近期，資安專家發現一個名為 Mora_001 的新興駭客組織正在利用 Fortinet 產品中的漏洞進行攻擊，並與惡名昭彰的 LockBit 勒索軟體組織有關聯。

安全研究人員指出，Mora_001 正在利用影響 Fortinet FortiGate 防火牆設備的兩個漏洞——CVE-2024-55591 和 CVE-2025-24472。美國 網路安全與基礎設施安全局（CISA） 在 1 月份發出緊急指令，要求所有聯邦民用機構必須在一週內修補 CVE-2024-55591，這是該機構歷來最短的修補期限之一。隨後，Fortinet 確認這些漏洞已遭到攻擊者利用，並在公告中加入了 CVE-2025-24472。

根據 Forescout Research 發佈的報告，從 1 月底到 3 月期間，研究人員發現多起入侵事件與這些漏洞有關，最終導致了一種新型勒索軟體的部署，該軟體被命名為 SuperBlack。

Forescout 的分析顯示，Mora_001 的攻擊手法與 LockBit 類似，他們利用了 LockBit 3.0（LockBit Black） 的洩漏建構器，但刪除了 LockBit 品牌標誌，並開發了自訂數據外洩工具。這表明該組織可能是 LockBit 的前附屬成員，正在調整其策略，或仍與 LockBit 生態系統保持間接聯繫。

資安專家 Stefan Hostetler（Arctic Wolf 資深威脅情報研究員）確認，這些 Fortinet 漏洞的攻擊行動早在 1 月底就已經開始，並於 2 月 2 日觀察到具體的攻擊活動。雖然 Fortinet 已釋出修補程式，但攻擊者仍然針對未能及時更新或強化防火牆配置的組織發動攻擊。

Arctic Wolf 進一步指出，針對 FortiGate 防火牆管理介面的掃描活動早在 12 月初就已出現，這比 Fortinet 正式披露漏洞的時間還要早，顯示出威脅行動者可能已掌握漏洞資訊並進行預先部署。此事件再次凸顯企業應 及時修補漏洞，並採取積極的網路安全防護措施。

Mora_001 的出現反映出當前勒索軟體攻擊模式的發展趨勢：自 2022 年 LockBit 3.0 建構器洩漏以來，許多攻擊團體開始開發自己的變種，並結合不同勒索軟體組織的策略。例如，SuperBlack 在勒索信結構與數據外洩技術上與 BlackCat/ALPHV 等其他勒索軟體組織的手法相似。

Fortinet 產品使用者建議措施：

🔹 立即安裝 Fortinet 安全更新，修補 CVE-2024-55591 和 CVE-2025-24472 漏洞。
🔹 檢查防火牆管理介面設定，確保未暴露於公網，降低風險。
🔹 監控與 SuperBlack 勒索軟體相關的攻擊指標（IoCs），偵測潛在入侵行為。
🔹 建立完整的事件應變計畫，確保組織能夠迅速應對可能的攻擊。

根據資安媒體TechCrunch，截至目前，Fortinet 尚未就此威脅發表進一步聲明。由於勒索軟體攻擊手法持續演變，企業與機構應保持高度警覺，確保關鍵系統的安全性，以防止惡意攻擊的影響。

SuperBlack勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

FileHash-MD5          046b64c08f66f1820ae4ce5dd170e761                

FileHash-MD5          294e9f64cb1642dd89229fff0592856b                             

FileHash-MD5          4bcc3589bbbbaa013bebf38d28d442ac                         

FileHash-MD5          5c082bc67a61c822877dab10226044c8

FileHash-SHA256

782c3c463809cd818dadad736f076c36cdea01d8c4efed094d78661ba0a57045

FileHash-SHA256

813ad8caa4dcbd814c1ee9ea28040d74338e79e76beae92bedc8a47b402dedc2

美國聯邦調查局（FBI）與美國網路安全暨基礎設施安全局（CISA）警告，自2021年6月首次偵測到Medusa勒索軟體以來，該惡意軟體已影響超過300家關鍵基礎設施機構。

兩大機構近日聯合發布安全公告，揭露Medusa的攻擊行為模式並提供防範建議。

Medusa勒索軟體概述

Medusa是一種勒索軟體即服務（Ransomware-as-a-Service, RaaS），主要透過網路釣魚（Phishing）攻擊及利用未修補的軟體漏洞進行滲透。

截至2025年2月，CISA指出，Medusa的開發者及其合作夥伴已攻擊超過300家關鍵基礎設施機構，受影響產業涵蓋醫療、教育、法律、保險、科技及製造業等。

然而，實際受害機構的數量可能更高。根據Symantec威脅獵人團隊的最新報告，自2023年初以來，該勒索軟體組織在其資料外洩網站上已公開近400家受害機構的資訊，實際影響範圍可能遠超此數。

Medusa的多重勒索手法

Medusa採用雙重甚至三重勒索策略，包括：

1. 竊取並加密受害者資料。
2. 威脅公開被盜數據，以施壓受害者支付贖金。
3. 部分受害者支付贖金後，仍被要求支付額外費用才能獲得所謂的「真解密工具」（True Decryptor）。

Medusa的攻擊模式

1. 初始滲透與存取權限購買

最初，Medusa由一個勒索軟體團隊掌控，負責所有開發與運營。但隨著時間推移，該組織轉向聯盟模式，允許多個駭客組織合作，而贖金談判仍由核心開發團隊集中控制。

Medusa活躍於地下駭客論壇，專門招募「初始存取經紀人」（Initial Access Brokers, IABs）來獲取受害組織的存取權限。該組織提供100美元至100萬美元不等的報酬，甚至允許駭客專門為Medusa工作。

2. 攻擊手法與內部滲透

• 釣魚攻擊：Medusa的合作夥伴透過網路釣魚竊取憑證。
• 漏洞利用：該組織曾濫用ScreenConnect與Fortinet EMS SQL注入漏洞等已知漏洞。
• 合法工具濫用：「Living off the Land」技術（利用系統內建工具進行攻擊），避免傳統防毒軟體偵測。
• 網路與系統探測：滲透後，Medusa會掃描常見連接埠，利用命令列工具進行網路與檔案系統探索，並使用Windows Management Instrumentation（WMI）查詢系統資訊。
• 混淆與反偵測：使用Base64編碼混淆PowerShell惡意程式碼，甚至透過有漏洞或合法簽章的驅動程式關閉或刪除防毒工具。

3. 遠端存取與資料外洩

Medusa會根據受害者環境選擇適合的遠端存取軟體。

• 資料外洩與加密：駭客使用Rclone等工具將資料同步至雲端，隨後部署「gaze.exe」加密檔案，並附加「.medusa」副檔名。
• 系統破壞：gaze.exe會終止備份、安全性、資料庫、通訊、檔案共享與網站服務，刪除Windows陰影備份（Shadow Copy），再以AES-256加密。
• 虛擬機器加密：攻擊者手動關閉虛擬機器，並加密其相關檔案。

勒索與贖金支付機制

• Medusa會在受害系統留下「READ_ME_MEDUSA!!!.txt」勒索訊息，要求受害者在48小時內透過Tor瀏覽器或Tox加密通訊軟體聯繫。
• 若受害者未回應，攻擊者可能直接撥打電話或寄送電子郵件。
• 在Medusa的暗網網站上，攻擊者發布贖金要求並提供加密貨幣支付連結，甚至在倒數計時結束前向潛在買家販售受害數據。
• 受害者可支付1萬美元延長倒數計時。
• FBI調查發現，一些受害者支付贖金後，另一名Medusa攻擊者聲稱談判者已私吞款項，要求再支付一半金額以取得「真正的解密工具」，顯示該組織可能實施三重勒索策略。

CISA與FBI建議的防禦措施

• 修補已知漏洞，避免攻擊者利用未修補漏洞滲透。
• 進行網路分段，減少橫向移動風險。
• 落實資料備份與復原計畫，確保關鍵數據可快速恢復。
• 監測可疑流量與異常行為，例如未經授權的遠端存取或異常加密活動。
• 教育員工提高資安意識，防範網路釣魚攻擊。

企業應及早採取行動，強化資安防禦，以降低Medusa等勒索軟體的風險。

近日，竣盟科技發現勒索軟體集團 CrazyHunter 已在暗網設立官方網站，詳細列出其受害者名單、入侵證據以及相關「服務」資訊。該組織近期針對 馬偕醫院 及 彰基醫院 的攻擊，已引發外界對醫療機構網路安全的高度關注。

與傳統勒索軟體集團不同，CrazyHunter 展現出 高度組織化、技術先進 且 極具侵略性 的行動模式，結合快速滲透、數據毀滅與品牌化犯罪運營，體現其高水準的攻擊計劃性與執行力。

攻擊模式與 DLS 架構

根據其暗網上的 Data Leak Site (DLS)，CrazyHunter 採取 高效、精準 的攻擊策略，目標是 在最短時間內突破企業安全防線。

DLS 主要架構

• 首頁：
  • 顯示 CrazyHunter 名稱 及座右銘：「There is no absolute safety（絕對的安全並不存在）」，凸顯其核心理念：任何系統均無法實現絕對安全。
• Victim List（受害者列表）：
  • 受害機構僅來自台灣，涵蓋醫療、學術單位與製造業。
  • 每個受害案例包含：
    • 勒索金額（最高可達 150 萬美元）。
    • 交易狀態（如 Expired 代表數據即將公開，Successful cooperation 代表已支付贖金）。
    • 倒數計時器，藉此施加心理壓力。
• About Us（關於我們）：
  • 描述該組織的攻擊手法與技術優勢。
• Contact Us（聯繫我們）：
  • 提供談判及「合作」管道。

CrazyHunter聲稱擁有的高級攻擊技術與戰術-72小時滲透戰略

CrazyHunter 自稱可在 72 小時內攻破企業防線，其技術優勢包括：

• 獨家漏洞利用：
• 獨家漏洞利用鏈的存活時間超過 MITRE 平均估計 300% 以上，即漏洞在被修補、緩解或失效之前的持續時間——比MITRE的估計值高出300%以上。
• 繞過主流Endpoint系統，包括：
  • CrowdStrike
  • SentinelOne
  • Microsoft Defender XDR
  • Symantec EDR
  • Trend Micro XDR
• 混合攻擊策略：
  • 零日漏洞（Zero-day）與已知漏洞（N-day）並用，提升滲透效率。
  • 檔案無痕攻擊（Fileless Attack），繞過傳統偵測機制。
  • 變形惡意軟體（Polymorphic Malware），透過自我調整規避安全防護。

三維數據毀滅系統Three-dimensional Data Annihilation System

1. 加密層（Encryption Layer）：
   • 採用 XChaCha20-Poly1305 演算法，實現高速加密，無密鑰狀態下數據無法復原。
2. 毀滅層（Destruction Layer）：
   • 採用 CIA認可的覆寫刪除技術，透過多重覆寫使數據不可恢復。
3. 威懾層（Deterrence Layer）：
   • 利用AI生成針對高層管理人員的高真實度入侵證據，施加額外壓力迫使受害者付款。

此 結合高端加密、數據銷毀與心理戰術 的混合策略，使 CrazyHunter 成為當前最具威脅性的網路犯罪組織之一。

犯罪品牌與區塊鏈技術的應用

CrazyHunter 強調品牌經營，透過「服務」機制增加受害者付款誘因，包括：

• 延遲數據公開服務： 付款 50% 贖金可推遲數據曝光。
• 安全漏洞修復指南： 提供技術文件，幫助企業「補救」安全問題。
• 數據刪除證明影片： 付款後提供影片，證明數據已被銷毀。
• 區塊鏈記錄：
  • 該組織聲稱會將「履約證據」上鏈，以建立「信譽」，提高受害者付款率。

這種模式 不同於傳統勒索軟體集團（如 REvil、LockBit），展現出更成熟的犯罪運營模式。

攻擊目標與受害者分析

CrazyHunter 目前的主要攻擊目標為 台灣的醫療、學術與能源產業，已知受害機構包括：

• 高等教育機構（某某大學及其附屬醫院）。
• 醫療機構（如馬偕醫院、彰基醫療財團法人）。
• 製造產業

該組織傾向選擇 支付意願較高 的受害者，如醫療與學術機構，以利用其對數據洩露的高度敏感性。然而，未來其攻擊範圍極可能擴展至 金融、製造、政府機構 等其他產業。

結論與防禦建議

CrazyHunter 並非傳統勒索軟體集團，而是結合 高端技術、心理戰術與品牌化經營 的 新型態網路犯罪組織，其特點包括：

• 不可恢復的數據銷毀（加密 + 物理摧毀）。
• AI 深度偽造技術（用於施壓與勒索）。
• 區塊鏈技術（用於建立「信譽」，提高贖金支付率）。

企業應採取以下關鍵防禦措施：

1. 強化 EDR/XDR 部署，提升對進階攻擊的偵測與防禦能力。
2. 持續漏洞管理，縮短漏洞修補週期，降低被利用風險。
3. AI 驅動的風險評估，主動預測潛在攻擊，提升整體安全性。
4. 強化欺敵技術的應用，透過部署虛假資源來誘騙攻擊者，從而降低真實數據遭受攻擊的風險。

隨著 勒索軟體的組織化、品牌化與技術升級，企業需 重新評估並升級安全策略，以免成為下一個目標。

近期，資安研究員發現 Akira 勒索軟體採取了一種罕見的攻擊策略——利用一台未受保護的網路攝影機來加密受害者的網路檔案，成功繞過 EDR（端點檢測與回應）防禦機制。這起攻擊事件凸顯了物聯網（IoT）設備的安全風險，以及企業在防護策略上的潛在漏洞。

攻擊過程解析

根據資安公司S-RM 的調查，Akira最初透過企業暴露在外的遠端存取系統滲透內部網路，可能是通過竊取憑證或暴力破解方式獲取權限。入侵後，攻擊者部署 AnyDesk（一款合法的遠端管理工具），並開始竊取企業機敏數據，準備進行雙重勒索攻擊。

為了擴大影響範圍，他們利用 遠端桌面協議（RDP） 進行橫向移動，試圖在多台 Windows 系統中部署勒索軟體。最終，攻擊者投放了一個受密碼保護的壓縮檔 win.zip，內含勒索軟體載荷 win.exe，但因為受害企業部署了 EDR 解決方案，這個加密程序在執行前就被攔截並隔離，使攻擊受挫。

Photo Credit: Source: S-RM

繞過 EDR：攻擊者如何利用網路攝影機？

在傳統攻擊路徑被 EDR 阻擋後，Akira開始尋找替代方案，透過掃描內部網路，發現一台 網路攝影機和指紋掃描器。最終，他們選擇了攝影機作為攻擊跳板。

根據 S-RM 的技術分析，這台攝影機具備以下特點，使其成為攻擊者的最佳選擇：

1. 存在遠端 Shell 存取漏洞，允許攻擊者在未經授權的情況下執行命令。
2. 運行基於 Linux 的作業系統，與 Akira 勒索軟體的 Linux 加密工具兼容。
3. 未部署 EDR 代理程式，因此不受企業安全監控機制的約束。

攻擊者利用攝影機的 Linux 系統掛載了企業 Windows 設備的 SMB 網路共享，然後直接在攝影機上執行 Linux 版勒索軟體，加密所有連接到該網路共享的檔案。由於 該設備未受企業資安團隊監控，導致異常 SMB 流量未被及時發現，最終讓攻擊得逞。

資安專家建議：如何降低 IoT 設備風險？

這起事件突顯出，雖然 EDR 能有效攔截端點設備上的惡意行為，但對於 IoT 設備的防護仍有極大缺口。為防範類似攻擊，企業應採取更全面的資安策略：

1. 強化 IoT 設備安全管理

• 將 IoT 設備與核心業務網路隔離，避免攻擊者利用這些設備作為攻擊跳板。
• 停用不必要的遠端存取功能，降低潛在攻擊面。
• 定期更新韌體與安全修補，修補已知漏洞，防範攻擊者利用弱點滲透。

2. 加強異常流量監控

• 部署網路流量分析（NTA）工具，偵測內部設備是否發送異常 SMB 流量。
• 建立設備使用行為基準（baseline），一旦設備流量異常，立即啟動警報機制。

3. 提升存取管理與帳號安全

• 確保 IoT 設備管理帳號使用強密碼，並關閉預設憑證。
• 實施多因素身份驗證（MFA），避免攻擊者透過竊取憑證輕易入侵網路。

結論：IoT 設備是資安防禦的新戰場

這起 Akira 勒索攻擊事件表明，企業不能僅依賴 EDR 或傳統的端點安全防護來應對勒索軟體攻擊。攻擊者已經開始利用企業忽略的 IoT 設備，作為繞過資安防線的切入點。

為此，企業必須全面檢視網絡中的 所有設備安全狀態，包括 IoT 設備、伺服器與工作站，並透過 網路隔離、異常監控及修補管理，來降低類似攻擊的風險。未受監管的 IoT 設備，可能就是下一個網路安全的破口，企業務必正視這一威脅，及早採取行動。

Akira勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

3920f3C63686514e8e0288f8227e92c969d690e5

b5a5bd9f727623b2eeea051eldd7d57705daa03a

ac9952bcfcecab7400e837d55f91e9a5eeb67d07

勒索軟體攻擊概況

2025年1月30日，台灣印刷電路板（PCB）製造龍頭——欣興電子（Unimicron Technology Corp.）旗下位於中國的子公司欣興科技（深圳）有限公司（聯能科技）遭受勒索軟體攻擊。根據欣興電子於台灣證券交易所（TWSE）市場觀測站（MOPS）發佈的公告，公司已緊急聘請外部資安專家進行數位鑑識分析，並強化資安防護措施，強調本次事件對業務營運影響有限。

然而，資安新聞網站Bleeping Computer報導指出，勒索軟體組織Sarcoma聲稱對此次攻擊負責，並已在暗網洩密網站上公佈部分竊取數據樣本。據悉，駭客組織宣稱竊得約377GB的SQL數據庫及商業文件，要求欣興電子在2025年2月20日前支付贖金，否則將公開所有竊取數據。

影響與資安風險分析

欣興電子為全球領先的高密度互連（HDI）PCB及半導體載板製造商，為蘋果、英特爾等國際科技企業供應關鍵零組件，在全球電子供應鏈中占據重要地位。此次攻擊不僅可能對欣興電子自身營運造成影響，還可能對全球科技產業供應鏈帶來潛在風險。

勒索軟體攻擊已成為製造業主要的資安威脅，尤其在供應鏈高度整合的環境下，任何企業的資安事件都有可能引發連鎖反應。攻擊者可能透過竊取的資料進行後續攻擊，例如進一步針對合作夥伴發動社交工程攻擊，甚至利用獲取的機密資訊進行詐欺或商業間諜活動。

Sarcoma勒索軟體組織剖析

Sarcoma是一個近年迅速崛起的勒索軟體組織，自2024年10月發動攻擊以來，短短一個月內便聲稱攻擊了36家企業，並在2024年11月被資安公司CYFIRMA警告為“快速增長的重大資安威脅”。

該組織採取雙重勒索策略，除了加密受害者系統外，還會竊取機密數據，並以公開洩露為威脅，以此迫使企業支付贖金。根據RedPiranha的報告，Sarcoma主要透過以下技術入侵企業網絡：

• 釣魚郵件攻擊（Phishing）：透過社交工程詐騙企業員工點擊惡意連結或下載受感染的附件。
• 已知漏洞攻擊（n-day exploits）：利用未及時修補的安全漏洞來獲取初始訪問權限。
• 供應鏈攻擊（Supply Chain Attacks）：針對合作夥伴或第三方服務商，以間接入侵目標企業。
• 遠端桌面協議（RDP）攻擊：一旦獲得網路訪問權限，攻擊者會透過RDP進行橫向移動，以擴大影響範圍。

目前資安研究人員仍未完全解析Sarcoma的核心攻擊工具與技術，該組織的幕後操縱者依然成謎。

強化資安防禦，降低勒索風險

此次欣興電子遭受攻擊，再次警示全球製造業及半導體供應鏈須加強資安防護。針對此類勒索軟體攻擊，企業應採取以下措施，以降低潛在風險與業務損失：

1. 強化端點安全與入侵偵測：確保所有關鍵系統均具備最新安全補丁，並部署端點偵測與回應（EDR）解決方案，以快速發現異常行為。
2. 提升員工資安意識：透過定期資安培訓，提高員工對釣魚攻擊與社交工程詐騙的警覺性。
3. 建立完善的資料備份與災難復原計劃（BCP/DRP）：確保關鍵數據具備異地備份，並定期演練災難復原流程，以確保在遭遇攻擊時能迅速恢復業務運營。
4. 與資安專家合作：部署威脅情報分析及安全監控機制，以主動預防潛在攻擊，並建立應變計畫，以應對可能發生的資安事件。

結語

勒索軟體攻擊不僅對個別企業造成財務與營運損失，更可能對產業供應鏈及全球經濟帶來深遠影響。Sarcoma等新興勒索軟體組織的崛起，顯示網路犯罪活動正變得更加複雜與具針對性。企業唯有積極強化資安防禦，建立完善的資安治理機制，才能有效應對日益嚴峻的網路威脅環境。