Sofisticirana grupa ransomware-a poznata kao CrazyHunter pojavila se kao značajna prijetnja organizacijama, posebno onima u kritičnim infrastrukturnim sektorima Tajvana.
Ovaj novoidentifikovani haker provodi ciljane napade na zdravstvene ustanove, obrazovne institucije i industrijske organizacije od početka 2025. godine, pokazujući zabrinjavajući nivo operativne sofisticiranosti.
Kampanja koristi lako dostupne alate otvorenog koda sa GitHub-a, značajno snižavajući barijeru ulasku za izvođenje složenih operacija ransomware-a.
CrazyHunterova metodologija napada otkriva strateški pristup kompromitovanju mreža žrtava. Grupa koristi tehniku Bring Your Own Vulnerable Driver (BYOVD), koja im omogućava da zaobiđu sigurnosne mjere iskorišćavanjem legitimnih, ali ranjivih drajvera koji su već prisutni u sistemima.
To im omogućava da prekinu sigurnosne procese i implementiraju svoj teret ransomware- uz minimalnu detekciju.
Najviše zabrinjava njihov fokus na osnovne usluge na Tajvanu, potencijalno ometajući kritične operacije u zdravstvenim i obrazovnim sektorima.
Trend Micro istraživači su utvrdili da se otprilike 80% CrazyHunterovog kompleta alata sastoji od otvoreno dostupnih GitHub resursa koji su modifikovani kako bi se poboljšale njihove mogućnosti.
Analitičari su otkrili da se ovi alati koriste u dobro orkestriranom lancu napada dizajniranom posebno za ciljanje tajvanskih organizacija, o čemu svjedoče podaci o žrtvama i uključivanje “tw” u njihovu kontakt adresu e-pošte (payment[.]attacktw1337@proton[.]me).
Infrastruktura grupe otkriva metodičan pristup sajber napadima . Nakon što dobiju početni pristup, postavljaju više alata za onemogućavanje sigurnosnih mehanizama, uspostavljanje postojanosti i kretanje kroz mreže.
Nakon što steknu dovoljnu kontrolu, postavljaju svoj ransomware, šifruju datoteke sa ekstenzijom “.Hunter” i ostavljaju napomenu o otkupnini pod nazivom “Decryption Instructions.txt” dok također mijenjaju pozadinu radne površine žrtve kako bi se prikazali zahtjevi za otkupninom.
Jedan od najznačajnijih aspekata rada CrazyHunter-a je njihova metodologija izvršenja, koja koristi redundantne mjere kako bi se osigurala implementacija ransomware-a čak i ako primarne metode ne uspiju. Ovo pokazuje evoluirajuću sofisticiranost koja se rijetko viđa u novijim grupama ransomware-a.
Analiza izvršnog mehanizma
Srž CrazyHunter napada leži u njihovoj skripti za izvršavanje, batch fajlu koji orkestrira implementaciju više komponenti u nizu.
.webp)
Skripta počinje pokretanjem procesa koji iskorištavaju ranjivi Zemana Anti-Malware drajver (zam64.sys) za onemogućavanje sigurnosnih proizvoda:-
@echo off
start C:\Users\Public\go2.exe
timeout /t 10 /nobreak > nul
start C:\Users\Public\go.exe
timeout /t 10 /nobreak > nul
start C:\Users\Public\go3.exe
.webp)
Skripta uključuje mehanizme za rukovanje greškama koji provjeravaju da li je svaka komponenta uspješno izvršena, pokrećući alternativna opterećenja ako je potrebno.
Na primjer, ako go.exe ne uspije da se izvrši, skripta pokreće av-1m.exe da izvrši slične funkcije. Ovo osigurava da čak i ako su neke komponente blokirane, napad se nastavlja alternativnim putevima.
Nakon onemogućavanja sigurnosnih mjera , skripta nastavlja sa učitavanjem ransomware drajvera pomoću bb.exe, a zatim pokreće proces šifrovanja.
Sam ransomware je baziran na open-source programu Prince ransomware builderu, modifikovanom da se šifrovanim datotekama doda ekstenzija “.Hunter”.
Izvor: CyberSecurityNews