Hunters International - 竣盟科技

近日，台灣一家知名電信寬頻設備大廠被勒索軟體駭客組織 Hunters International 鎖定為攻擊目標。11 月 14 日，竣盟科技觀察到 Hunters International的揭露網站上列出了這家大廠為其受害者之一。值得注意的是，目前尚未發現任何竊取資料被公開，顯示攻擊行動仍處於談判或威脅階段。

Hunters International 因其高技術滲透能力而聞名，主要目標為高價值科技企業，透過資料竊取及勒索牟利，對產業安全構成重大威脅，並反映出台灣企業面臨日益升級的資安挑戰。

根據硏究，Hunters International的攻擊手法包括結合了零日漏洞（Zero-Day Exploit）、社交工程手法，以及自訂的多階段惡意程式，使得入侵難以察覺。攻擊一開始，駭客透過精心設計的網路釣魚（Phishing）攻勢，誘騙特定人員下載惡意檔案，成功獲取初始存取權限。隨後，他們運用零日漏洞在短時間內提升權限，取得對企業內部網絡的高階權限，並深度滲透至關鍵系統中。

在攻擊過程中，Hunters使用的多階段惡意程式具備自我掩蔽和逆向分析防禦功能，能有效躲避傳統的防毒軟體及行為分析系統。該程式一旦部署成功，會進行橫向移動（Lateral Movement），藉由破解內部憑證和提權工具，持續擴展感染範圍，並搜集公司敏感資料。攻擊的目標包括技術文件、客戶資料，以及供應鏈合約資訊等高度機密的商業資料。

Hunters並非首次鎖定台灣企業，該組織過去曾多次針對台灣的重要企業進行網路攻擊，企圖竊取核心資料並施壓勒索。曾遭攻擊的台灣企業包括電子製造龍頭、半導體供應鏈關鍵廠商及高科技研發公司，這些企業均承擔著台灣高價值技術資產的重任。

此事件突顯出台灣高科技產業在面對國際性駭客組織的威脅下，必須迅速提升資安防護能力。建議企業應部署針對零日漏洞的快速應變機制、強化多層次的資安偵測架構，並提升員工的資安意識，以應對新一代攻擊手法的挑戰。

Hunters International的部分的入侵指標（IOCs）:

09b5e780227caa97a042be17450ead0242fd7f58f513158e26678c811d67e264

d2e7729c64c0dac2309916ce95f6a8253ca7f3c7a2b92b452e7cfb69a601fbf6

b57ec2ea899a92598e8ea492945f8f834dd9911cff425abf6d48c660e747d722

9a8967e9e5ed4ed99874bfed58dea8fa7d12c53f7521370b8476d8783ebe5021

3f1443be65525bd71d13341017e469c3e124e6f06b09ae4da67fdeaa6b6c381f

223aa5d93a00b41bf92935b00cb94bb2970c681fc44c9c75f245a236d617d9bb

今年4月中旬經濟日報、工商時報皆報導國內電子零組件大廠群光電子遭駭客組織Hunters International 入侵，約1.2TB、414萬個檔案被竊取並加密鎖住。相隔不到一個月，大紀元時報報導Hunters International於5月中旬駭進台塑美國取得1.2TB約230萬份資料，包含訴訟文件、PII(個人識別資訊)、訴財務數、客戶數據和技術數據等。昨天(5/23) 竣盟科技在暗網發現Hunters International已公佈駭進國際知名GPU半導體大廠 NVIDIA的某合格供應鏈國內廠商(專營電子連接器/線組) 並竊取435GB的資料，約53萬個檔案。值得一提的是，Hunters International 已把檔案設置為”View”供任何可連結到其暗網的人下載。

Hunters International 近期對台的駭動異常頻繁，從台灣知名的IPO製造、代工大廠甚至到供應商做整體產業鏈入侵，竊取資料並加密鎖住資料，企圖威脅造成產業營運損失（包含重要資訊外洩）企業競爭力受影響。

Hunters International 是一個勒索軟體組織，以其廣泛而具影響力的攻擊聞名。他們針對包括醫療保健、汽車、製造、物流、金融服務、教育和食品等多個行業，展示了他們廣泛而機會主義的方法，以最大化他們的贖金要求。該組織使用各種策略和技術，借鑒了 Hive 勒索軟體的操作手冊，同時進行修改以提高可靠性和功能性。Hunters International的勒索軟體可以在 Windows 和 Linux 環境中加密檔案，在受影響的檔案上添加“.LOCKED” 副檔名，並將「Contact Us.txt」檔案留在目錄中，指導受害者如何在暗網上發起協商。

Hunters International 有一個專用洩漏站點數據洩露網站（Dedicated Leak Site-DLS），並根據國家列出受害者，利用這個平台通過威脅暴露敏感數據來壓迫受害者支付贖金。這個網站還有助於提高他們在網絡犯罪社區中的聲譽。有趣的是，Hunters International最近將他們的 DLS 移至一個表網網域名，該網域原本在2017年至2021年是合法的網站，現已被改用於Hunters International的惡意活動，該網站使用欺騙策略來掩蓋他們的真實身份，並且有跡象表明他們與尼日利亞和可能的俄羅斯有聯繫。

Hunters International勒索軟體使用各種命令行參數來實現功能和靈活性，包括指定用戶憑證進行通信、啟動日誌記錄和設置文件加密參數。他們還有一種攻擊模式，可以禁用備份和終止進程，以防止數據恢復。總而言之，Hunters International 的活動突顯了勒索軟體威脅的持久性和不斷演變的性質，強調了需要強大的網路安全措施、定期數據備份以及與執法部門的合作以減少風險。

無論是半導體或晶圓製造甚至零組件供應商，都是台灣當前重要的產業。高科技精密產業的相關數據資料是產業的核心競爭關鍵，如何做好資訊安全防護絕對是各資訊長的當務之急。

有鑑於此，政府近年來密集要求及督導相關產業落實資安合規，就是希望透過資安合規協助企業做資安健診，讓企業了解自身資安漏洞後，進而建置完整的資安防禦。當企業與供應鏈廠商之間建構安全的資安防護網後，資安無慮產業運營更順利。

有關Hunters International的部分入侵指標(Indicator of compromise -IOCs):

94b6cf6c30f525614672a94b8b9788b46cbe061f89ccbb994507406404e027af

c4d39db132b92514085fe269db90511484b7abe4620286f6b0a30aa475f64c3e

hunters33mmcwww7ek7q5ndahul6nmzmrsumfs6aenicbqon6mxfiqyd.onion

hunters55rdxciehoqzwv7vgyv6nt37tbwax2reroyzxhou7my5ejyid.onion

Hunters International捲土重來傳出台灣上市網通設備大廠成為最新攻擊目標

Hunters International 近期密集入侵台灣上市製造與代工業恐引起產業供應鏈危機