2025年3月25日,喬山健康科技(Johnson Health Tech)確認遭受網路攻擊,疑似為CrazyHunter勒索軟體所為。這是繼今年2月馬偕醫院遭受同樣攻擊後,台灣又一知名企業成為CrazyHunter的攻擊目標。
2025年3月25日上午,社群平台X上出現貼文,指出喬山健康科技成為CrazyHunter的受害者。當日下午3時30分,喬山副總經理暨發言人羅雅芳證實確有事故發生,表示公司IT單位已在處理,後續將發布重大訊息說明。
隨後,喬山健康科技正式發布重大訊息,揭露公司總部與部分海外子公司內網遭受駭客攻擊,並有企圖登入其資訊系統的情況。公司表示,已立即啟動相關防禦機制,避免安全受到影響。
喬山健康科技在公告中強調,目前評估沒有個資外洩,也沒有機密或重要的文件資料外洩等情事發生,對公司營運無重大影響。公司已委託國際級網路資訊安全處理公司協助解決,並表示此事件後將持續提升網路與資訊基礎架構之安全控管,持續密切監控,以確保資訊安全。
巧合的是,喬山健康科技在攻擊事件發生前一天(3月24日)剛好在人力銀行網站刊登「總部資訊-資安主任工程師」的職缺。
CrazyHunter勒索軟體是什麼?
CrazyHunter是一個新興的勒索軟體犯罪組織。根據TeamT5分析,該組織自2025年2月開始積極活動。 與其他勒索軟體集團不同的是,目前已知的CrazyHunter受害單位都在台灣,顯示其可能專門針對台灣組織進行攻擊。
資安專家TeamT5推測,CrazyHunter攻擊者應該能夠理解中文,因此其攻擊手法對台灣企業特別具有針對性;竣盟科技則指出,該組織已在暗網設立官方網站,詳細列出其受害者名單、入侵證據以及相關「服務」資訊。
CrazyHunter主要攻擊台灣的醫療、學術與製造產業, 已知受害機構包括馬偕醫院、彰化基督教醫院、科定企業,以及最近的喬山健康科技。 受害單位多為支付意願較高的機構,如醫療與學術機構,以利用其對數據洩露的高度敏感性。
攻擊特點與技術能力
據披露,CrazyHunter的座右銘是 「There is no absolute safety(絕對的安全並不存在)。」 凸顯其核心理念:任何系統均無法實現絕對安全。
竣盟科技表示,CrazyHunter展現出高度組織化、技術先進且極具侵略性的行動模式,結合快速滲透、數據毀滅與品牌化犯罪運營,體現其高水準的攻擊計劃性與執行力。該組織也聲稱可在72小時內攻破企業防線,其技術優勢包括:
- 獨家漏洞利用:漏洞在被修補或失效之前的持續時間比MITRE的估計值高出300%以上
- 能繞過主流端點防護系統,包括CrowdStrike、SentinelOne、Microsoft Defender XDR等
- 混合攻擊策略:結合零日漏洞(Zero-day)與已知漏洞(N-day)
- 檔案無痕攻擊(Fileless Attack),繞過傳統偵測機制
- 變形惡意軟體(Polymorphic Malware),透過自我調整規避安全防護
解密CrazyHunter攻擊4階段
勒索軟體攻擊通常分為四個主要階段,CrazyHunter的攻擊也遵循類似模式:
滲透(Initial Access)
- 釣魚攻擊(Phishing):發送帶有惡意附件的電子郵件,或建立偽造登入頁面誘騙受害者輸入憑證。
- 漏洞利用:針對VPN、RDP、伺服器未修補的漏洞發動攻擊,直接入侵企業網路。
- 合法驅動程式濫用:使用合法但存在漏洞的驅動程式繞過端點防護機制。
橫向移動(Lateral Movement)
- 一旦進入系統,攻擊者會使用多種技術在網路內部擴散。特別針對Windows系統,尤其是企業網路內的AD伺服器。
- 利用AD GPO進行大規模自動化感染,迅速掌控企業內部網路。
數據竊取(Data Exfiltration)
- 竊取敏感資料,為後續勒索做準備。
勒索與威脅(Extortion)
- 採用「雙重勒索」(Double Extortion)策略,除了加密檔案外,還威脅公開或販售竊取的機密資料,例如在暗網或社群媒體上公開企業受害證據,以損害品牌聲譽。
如何防範CrazyHunter勒索攻擊?
資安專家鴻創資訊總經理陳建銘指出,CrazyHunter攻擊行動幾乎全面鎖定台灣組織與企業,這種情形極為罕見,顯示出特定威脅意圖。
而許多客戶仍存在迷思,認為做好EDR(端點偵測與回應)、MDR(受管式偵測與應對)等的防護即可,卻忽略未知防護的層面。台灣政府、資安業者與企業需共同警戒並應對,以提升資安防護能力,防止類似事件再度發生。
綜合資安專家分析,防範策略可分為以下五大層面:
一、強化網路安全
- 建立DNS(域名系統)保護措施:定期更新並封鎖已知的惡意網址和網域。
- 實施網路分段:使用防火牆區分核心網段,降低惡意程式橫向移動的風險6。
- 限制RDP(遠端桌面通訊)存取:只允許特定IP存取,降低遠端入侵風險。
二、系統和軟體管理
- 定期更新系統和軟體:及時修補已知漏洞,尤其是VPN、RDP和Windows伺服器。
- 部署先進的端點防護解決方案:如EDR/XDR系統,以監控和防禦異常行為。
- 實施多因素驗證(MFA):降低憑證被盜用的風險。
三、資料保護和備份
- 建立離線備份:確保備份數據完整性並異地存放。
- 實施勒索軟體緩解技術:即時備份並能夠快速恢復被加密的文件。
四、帳號和權限管理
- 建立AD(Active Directory)權限管理機制:定期審核權限變更,監控異常群組原則物件修改。
- 加強密碼安全:定期更換密碼,提高密碼強度,避免使用相同密碼管理多台伺服器。
五、員工教育和意識提升
- 進行資安教育訓練:提高員工對釣魚郵件和社交工程攻擊的警覺性。
- 定期進行社交工程演練:幫助員工學會辨識釣魚郵件。
本文初稿為AI編撰,整理.編輯/ 李先泰
