒索策略與贖金要求

NightSpire 採取高度侵略性的勒索策略,包括:

  • 勒索網站施壓:迅速將受害者資訊公佈在其暗網洩露網站上。
  • 極短的付款期限:受害者收到勒索信後,可能僅有 兩天 內付款。
  • 針對性騷擾:該組織曾直接向受害企業員工發送勒索郵件,施加額外壓力。
  • 公開羞辱不付款者:其網站上的 We Say 版塊列出了未支付贖金的受害者,並發布受害企業名稱、數據洩露公告,甚至提供免費下載連結。

然而,NightSpire 在數據洩露策略上的不一致性,表明該組織缺乏標準化的運營模式,仍處於發展階段。

網路安全專家觀點與應對策略

1. 應對不可預測的攻擊者

NightSpire 的行為模式符合典型的新興勒索軟體組織——策略多變、運營不成熟、攻擊方式不可預測。與高度專業化的勒索組織相比,他們可能不按照傳統模式行動,使事件應對變得更加複雜。因此,資安團隊需要保持靈活性,結合傳統勒索談判策略與應對不規則行為的方案。

2. 強化威脅情報應用

威脅情報(Threat Intelligence, TI)在以下方面發揮關鍵作用:

  • 識別攻擊指標(IOCs,提前發現潛在攻擊。
  • 分析攻擊者策略,提高檢測與防禦能力。
  • 加速事件應對,有效縮短調查與復原時間。

企業應將情報驅動的 IOCs 整合至 安全資訊與事件管理(SIEM端點偵測與回應(EDR 工具中,以主動攔截與抑制 威脅。

3. 從歷史案例汲取經驗

雖然 NightSpire 尚處於成長階段,但過去勒索軟體攻擊經驗可提供寶貴的應對指導:

  • 定期備份:維護 離線與不可變更備份,確保數據可恢復。
  • 漏洞管理:CVE-2024-55591 的被利用再次證明即時漏洞修補的重要性
  • 強化端點防護:採用 行為式偵測技術,防範 LOLBins 技巧與橫向移動攻擊。

結論

NightSpire 是一個快速演變的勒索軟體威脅,其技術能力與勒索策略日趨成熟。企業應採取 多層次防禦策略,包括 持續監控、完善事件應對計劃、威脅情報導向的防禦措施,以有效降低攻擊風險並提升整體資安韌性。

NightSpire 勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

35cefe4bc4a98ad73dda4444c700aac9
f749efde8f9de6a643a57a5b605bd4e7

CrazyHunter再掀攻擊風暴:台灣上市健身器材大廠遭駭,3TB數據恐外洩 勒索高達 250 萬美元

近期,駭客組織 CrazyHunter 再次對台灣企業發動勒索軟體攻擊,受害者為知名上市健身器材製造商。駭客聲稱已成功加密該企業 10 台網域控制站(Domain Controller)及內部系統,並進一步刪除 NAS、VMware、Veeam 等備份數據。此外,攻擊者還竊取了 3TB 機密數據,包括檔案伺服器資料、CRM、BPM、SAP 系統資訊,以及高達 30 萬份的製造設計圖(sidprt、sidasm、dwg)與客戶資料,並威脅若未支付贖金,將公開這些敏感資訊。

這次攻擊事件再次凸顯台灣企業在面對勒索軟體威脅時的脆弱性,尤其是駭客不僅加密關鍵系統,還刪除備份,使企業難以透過傳統復原機制快速恢復業務。為應對此類攻擊,資安專家建議企業應導入欺敵誘捕技術(Deception Technology,以主動方式攔截駭客行為,降低攻擊風險。


駭客攻擊手法解析:CrazyHunter 如何滲透企業網路?

勒索軟體攻擊通常分為四個主要階段,而 CrazyHunter 以其高效且隱匿的技術,使攻擊更具威脅性。


1. 滲透(Initial Access)

攻擊者透過以下方式獲取初始存取權限:

  • 釣魚攻擊(Phishing):發送帶有惡意附件的電子郵件,或建立偽造登入頁面誘騙受害者輸入憑證,藉此竊取帳號密碼。
  • 漏洞利用(Exploiting Vulnerabilities):針對 VPN、RDP、伺服器未修補的漏洞 發動攻擊,直接入侵企業網路。
  • 合法驅動程式濫用(Bring Your Own Vulnerable Driver, BYOVD):攜帶合法但存在漏洞的驅動程式(如 Zemana AntiMalware 的 zam64.sys),繞過端點防護機制(EDR),取得系統控制權限。

2. 橫向移動與權限提升(Lateral Movement & Privilege Escalation)

獲取初始存取權限後,攻擊者利用 橫向移動(Lateral Movement) 進一步控制企業網路:

  • 帳號與憑證竊取:使用 Mimikatz 竊取高權限帳戶(如 Domain Admin),取得企業內部更深層的存取權限。
  • 濫用 AD GPO(Group Policy Objects):利用 SharpGPOAbuse 操控 Active Directory(AD) 群組原則,快速散佈惡意軟體至企業內部所有受控設備。

3. 加密與資料竊取(Encryption & Data Exfiltration)

攻擊者在成功滲透企業內部網路後,展開雙重勒索策略:

  • 數據外傳:使用 FTP、Tor、MEGA 等管道將機密數據外傳,作為額外施壓手段。
  • 勒索軟體加密:攻擊者在所有內部系統執行加密,並刪除 快照與備份,確保受害企業無法自行恢復資料。
  • 數據毀滅:部分情境下,攻擊者還會利用 多重覆寫技術 來徹底銷毀數據,進一步迫使受害企業支付贖金。

4. 勒索與威脅(Extortion)

當攻擊完成後,駭客向企業發出贖金要求:

  • 雙重勒索:若受害者拒絕支付贖金,攻擊者將公開或出售機密數據,施加更大壓力。
  • 公開威脅:攻擊者可能在暗網或社群媒體上公開企業受害證據,損害品牌聲譽,進一步施壓支付贖金。

CrazyHunter 的攻擊特點

  • 高隱匿性攻擊技術:結合 零日漏洞(Zero-day)、已知漏洞(N-day)及無檔案攻擊(Fileless Attack),繞過傳統防禦機制。
  • 快速散佈與自動化攻擊:利用 AD GPO 進行大規模自動化感染,迅速掌控企業內部網路。
  • 極端破壞手法:除了加密數據,還可能執行 多重覆寫,徹底破壞數據,提升勒索談判籌碼。

如何利用欺敵誘捕技術提升資安防禦?

欺敵誘捕技術的核心概念在於部署假目標,引誘駭客進入虛擬陷阱,從而即時監測並攔截惡意行為。

1. 佈署欺敵資產(Deceptive Assets),誘導駭客暴露行為

企業可在內部網路設置高互動誘捕資源,如:

  • 誘捕帳戶(Deceptive Credentials:於 Active Directory 建立假帳號及密碼,讓駭客誤以為已獲得高權限。
  • 假目標伺服器(Decoy Servers:部署虛假的 ERP、CRM、伺服器,誘使駭客攻擊並即時監測行為模式。
  • 誘捕備份系統(Decoy Backup Repositories:模擬備份環境,當駭客嘗試刪除時,觸發警報並記錄行為軌跡。

2. 透過行為分析(Behavior Analytics)提升威脅偵測能力

欺敵誘捕技術可與威脅偵測系統(Threat Detection)整合,當駭客試圖存取誘捕資源時,企業可即時:

  • 發出警報(Real-Time Alerting,快速應對潛在攻擊。
  • 分析駭客手法(Threat Intelligence,調整防禦策略。
  • 收集 TTPs(Tactics, Techniques, Procedures,優化資安防禦措施。

3. 配合威脅獵捕(Threat Hunting),主動攔截攻擊

透過欺敵誘捕技術結合威脅獵捕(Threat Hunting,企業能夠主動搜尋網路內部異常行為,確保攻擊在初期即被發現並阻斷。


結論:以主動防禦策略對抗勒索軟體攻擊

健身器材大廠遭 CrazyHunter 駭客攻擊的事件,再次證明企業若僅依賴傳統資安防禦(如防火牆、端點防護)已無法有效抵禦現代勒索攻擊。為降低風險,企業應導入欺敵誘捕技術、行為分析與威脅獵捕機制,建立主動式資安防禦體系。

在未來的資安戰場上,企業不應再只是被動應對攻擊,而是應轉變思維,透過誘捕技術讓駭客成為獵物,確保自身資安防禦能力不斷提升,以有效降低勒索軟體攻擊的影響。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

駭客利用嚴重 PHP 漏洞散布 Quasar RAT 與 XMRig 挖礦程式

PHP 漏洞成為駭客攻擊入口

資安專家警告,攻擊者正在利用 PHP 的嚴重安全漏洞(CVE-2024-4577,植入加密貨幣挖礦程式遠端存取木馬(RAT),如 Quasar RAT,大幅提升受害系統的風險。

此漏洞影響 Windows 系統CGI 模式 下運行的 PHP,屬於**參數注入(Argument Injection)**漏洞,允許遠端攻擊者執行任意代碼,從而完全掌控受害系統。

根據 Bitdefender觀察,自 2023 年底 起,針對 CVE-2024-4577 的攻擊活動急劇上升,且攻擊熱點集中在:
📍 台灣(54.65%
📍 香港(27.06%
📍 巴西(16.39%
📍 日本(1.57%
📍 印度(0.33%


Photo Credit: Bitdefender

駭客攻擊行為分析

🔹 初步偵查與系統探測
15% 的攻擊嘗試為基本漏洞檢測,透過執行 whoami 或 echo <test_string> 等命令,確認系統是否可被攻擊。

🔹 進階系統情報收集
另一 15% 的攻擊活動涉及系統偵查(Reconnaissance,包括列舉系統進程、網路探索、用戶與網域資訊收集、系統元數據分析等,以進一步評估攻擊目標。

🔹 XMRig 挖礦程式佔比高達 5%
5% 的攻擊最終導致 XMRig 加密貨幣挖礦程式 部署,這類惡意軟體可持續占用受害系統的運算資源,導致性能下降甚至系統不穩定。

🔹 Nicehash 挖礦程式偽裝逃避偵測
部分攻擊行動則涉及 Nicehash 挖礦軟體,這是一個允許用戶出售運算資源換取加密貨幣的平台。攻擊者利用此工具,將挖礦進程偽裝為 javawindows.exe 等看似正常的應用程式,以規避資安防禦機制。


Quasar RAT 與惡意 Windows Installer 攻擊模式

除了挖礦程式外,駭客亦透過 PHP 漏洞 部署 Quasar RAT,這是一款 開源遠端存取木馬(RAT,可用於遠端控制受害設備、竊取數據,甚至安裝額外的惡意軟體

🔹 利用 cmd.exe 遠端執行惡意 MSI 安裝檔
部分攻擊還涉及執行 遠端伺服器托管的惡意 Windows Installer(MSI)檔案,透過 cmd.exe 下載並安裝惡意軟體,增加惡意軟體持久性。

🔹 駭客間的資源競爭——阻斷其他攻擊團體的存取
值得注意的是,Bitdefender 還發現某些攻擊行動修改了受害系統的防火牆規則,以封鎖已知惡意 IP,這可能顯示不同的加密貨幣挖礦攻擊集團正相互競爭,試圖獨占受害系統資源,防止其他駭客重新入侵。這種競爭行為與過去的 加密劫持(Cryptojacking 攻擊模式一致,駭客通常會在部署自己的惡意挖礦程式前,先終止系統內運行的競爭對手進程。


資安專家建議:如何防範 PHP 漏洞攻擊?

✅ 立即更新 PHP 至最新版本
攻擊主要針對 Windows 環境下的 CGI 模式,企業與用戶應立即升級 PHP,以防止漏洞被利用。

✅ 限制高風險工具(LOTL)權限
攻擊者廣泛利用 LOTL(Living Off The Land)工具,如 PowerShell、cmd.exe、WMI 等,來繞過傳統安全防護。企業應限制非必要用戶(如一般員工)執行這些工具,僅允許管理員權限使用。

✅ 部署 EDR/XDR 監測異常行為
透過 端點偵測與回應(EDR)或擴展式偵測與回應(XDR,監控異常的網路行為,如異常 CPU 佔用、可疑 PowerShell 指令執行、存取惡意 IP 地址等,能有效攔截攻擊。

✅ 加強防火牆與網路安全設定

  • 限制 PHP CGI 模式 的存取權限
  • 部署 Web 應用程式防火牆(WAF 以防止 Web Exploit 攻擊
  • 啟用 端口白名單機制,避免 PHP 服務被未經授權的來源存取

✅ 定期進行資安風險評估
企業應定期掃描系統漏洞,評估 PHP 服務配置,避免因弱勢設定(如未啟用身份驗證、允許遠端執行命令)而增加被攻擊的風險。


結論:PHP 漏洞攻擊仍在擴大,企業應立即強化防禦

近期攻擊案例顯示,駭客正廣泛利用 CVE-2024-4577 部署惡意軟體,如 XMRig 挖礦程式與 Quasar RAT,甚至透過修改防火牆規則來阻斷競爭對手。

這類攻擊不僅影響 伺服器效能與可用性,更可能導致 遠端存取木馬入侵,進一步竊取企業機密數據

為確保安全,企業與用戶應 立即更新 PHP、限制高風險工具存取、部署 EDR 監控異常行為,並強化網路安全防護措施,以避免成為駭客的下個目標。

新興駭客組織 Mora_001 鎖定 Fortinet 用戶 採用 LockBit 攻擊戰術

近期,資安專家發現一個名為 Mora_001 的新興駭客組織正在利用 Fortinet 產品中的漏洞進行攻擊,並與惡名昭彰的 LockBit 勒索軟體組織有關聯。

安全研究人員指出,Mora_001 正在利用影響 Fortinet FortiGate 防火牆設備的兩個漏洞——CVE-2024-55591CVE-2025-24472。美國 網路安全與基礎設施安全局(CISA 在 1 月份發出緊急指令,要求所有聯邦民用機構必須在一週內修補 CVE-2024-55591,這是該機構歷來最短的修補期限之一。隨後,Fortinet 確認這些漏洞已遭到攻擊者利用,並在公告中加入了 CVE-2025-24472

根據 Forescout Research 發佈的報告,從 1 月底到 3 月期間,研究人員發現多起入侵事件與這些漏洞有關,最終導致了一種新型勒索軟體的部署,該軟體被命名為 SuperBlack

Photo Credit: Forescout

Forescout 的分析顯示,Mora_001 的攻擊手法與 LockBit 類似,他們利用了 LockBit 3.0(LockBit Black 的洩漏建構器,但刪除了 LockBit 品牌標誌,並開發了自訂數據外洩工具。這表明該組織可能是 LockBit 的前附屬成員,正在調整其策略,或仍與 LockBit 生態系統保持間接聯繫。

資安專家 Stefan HostetlerArctic Wolf 資深威脅情報研究員)確認,這些 Fortinet 漏洞的攻擊行動早在 1 月底就已經開始,並於 2 月 2 日觀察到具體的攻擊活動。雖然 Fortinet 已釋出修補程式,但攻擊者仍然針對未能及時更新或強化防火牆配置的組織發動攻擊。

Arctic Wolf 進一步指出,針對 FortiGate 防火牆管理介面的掃描活動早在 12 月初就已出現,這比 Fortinet 正式披露漏洞的時間還要早,顯示出威脅行動者可能已掌握漏洞資訊並進行預先部署。此事件再次凸顯企業應 及時修補漏洞,並採取積極的網路安全防護措施

Mora_001 的出現反映出當前勒索軟體攻擊模式的發展趨勢:自 2022 年 LockBit 3.0 建構器洩漏以來,許多攻擊團體開始開發自己的變種,並結合不同勒索軟體組織的策略。例如,SuperBlack 在勒索信結構與數據外洩技術上與 BlackCat/ALPHV 等其他勒索軟體組織的手法相似。

Fortinet 產品使用者建議措施:

🔹 立即安裝 Fortinet 安全更新,修補 CVE-2024-55591CVE-2025-24472 漏洞。
🔹 檢查防火牆管理介面設定,確保未暴露於公網,降低風險。
🔹 監控與 SuperBlack 勒索軟體相關的攻擊指標(IoCs,偵測潛在入侵行為。
🔹 建立完整的事件應變計畫,確保組織能夠迅速應對可能的攻擊。

根據資安媒體TechCrunch,截至目前,Fortinet 尚未就此威脅發表進一步聲明。由於勒索軟體攻擊手法持續演變,企業與機構應保持高度警覺,確保關鍵系統的安全性,以防止惡意攻擊的影響。

SuperBlack勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

FileHash-MD5          046b64c08f66f1820ae4ce5dd170e761                

FileHash-MD5          294e9f64cb1642dd89229fff0592856b                             

FileHash-MD5          4bcc3589bbbbaa013bebf38d28d442ac                         

FileHash-MD5          5c082bc67a61c822877dab10226044c8

FileHash-SHA256

782c3c463809cd818dadad736f076c36cdea01d8c4efed094d78661ba0a57045

FileHash-SHA256

813ad8caa4dcbd814c1ee9ea28040d74338e79e76beae92bedc8a47b402dedc2

FBI 和 CISA警告:超過300家關鍵機構受Medusa勒索軟體攻擊

美國聯邦調查局(FBI)與美國網路安全暨基礎設施安全局(CISA)警告,自2021年6月首次偵測到Medusa勒索軟體以來,該惡意軟體已影響超過300家關鍵基礎設施機構。

兩大機構近日聯合發布安全公告,揭露Medusa的攻擊行為模式並提供防範建議。

Medusa勒索軟體概述

Medusa是一種勒索軟體即服務(Ransomware-as-a-Service, RaaS),主要透過網路釣魚(Phishing)攻擊及利用未修補的軟體漏洞進行滲透。

截至2025年2月,CISA指出,Medusa的開發者及其合作夥伴已攻擊超過300家關鍵基礎設施機構,受影響產業涵蓋醫療、教育、法律、保險、科技及製造業等。

然而,實際受害機構的數量可能更高。根據Symantec威脅獵人團隊的最新報告,自2023年初以來,該勒索軟體組織在其資料外洩網站上已公開近400家受害機構的資訊,實際影響範圍可能遠超此數。

Medusa的多重勒索手法

Medusa採用雙重甚至三重勒索策略,包括:

  1. 竊取並加密受害者資料。
  2. 威脅公開被盜數據,以施壓受害者支付贖金。
  3. 部分受害者支付贖金後,仍被要求支付額外費用才能獲得所謂的「真解密工具」(True Decryptor)。

Medusa的攻擊模式

1. 初始滲透與存取權限購買

最初,Medusa由一個勒索軟體團隊掌控,負責所有開發與運營。但隨著時間推移,該組織轉向聯盟模式,允許多個駭客組織合作,而贖金談判仍由核心開發團隊集中控制。

Medusa活躍於地下駭客論壇,專門招募「初始存取經紀人」(Initial Access Brokers, IABs)來獲取受害組織的存取權限。該組織提供100美元至100萬美元不等的報酬,甚至允許駭客專門為Medusa工作。

2. 攻擊手法與內部滲透

  • 釣魚攻擊:Medusa的合作夥伴透過網路釣魚竊取憑證。
  • 漏洞利用:該組織曾濫用ScreenConnect與Fortinet EMS SQL注入漏洞等已知漏洞。
  • 合法工具濫用:「Living off the Land」技術(利用系統內建工具進行攻擊),避免傳統防毒軟體偵測。
  • 網路與系統探測:滲透後,Medusa會掃描常見連接埠,利用命令列工具進行網路與檔案系統探索,並使用Windows Management Instrumentation(WMI)查詢系統資訊。
  • 混淆與反偵測:使用Base64編碼混淆PowerShell惡意程式碼,甚至透過有漏洞或合法簽章的驅動程式關閉或刪除防毒工具。

3. 遠端存取與資料外洩

Medusa會根據受害者環境選擇適合的遠端存取軟體。

  • 資料外洩與加密:駭客使用Rclone等工具將資料同步至雲端,隨後部署「gaze.exe」加密檔案,並附加「.medusa」副檔名。
  • 系統破壞:gaze.exe會終止備份、安全性、資料庫、通訊、檔案共享與網站服務,刪除Windows陰影備份(Shadow Copy),再以AES-256加密。
  • 虛擬機器加密:攻擊者手動關閉虛擬機器,並加密其相關檔案。

勒索與贖金支付機制

  • Medusa會在受害系統留下「READ_ME_MEDUSA!!!.txt」勒索訊息,要求受害者在48小時內透過Tor瀏覽器或Tox加密通訊軟體聯繫。
  • 若受害者未回應,攻擊者可能直接撥打電話或寄送電子郵件。
  • 在Medusa的暗網網站上,攻擊者發布贖金要求並提供加密貨幣支付連結,甚至在倒數計時結束前向潛在買家販售受害數據。
  • 受害者可支付1萬美元延長倒數計時。
  • FBI調查發現,一些受害者支付贖金後,另一名Medusa攻擊者聲稱談判者已私吞款項,要求再支付一半金額以取得「真正的解密工具」,顯示該組織可能實施三重勒索策略。

CISA與FBI建議的防禦措施

  • 修補已知漏洞,避免攻擊者利用未修補漏洞滲透。
  • 進行網路分段,減少橫向移動風險。
  • 落實資料備份與復原計畫,確保關鍵數據可快速恢復。
  • 監測可疑流量與異常行為,例如未經授權的遠端存取或異常加密活動。
  • 教育員工提高資安意識,防範網路釣魚攻擊。

企業應及早採取行動,強化資安防禦,以降低Medusa等勒索軟體的風險。

CrazyHunter 暗網曝光:我們掌握了多少情報?

近日,竣盟科技發現勒索軟體集團 CrazyHunter 已在暗網設立官方網站,詳細列出其受害者名單、入侵證據以及相關「服務」資訊。該組織近期針對 馬偕醫院彰基醫院 的攻擊,已引發外界對醫療機構網路安全的高度關注。

與傳統勒索軟體集團不同,CrazyHunter 展現出 高度組織化、技術先進極具侵略性 的行動模式,結合快速滲透、數據毀滅與品牌化犯罪運營,體現其高水準的攻擊計劃性與執行力。


攻擊模式與 DLS 架構

根據其暗網上的 Data Leak Site (DLS),CrazyHunter 採取 高效、精準 的攻擊策略,目標是 在最短時間內突破企業安全防線

DLS 主要架構

  • 首頁:
    • 顯示 CrazyHunter 名稱 及座右銘:「There is no absolute safety(絕對的安全並不存在)」,凸顯其核心理念:任何系統均無法實現絕對安全
  • Victim List(受害者列表):
    • 受害機構僅來自台灣,涵蓋醫療、學術單位與製造業。
    • 每個受害案例包含:
      • 勒索金額(最高可達 150 萬美元)。
      • 交易狀態(如 Expired 代表數據即將公開,Successful cooperation 代表已支付贖金)。
      • 倒數計時器,藉此施加心理壓力。
  • About Us(關於我們):
    • 描述該組織的攻擊手法與技術優勢。
  • Contact Us(聯繫我們):
    • 提供談判及「合作」管道。

CrazyHunter聲稱擁有的高級攻擊技術與戰術-72小時滲透戰略

CrazyHunter 自稱可在 72 小時內攻破企業防線,其技術優勢包括:

  • 獨家漏洞利用:
  • 獨家漏洞利用鏈的存活時間超過 MITRE 平均估計 300% 以上,即漏洞在被修補、緩解或失效之前的持續時間——比MITRE的估計值高出300%以上。
  • 繞過主流Endpoint系統,包括:
    • CrowdStrike
    • SentinelOne
    • Microsoft Defender XDR
    • Symantec EDR
    • Trend Micro XDR
  • 混合攻擊策略:
    • 零日漏洞(Zero-day)與已知漏洞(N-day)並用,提升滲透效率。
    • 檔案無痕攻擊(Fileless Attack,繞過傳統偵測機制。
    • 變形惡意軟體(Polymorphic Malware,透過自我調整規避安全防護。

三維數據毀滅系統Three-dimensional Data Annihilation System

  1. 加密層(Encryption Layer):
    • 採用 XChaCha20-Poly1305 演算法,實現高速加密,無密鑰狀態下數據無法復原。
  2. 毀滅層(Destruction Layer):
    • 採用 CIA認可的覆寫刪除技術,透過多重覆寫使數據不可恢復。
  3. 威懾層(Deterrence Layer):
    • 利用AI生成針對高層管理人員的高真實度入侵證據,施加額外壓力迫使受害者付款。

結合高端加密、數據銷毀與心理戰術 的混合策略,使 CrazyHunter 成為當前最具威脅性的網路犯罪組織之一。


犯罪品牌與區塊鏈技術的應用

CrazyHunter 強調品牌經營,透過「服務」機制增加受害者付款誘因,包括:

  • 延遲數據公開服務: 付款 50% 贖金可推遲數據曝光。
  • 安全漏洞修復指南: 提供技術文件,幫助企業「補救」安全問題。
  • 數據刪除證明影片: 付款後提供影片,證明數據已被銷毀。
  • 區塊鏈記錄:
    • 該組織聲稱會將「履約證據」上鏈,以建立「信譽」,提高受害者付款率。

這種模式 不同於傳統勒索軟體集團(如 REvil、LockBit,展現出更成熟的犯罪運營模式。


攻擊目標與受害者分析

CrazyHunter 目前的主要攻擊目標為 台灣的醫療、學術與能源產業,已知受害機構包括:

  • 高等教育機構(某某大學及其附屬醫院)。
  • 醫療機構(如馬偕醫院、彰基醫療財團法人)。
  • 製造產業

該組織傾向選擇 支付意願較高 的受害者,如醫療與學術機構,以利用其對數據洩露的高度敏感性。然而,未來其攻擊範圍極可能擴展至 金融、製造、政府機構 等其他產業。


結論與防禦建議

CrazyHunter 並非傳統勒索軟體集團,而是結合 高端技術、心理戰術與品牌化經營新型態網路犯罪組織,其特點包括:

  • 不可恢復的數據銷毀(加密 + 物理摧毀)。
  • AI 深度偽造技術(用於施壓與勒索)。
  • 區塊鏈技術(用於建立「信譽」,提高贖金支付率)。

企業應採取以下關鍵防禦措施:

  1. 強化 EDR/XDR 部署,提升對進階攻擊的偵測與防禦能力。
  2. 持續漏洞管理,縮短漏洞修補週期,降低被利用風險。
  3. AI 驅動的風險評估,主動預測潛在攻擊,提升整體安全性。
  4. 強化欺敵技術的應用,透過部署虛假資源來誘騙攻擊者,從而降低真實數據遭受攻擊的風險。

隨著 勒索軟體的組織化、品牌化與技術升級,企業需 重新評估並升級安全策略,以免成為下一個目標。

Akira 勒索軟體繞過 EDR:利用網路攝影機發動加密攻擊

近期,資安研究員發現 Akira 勒索軟體採取了一種罕見的攻擊策略——利用一台未受保護的網路攝影機來加密受害者的網路檔案,成功繞過 EDR(端點檢測與回應)防禦機制。這起攻擊事件凸顯了物聯網(IoT)設備的安全風險,以及企業在防護策略上的潛在漏洞。

攻擊過程解析

根據資安公司S-RM 的調查,Akira最初透過企業暴露在外的遠端存取系統滲透內部網路,可能是通過竊取憑證或暴力破解方式獲取權限。入侵後,攻擊者部署 AnyDesk(一款合法的遠端管理工具),並開始竊取企業機敏數據,準備進行雙重勒索攻擊。

為了擴大影響範圍,他們利用 遠端桌面協議(RDP) 進行橫向移動,試圖在多台 Windows 系統中部署勒索軟體。最終,攻擊者投放了一個受密碼保護的壓縮檔 win.zip,內含勒索軟體載荷 win.exe,但因為受害企業部署了 EDR 解決方案,這個加密程序在執行前就被攔截並隔離,使攻擊受挫。

Photo Credit: Source: S-RM

繞過 EDR:攻擊者如何利用網路攝影機?

在傳統攻擊路徑被 EDR 阻擋後,Akira開始尋找替代方案,透過掃描內部網路,發現一台 網路攝影機和指紋掃描器。最終,他們選擇了攝影機作為攻擊跳板。

根據 S-RM 的技術分析,這台攝影機具備以下特點,使其成為攻擊者的最佳選擇:

  1. 存在遠端 Shell 存取漏洞,允許攻擊者在未經授權的情況下執行命令。
  2. 運行基於 Linux 的作業系統,與 Akira 勒索軟體的 Linux 加密工具兼容。
  3. 未部署 EDR 代理程式,因此不受企業安全監控機制的約束。

攻擊者利用攝影機的 Linux 系統掛載了企業 Windows 設備的 SMB 網路共享,然後直接在攝影機上執行 Linux 版勒索軟體,加密所有連接到該網路共享的檔案。由於 該設備未受企業資安團隊監控,導致異常 SMB 流量未被及時發現,最終讓攻擊得逞。

資安專家建議:如何降低 IoT 設備風險?

這起事件突顯出,雖然 EDR 能有效攔截端點設備上的惡意行為,但對於 IoT 設備的防護仍有極大缺口。為防範類似攻擊,企業應採取更全面的資安策略:

1. 強化 IoT 設備安全管理

  • 將 IoT 設備與核心業務網路隔離,避免攻擊者利用這些設備作為攻擊跳板。
  • 停用不必要的遠端存取功能,降低潛在攻擊面。
  • 定期更新韌體與安全修補,修補已知漏洞,防範攻擊者利用弱點滲透。

2. 加強異常流量監控

  • 部署網路流量分析(NTA)工具,偵測內部設備是否發送異常 SMB 流量。
  • 建立設備使用行為基準(baseline),一旦設備流量異常,立即啟動警報機制。

3. 提升存取管理與帳號安全

  • 確保 IoT 設備管理帳號使用強密碼,並關閉預設憑證
  • 實施多因素身份驗證(MFA),避免攻擊者透過竊取憑證輕易入侵網路。

結論:IoT 設備是資安防禦的新戰場

這起 Akira 勒索攻擊事件表明,企業不能僅依賴 EDR 或傳統的端點安全防護來應對勒索軟體攻擊。攻擊者已經開始利用企業忽略的 IoT 設備,作為繞過資安防線的切入點。

為此,企業必須全面檢視網絡中的 所有設備安全狀態,包括 IoT 設備、伺服器與工作站,並透過 網路隔離、異常監控及修補管理,來降低類似攻擊的風險。未受監管的 IoT 設備,可能就是下一個網路安全的破口,企業務必正視這一威脅,及早採取行動。

Akira勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

3920f3C63686514e8e0288f8227e92c969d690e5

b5a5bd9f727623b2eeea051eldd7d57705daa03a

ac9952bcfcecab7400e837d55f91e9a5eeb67d07

麒麟(Qilin)勒索軟體集團聲稱對癌症醫院攻擊負責

麒麟(Qilin)勒索軟體集團近日聲稱對2025年2月10日發動的一起嚴重網路攻擊負責,受害對象是日本一家知名的癌症治療中心。該攻擊導致30萬名患者的敏感健康資訊遭外洩,並使醫院的核心系統陷入癱瘓,嚴重影響醫療服務。

UCC遭受勒索軟體攻擊,系統全面停擺

受害機構為宇都宮中央診所(Utsunomiya Central Clinic, UCC,該診所位於日本本州宇都宮市。UCC於2月18日在官方網站上公告此勒索軟體攻擊事件, 在發現資料外洩後,UCC立即切斷了伺服器與外部網際網路及內部網路的連接,以遏制攻擊範圍。然而,此舉也導致診所無法正常運作,被迫限制診療與健康檢查等醫療服務。

“目前我們的內部系統無法使用,因此在此期間,我們將限制診療與健康檢查服務。” ——UCC公告。

UCC公告

俄羅斯關聯駭客組織公開患者醫療數據

根據俄羅斯關聯的麒麟勒索軟體組織在暗網上表示,UCC的網路已遭加密,並有135GB的日本公民醫療數據遭竊,相當於178,319個檔案。

UCC由日本知名的長壽健康專家佐藤俊彥(Dr. Toshihiko Sato)創立,專注於癌症的早期診斷與治療,特別是乳癌,該疾病約占日本現代社會30%的死亡率。

駭客聲稱UCC管理層拒絕溝通

麒麟勒索軟體組織聲稱,UCC管理層拒絕與他們溝通,並誇耀們已竊取包括患者數據、醫療紀錄、特定醫學檢測資料、放射與X光數據、醫院董事會 (BOD) 秘書處理的資訊以及心電圖(ECG)與ECG-Holter數據等機密醫療資訊。

被盜數據範圍廣泛

根據駭客公佈的資訊,受害患者的個人與醫療數據包括:

  • 患者資訊:姓名、出生日期、性別、住址、電話號碼、電子郵件地址、健康檢查報告等。
  • 醫護人員資訊:醫生、護士及醫院員工的姓名、出生日期、性別、住址、電話號碼等。

然而,UCC聲明指出,患者的財務與信用卡數據,以及日本社會保險號碼(My Number),並未在此次攻擊中外洩。

洩露數據樣本與駭客威脅

麒麟進一步公開了六份從UCC伺服器竊取的電子受保護健康資訊(ePHI)樣本。據了解,這些樣本包括癌症治療病例、放射影像、專業醫療文件及執照。

“不建議使用UCC的服務,因為您的敏感數據甚至腸胃內視鏡照片可能會公開,這都是因為佐藤俊彥的不負責任。您的健康數據並不安全。” ——麒麟在暗網上的聲明。

UCC官方則呼籲患者「謹慎對待來自不明寄件人的郵件、可疑電子郵件以及冒充UCC人員的詐騙電話」。

目前,UCC已設立專線供患者查詢,並表示將在官方網站上公佈最新的營運狀況。

認識麒麟:勒索軟體新興勢力

麒麟Qilin勒索軟體組織自2025年初以來持續擴大攻擊行動。近期,其攻擊目標包括:

  • 休士頓交響樂團(Houston Symphony
  • 底特律PBS(Detroit PBS
  • 美國報業集團Lee Enterprises(2月3日遭攻擊)
  • 帛琉衛生部(2月17日遭攻擊)

該組織又稱Agenda,據資安專家分析,該組織主要使用俄語,並承諾不攻擊獨立國家國協(CIS)。隨著麒麟組織的攻擊規模擴大,全球企業與醫療機構需加強資安防護,以防止成為下一個目標。

麒麟勒索軟體相關的部分入侵指標(Indicator of compromise -IOCs):

FileHash-MD5 417ad60624345ef85e648038e18902ab
FileHash-SHA1 e18e6f975ef8fce97790fb8ae583caad1ec7d5b3
FileHash-SHA256 555964b2fed3cced4c75a383dd4b3cf02776dae224f4848dcc03510b1de4dbf4

新型惡意軟體攻擊利用盜版軟體傳播 Lumma 及 ACR Stealer

Photo Credit: ASEC

資安專家警告,一波新的惡意軟體攻擊正利用破解軟體作為誘餌,散布資訊竊取類惡意軟體(Infostealer),其中包括 Lumma StealerACR Stealer

根據韓國資安業者AhnLab Security Intelligence Center(ASEC觀察,自 2025 年 1 月起,ACR Stealer 的散布量顯著上升,顯示攻擊者正在積極推廣該惡意軟體。


惡意軟體技術分析:利用「Dead Drop Resolver」隱藏 C2 伺服器

這類竊取型惡意軟體(Stealer Malware)的一大特點是使用 「Dead Drop Resolver」技術 來隱藏並解析其真正的 指揮與控制(C2)伺服器

此技術利用合法的第三方服務,如:

  • Steam
  • Telegram 的 Telegraph
  • Google Forms
  • Google Slides

來存放 Base64 編碼的 C2 網域資訊。

ASEC 表示:「攻擊者會將 C2 網域以 Base64 編碼 存入特定網頁,惡意軟體則會訪問該頁面、解析字串,並取得實際的 C2 伺服器地址,以執行惡意行為。」

這種方法讓惡意軟體難以被偵測與攔截,因為它不會直接在程式碼內嵌入 C2 伺服器地址,而是透過外部平台動態獲取。


ACR Stealer:廣泛蒐集受害者資訊

ACR Stealer 先前常透過 Hijack Loader 傳播,並具備以下資料竊取能力:

✅ 文件與系統檔案
✅ 瀏覽器憑證、Cookies、歷史記錄
✅ 加密貨幣錢包插件(如 MetaMask

這些被竊取的憑證與敏感資訊,最終會流入 地下黑市,供其他網路犯罪者購買並利用。


MSC 文件攻擊:Rhadamanthys Stealer 的新載具

ASEC 近期還發現,攻擊者透過 .MSC 檔案(Microsoft Management Console,MMC 可執行的管理文件)來傳播 Rhadamanthys Stealer

MSC 惡意軟體主要有兩種變體:

1️⃣ 利用 Windows DLL 漏洞(CVE-2024-43572,GrimResource
2️⃣ 執行惡意 Console Taskpad 指令,下載並執行 PowerShell 腳本

攻擊者常將 MSC 文件 偽裝成 Word 文件,當受害者點擊 「開啟」 按鈕時,便會下載並執行惡意 PowerShell 腳本,最終植入 Rhadamanthys Stealer 惡意程式。

⚠ CVE-2024-43572(GrimResource)最早於 2024 年 6 Elastic Security Labs 發現,屬於 零日漏洞,微軟已於 2024 年 10 修補該漏洞。


利用線上客服詐騙:假冒客戶傳播 Zhong Stealer

資安專家還發現,網路犯罪者開始利用 線上客服系統(如 Zendesk),假冒客戶,誘騙技術支援人員下載並執行惡意軟體 Zhong Stealer

這種社交工程攻擊(Social Engineering)特別針對 企業內部支援人員,一旦客服人員點擊惡意附件或連結,攻擊者便能竊取企業內部的機密資訊與登入憑證。


資訊竊取惡意軟體的巨大威脅:數千萬台電腦已受感染

根據 Hudson Rock 近期報告,過去幾年間,已有 超過 3,000 萬台電腦 感染資訊竊取惡意軟體,導致:

⚠ 企業帳密與 Session Cookies 遭竊
⚠ 憑證在地下市場販售,供攻擊者利用
⚠ 企業內部被滲透,成為更大規模攻擊的跳板

Hudson Rock 指出:

「在地下論壇上,每台受感染電腦的資料售價 低至 10 美元,攻擊者可透過這些憑證滲透 國防、軍事與關鍵基礎設施,造成嚴重風險。」

這些竊取的登入資訊,常被用於進行後續的橫向移動(Lateral Movement)、勒索攻擊(Ransomware),甚至針對 政府機構與企業進行間諜活動


ClickFix 技術:假冒 CAPTCHA 驗證傳播 RAT 與 Stealer

近一年來,攻擊者大幅增加 ClickFix 技術 的應用,透過假冒的 CAPTCHA 驗證頁面,引導受害者執行惡意 PowerShell 指令,進一步下載遠端存取木馬(RAT)與資訊竊取軟體。

其中,近期發現的一款惡意程式 I2PRAT,利用 I2P 匿名網絡 來隱藏其最終 C2 伺服器,使得資安研究人員難以追蹤。

Sekoia 安全分析團隊表示:「這款惡意軟體由 多層架構組成,具備高度進階的防偵測機制,而 I2P 匿名網絡的使用,進一步提升了追蹤難度,使我們無法確定其實際影響範圍。」


資安建議:如何防範資訊竊取惡意軟體?

✅ 避免下載破解軟體 —— 許多惡意軟體透過盜版工具傳播。
✅ 嚴格控管企業客服系統 —— 確保客服人員不會輕易下載來路不明的檔案。
✅ 監測網路流量與 C2 連線行為 —— 企業應監測 Base64 解析 C2 網域的異常行為。
✅ 警惕可疑的 CAPTCHA 驗證頁面 —— 確保員工不會執行不明 PowerShell 命令。
✅ 定期更新防毒軟體與系統漏洞 —— 避免 CVE-2024-43572 等漏洞被利用。