近期,資安圈再度鎖定一個快速竄起的新興威脅團隊——Crypto24 勒索軟體集團。根據 Trend Micro 研究團隊揭露,Crypto24 針對美國、歐洲與亞洲多家大型組織發動攻擊,目標涵蓋金融、製造、娛樂及科技產業,並使用自製 EDR(端點偵測與回應)反制工具,在入侵後能有效避開安全防護、竊取機敏資料並加密檔案。
來歷背景
Crypto24 最早出現在 2024 年 9 月BleepingComputer的論壇,雖然起初並未引起太大關注,但短短數月內就展現出高水準的攻擊技巧。從攻擊流程與工具熟練度來看,研究人員研判該集團可能由解散的知名勒索軟體組織核心成員重組而成,具備相當豐富的滲透與防禦規避經驗。
攻擊流程與技術細節
- 初始入侵與帳號控制
取得初步存取權後,攻擊者會啟用 Windows 內建的預設系統管理員帳號,或建立新的本機使用者帳號,以達成隱密且持久的訪問權限。 - 環境探勘與持續性機制
透過自製批次檔及系統指令,攻擊者會列舉帳號清單、硬體配置與磁碟分區,並建立惡意 Windows 服務及排程任務:- WinMainSvc:偽裝成合法服務的鍵盤側錄程式
- MSRuntime:用於載入勒索軟體的核心模組
- 自製 RealBlindingEDR 工具
Crypto24 修改開源工具 RealBlindingEDR,可針對多家知名安全廠商的 EDR 產品停用核心層(Kernel-Level)的偵測回叫,讓防護系統「瞬間失明」。受影響的產品包含 Trend Micro、Kaspersky、Sophos、SentinelOne、McAfee、Bitdefender、Fortinet 等十多種品牌。- 特別是對 Trend Micro Vision One,若取得系統管理員權限,攻擊者會調用官方的 XBCUninstaller.exe(原本用於故障排除與清除安裝)來卸載代理程式,完全繞過防護。
- 側錄與橫向移動
- 鍵盤側錄:WinMainSvc 偽裝成「Microsoft Help Manager」,記錄所有按鍵(包含 Ctrl、Alt、功能鍵)及視窗標題。
- 橫向移動:利用 SMB 分享在內部網路傳送惡意檔案,並集中到特定節點進行資料外洩。
- 資料竊取與加密
所有被竊資料會經由自製工具上傳至 Google Drive,該工具透過 WinINET API 與雲端互動,避開傳統網路偵測機制。隨後,攻擊者會刪除 Windows 系統的 Volume Shadow Copies,阻斷災後復原的可能,最後才執行加密程序。
戰術特點
Crypto24 的攻擊鏈幾乎涵蓋 MITRE ATT&CK 中多個高階戰術,包括:
- 防禦規避(Defense Evasion):透過自製 RealBlindingEDR 工具與合法系統工具移除防護。
- 持續性(Persistence):建立惡意服務與排程。
- 憑證存取(Credential Access):側錄敏感帳密與按鍵輸入。
- 資料外洩(Exfiltration):利用雲端服務傳輸,降低被偵測的機率。
- 影響(Impact):刪除快照後進行加密,直接癱瘓業務運作。
對企業的啟示
Crypto24 的案例再次證明,現今勒索軟體集團已不再依賴「市面現成」工具,而是傾向開發專屬的防護繞過方案,甚至會利用合法廠商工具達成惡意目的。企業應:
- 強化 EDR / XDR 的防護機制,阻擋非法卸載與核心層修改行為。
- 嚴格管控管理員帳號與遠端登入。
- 對雲端傳輸異常流量(如 Google Drive、大量檔案上傳)進行即時監控。
- 定期演練勒索軟體事件應變流程,確保即使偵測失敗,仍能迅速阻斷擴散與資料外洩。
Crypto24 雖然是新玩家,但已展現出與老牌勒索集團同等的技術與滲透深度,未來極可能在全球大型組織中掀起更多攻擊浪潮。
Crypto24的部分入侵指標(Indicator of compromise -IOCs):
093902737a7850c6c715c153cd13e34c86d60992
5d1f44a2b992b42253750ecaed908c61014b735a
8057d42ddb591dbc1a92e4dd23f931ab6892bcac
eeafb2d4f6ed93ab417f190abdd9d3480e1b7b21
3922461290fa663ee2853b2b5855afab0d39d799
71a528241603b93ad7165da3219e934b00043dd6
74bc31f649a73821a98bef6e868533b6214f22a4
b23d0939b17b654f2218268a896928e884a28e60