喬山健康科技遭駭！疑為勒索組織「襲台第4例」：CrazyHunter是誰？如何防範網攻？

2025年3月25日，喬山健康科技（Johnson Health Tech）確認遭受網路攻擊，疑似為CrazyHunter勒索軟體所為。這是繼今年2月馬偕醫院遭受同樣攻擊後，台灣又一知名企業成為CrazyHunter的攻擊目標。

2025年3月25日上午，社群平台X上出現貼文，指出喬山健康科技成為CrazyHunter的受害者。當日下午3時30分，喬山副總經理暨發言人羅雅芳證實確有事故發生，表示公司IT單位已在處理，後續將發布重大訊息說明。

隨後，喬山健康科技正式發布重大訊息，揭露公司總部與部分海外子公司內網遭受駭客攻擊，並有企圖登入其資訊系統的情況。公司表示，已立即啟動相關防禦機制，避免安全受到影響。

喬山健康科技在公告中強調，目前評估沒有個資外洩，也沒有機密或重要的文件資料外洩等情事發生，對公司營運無重大影響。公司已委託國際級網路資訊安全處理公司協助解決，並表示此事件後將持續提升網路與資訊基礎架構之安全控管，持續密切監控，以確保資訊安全。

掌握最新AI、半導體、數位趨勢！訂閱《數位時代》日報及社群活動訊息

謝謝訂閱😊
祝你有美好的一天

gmail.com

hotmail.com.tw

yahoo.com.tw

請稍等

喬山重訊表示，目前評估沒有個資、亦沒有機密或重要的文件資料外洩等情事。

圖／ 公開資訊觀測站

巧合的是，喬山健康科技在攻擊事件發生前一天（3月24日）剛好在人力銀行網站刊登「總部資訊-資安主任工程師」的職缺。

CrazyHunter勒索軟體是什麼？

CrazyHunter是一個新興的勒索軟體犯罪組織。根據TeamT5分析，該組織自2025年2月開始積極活動。 與其他勒索軟體集團不同的是，目前已知的CrazyHunter受害單位都在台灣，顯示其可能專門針對台灣組織進行攻擊。

資安專家TeamT5推測，CrazyHunter攻擊者應該能夠理解中文，因此其攻擊手法對台灣企業特別具有針對性；竣盟科技則指出，該組織已在暗網設立官方網站，詳細列出其受害者名單、入侵證據以及相關「服務」資訊。

CrazyHunter的攻擊模式，技術上可細分為10個步驟。

圖／ Team T5

CrazyHunter主要攻擊台灣的醫療、學術與製造產業， 已知受害機構包括馬偕醫院、彰化基督教醫院、科定企業，以及最近的喬山健康科技。 受害單位多為支付意願較高的機構，如醫療與學術機構，以利用其對數據洩露的高度敏感性。

攻擊特點與技術能力

據披露，CrazyHunter的座右銘是 「There is no absolute safety（絕對的安全並不存在）。」 凸顯其核心理念：任何系統均無法實現絕對安全。

竣盟科技表示，CrazyHunter展現出高度組織化、技術先進且極具侵略性的行動模式，結合快速滲透、數據毀滅與品牌化犯罪運營，體現其高水準的攻擊計劃性與執行力。該組織也聲稱可在72小時內攻破企業防線，其技術優勢包括：

1. 獨家漏洞利用：漏洞在被修補或失效之前的持續時間比MITRE的估計值高出300%以上
2. 能繞過主流端點防護系統，包括CrowdStrike、SentinelOne、Microsoft Defender XDR等
3. 混合攻擊策略：結合零日漏洞（Zero-day）與已知漏洞（N-day）
4. 檔案無痕攻擊（Fileless Attack），繞過傳統偵測機制
5. 變形惡意軟體（Polymorphic Malware），透過自我調整規避安全防護

解密CrazyHunter攻擊4階段

勒索軟體攻擊通常分為四個主要階段，CrazyHunter的攻擊也遵循類似模式：

滲透（Initial Access）

• 釣魚攻擊（Phishing）：發送帶有惡意附件的電子郵件，或建立偽造登入頁面誘騙受害者輸入憑證。
• 漏洞利用：針對VPN、RDP、伺服器未修補的漏洞發動攻擊，直接入侵企業網路。
• 合法驅動程式濫用：使用合法但存在漏洞的驅動程式繞過端點防護機制。

橫向移動（Lateral Movement）

• 一旦進入系統，攻擊者會使用多種技術在網路內部擴散。特別針對Windows系統，尤其是企業網路內的AD伺服器。
• 利用AD GPO進行大規模自動化感染，迅速掌控企業內部網路。

數據竊取（Data Exfiltration）

• 竊取敏感資料，為後續勒索做準備。

勒索與威脅（Extortion）

• 採用「雙重勒索」（Double Extortion）策略，除了加密檔案外，還威脅公開或販售竊取的機密資料，例如在暗網或社群媒體上公開企業受害證據，以損害品牌聲譽。

如何防範CrazyHunter勒索攻擊？

資安專家鴻創資訊總經理陳建銘指出，CrazyHunter攻擊行動幾乎全面鎖定台灣組織與企業，這種情形極為罕見，顯示出特定威脅意圖。

而許多客戶仍存在迷思，認為做好EDR（端點偵測與回應）、MDR（受管式偵測與應對）等的防護即可，卻忽略未知防護的層面。台灣政府、資安業者與企業需共同警戒並應對，以提升資安防護能力，防止類似事件再度發生。

綜合資安專家分析，防範策略可分為以下五大層面：

一、強化網路安全

1. 建立DNS（域名系統）保護措施：定期更新並封鎖已知的惡意網址和網域。
2. 實施網路分段：使用防火牆區分核心網段，降低惡意程式橫向移動的風險6。
3. 限制RDP（遠端桌面通訊）存取：只允許特定IP存取，降低遠端入侵風險。

二、系統和軟體管理

1. 定期更新系統和軟體：及時修補已知漏洞，尤其是VPN、RDP和Windows伺服器。
2. 部署先進的端點防護解決方案：如EDR/XDR系統，以監控和防禦異常行為。
3. 實施多因素驗證（MFA）：降低憑證被盜用的風險。

三、資料保護和備份

1. 建立離線備份：確保備份數據完整性並異地存放。
2. 實施勒索軟體緩解技術：即時備份並能夠快速恢復被加密的文件。

四、帳號和權限管理

1. 建立AD（Active Directory）權限管理機制：定期審核權限變更，監控異常群組原則物件修改。
2. 加強密碼安全：定期更換密碼，提高密碼強度，避免使用相同密碼管理多台伺服器。

五、員工教育和意識提升

1. 進行資安教育訓練：提高員工對釣魚郵件和社交工程攻擊的警覺性。
2. 定期進行社交工程演練：幫助員工學會辨識釣魚郵件。

延伸閱讀：momo年收創新高、年增率卻寫新低！為什麼？富邦媒總經理揭2大關鍵因素

資料來源：Team T5、竣盟科技

本文初稿為AI編撰，整理．編輯/ 李先泰