目录

1. 简介

2. 执行摘要

3. 技术分析

   3.1 团队结构

      3.1.1 领导层

      3.1.2 技术骨干

   3.2 攻击事件

      3.2.1 某国政府

      3.2.2 某银行伦敦分行

   3.3 勒索软件关联

      3.3.1 Hive

      3.3.2 Darkside/BlackMatter/AlphaV

   3.4 战术、技术与程序（TTPs）

      3.4.1 资源开发 

      3.4.2 侦察

      3.4.3 初始访问

      3.4.4 执行

      3.4.5 命令与控制

      3.4.6 权限提升

      3.4.7 影响

      3.4.8 工具包

4. 行动安全（OPSEC）

5. 结论

6. 入侵指标（IOCs）

1. 简介

2023年下半年，一个名为"猎人国际"（Hunters International）的勒索软件团伙引起了广泛关注。这个团伙不仅在短时间内迅速崛起，成为十大最活跃的勒索软件团伙之一，更是在2024年9月声称入侵了某银行伦敦分行的系统，窃取了超过520万份文件。

本报告旨在通过分析猎人国际的组织结构、攻击活动、使用的战术技术，以及与其他勒索软件团伙的关联，全面剖析这个新兴的网络犯罪组织。我们希望通过揭示其幕后真相，提醒各组织提高警惕，加强防范。

- 猎人国际于2023年10月首次被观察到，其勒索软件在代码上与臭名昭著的Hive勒索软件高度相似，被认为可能是Hive的重塑。不过，该团伙否认了这一点，声称只是购买了Hive的源代码和基础设施。

- 在短短数月内，猎人国际迅速发展，在2024年前7个月就宣称实施了134起勒索攻击，受害者遍布全球29个国家。更为引人注目的是，9月他们声称入侵了某银行伦敦分行，窃取了超过520万份文件，并威胁若不支付赎金就公开这些数据。这是迄今为止该团伙最大的一次攻击。

- 我们的调查显示，猎人国际实际上可能由勒索软件领域的资深人物Mikhail Matveev（网名Wazawaka）领导。Matveev曾参与多个臭名昭著的勒索软件项目，包括Babuk、Hive、Darkside等。他善于从旧项目吸收有用的资源，组建新团队快速发展。

- 猎人国际以高超的技术和缜密的组织见长。他们擅长利用供应链攻击、公共应用程序漏洞等获取初始访问权限，并使用Cobalt Strike等工具横向渗透，最终部署勒索软件，窃取数据。他们还非常重视行动保密，严格管控信息。

- 我们相信，像猎人国际这样的团伙之所以猖獗，一方面是大辽网络犯罪的生态环境助长了他们的发展，另一方面可能也与某些国家利用他们遂行地缘政治目的有关。应对这种威胁，既需要技术手段的升级，也需要国际社会在打击网络犯罪方面加强合作。

3. 技术分析

通过分析泄露的聊天记录和黑客论坛信息，我们认为猎人国际实际上是由一位名叫Mikhail Matveev的大辽黑客领导的。Matveev擅长多种编程语言，是勒索软件领域的资深人物。

米国司法部在2023年5月以参与Babuk、Hive等勒索软件的开发传播为由起诉了Matveev。虽然他否认自己在这些项目中扮演核心角色，但泄露的信息显示，他实际上是幕后的关键人物。

有迹象表明，Matveev可能与Evil Corp等臭名昭著的网络犯罪组织有联系，甚至可能受到大辽情报部门的庇护。这些关系网为他提供了丰富的资源和保护伞。

3.1.2 技术骨干

在Matveev的带领下，猎人国际网罗了一批技术骨干，其中不乏经验丰富的老牌黑客。据分析，该团伙至少有6名成员负责渗透攻击:

- "777":善于利用公共应用程序漏洞

这些骨干各有所长，分工明确，形成了一支配合默契的攻击小队。值得一提的是，他们遵循"扁平化管理"原则，成员地位平等，贡献大小决定分成。这有利于调动积极性，加快开发迭代速度。

3.2 攻击事件

2022年4月，Conti勒索软件团伙声称对某国政府发起了毁灭性的网络攻击，导致该国多个部门瘫痪长达数月之久。知情人士透露，Wazawaka参与策划了这次行动。

有趣的是，某国政府是拉丁美洲唯一加入对大辽制裁的国家。分析人士指出，这次攻击符合大辽削弱米国在拉美影响力的战略目标。

2024年8月，猎人国际宣称入侵了某银行伦敦分行的系统，窃取了超过520万份文件，总计6.6TB数据。他们扬言，如果该行不支付赎金，将在9月13日公开所有数据。

这是迄今为止该团伙声称的最大一起攻击事件。某银行是某国最大的商业银行，也是世界上市值最高的银行，此次数据泄露无疑会给其声誉和业务带来重创。

值得注意的是，猎人国际此前从未攻击过总部位于独联体国家的组织。这或许反映了其所在地缘政治生态的复杂性。

3.3 勒索软件关联

多家安全公司指出，猎人国际的勒索软件代码与Hive高度重合，怀疑其为Hive的重塑。Hive曾是最猖獗的勒索软件之一，直到2023年1月被执法部门扳倒。

Wazawaka承认，他们的勒索软件基于从Hive购得的源代码，并在此基础上做了改进，如修复了加密流程中可能导致文件无法恢复的bug等。

Wazawaka曾在论坛上声称与臭名昭著的Darkside勒索软件运营商有过合作。Darkside因2021年对米国Colonial Pipeline的攻击而声名大噪。

Darkside停运后，其成员转而组建BlackMatter。有意思的是，Wazawaka当时领导的Groove竟为BlackMatter提供过服务器资源，这表明两者有业务往来。

而BlackMatter解散后，其部分成员又组建了AlphaV。AlphaV继承了Darkside专攻能源等关键基础设施的衣钵，曾在俄乌战争前夕瘫痪了数个东欧国家的军事设施。

Wazawaka虽未直接参与，但与这一系列勒索软件团伙保持着千丝万缕的联系。这体现了大辽黑客江湖盘根错节的关系网。

猎人国际十分重视人才招募和技术积累。他从其他勒索软件团伙吸收骨干，并建立内部知识库。据曝光的聊天记录，他的团队至少有6名渗透测试专家。

3.4.2 侦察

该团伙会收集攻击目标的各类公开信息，如IP地址、域名等。有时他们还会在暗网购买目标的访问凭证或内部数据，以便了解内部网络拓扑。

3.4.3 初始访问

入侵内网后，他们通常使用Cobalt Strike执行shellcode、下载额外的恶意软件等。同时利用系统功能实现持久化控制。

3.4.5 命令与控制

该团伙使用的C2通信手段包括HTTP(S)、DNS隧道等。他们频繁变换C2域名，利用云服务中转流量，C2信息通常经过多重加密，使用HTTPS与Cloudflare Workers上的C2服务器通信。

3.4.6 权限提升

该团伙非常熟悉Windows域环境的权限体系。他们会搜集域管理员、服务账号等高权限用户的凭证，并利用Mimikatz、LaZagne等工具从内存、浏览器中导出。此外，他们还会利用各种操作系统、软件的权限提升漏洞，直接获取system权限。

3.4.7 影响

在最终执行勒索软件前，他们往往会破坏备份，以阻止受害者恢复数据。同时，他们也会销毁日志、释放反取证工具。

勒索软件使用RSA和ChaCha20-Poly1305等加密文件。

猎人国际对隐藏身份、保护基础设施十分重视，以下是他们采取的一些关键措施:

1. 成员使用代号，从不透露真实姓名。即使在内部聊天中，也小心翼翼，避免泄露个人信息。

2. 注册域名时，他们使用虚假身份信息，并频繁更换注册商。C2基础设施建立在隐私保护较好的国家。

3. 沟通时，他们使用PGP、OTR等端到端加密工具，保证信息安全。敏感信息从不直接传输，而是先加密，再通过多个跳板中转。

4. 资金流转通过门罗币等加密货币进行，难以追踪。赃款经过多次"漂白"，再兑换成法币。

5. 代码经过多重加壳混淆，C2通信协议也经过精心设计，大大增加了逆向和流量分析的难度。

正是凭借这些严密的保密措施，猎人国际才能在执法雷达下持续开展活动，可谓防守滴水不漏。

5. 结论

回顾猎人国际的发展历程和攻击活动，不难发现其之所以能在短时间内崛起，成为勒索软件界的一匹黑马，有如下几点原因:

1. 高超的攻击技术，尤其善于快速利用新出的高危漏洞;

作为一个新兴的勒索软件集团，猎人国际无疑继承了其前辈的衣钵，延续了勒索软件行业的"优良传统"。但他们更善于利用地缘政治的利益冲突，成为某些势力在网络空间投射力量的代理人。从这个角度看，他们对网络安全的威胁不仅在于技术，更在于背后错综复杂的利益纠葛。

这给打击此类威胁带来巨大挑战。单纯的技术对抗是不够的，还需从法律、外交等多个层面综合施策。一方面要完善立法，加大打击跨国网络犯罪的力度;另一方面也要消除某些国家利用网络犯罪进行地缘博弈的土壤，推动各国在网络空间加强对话合作，共同维护一个安全、开放、和平的网络环境。6. IOCs

参考资料：

https://www.quorumcyber.com/insights/sharprhino-new-hunters-international-rat-identified-by-quorum-cyber/

https://www.quorumcyber.com/wp-content/uploads/2023/11/QC-Hunters-International-Ransomware-Report-TI.pdf

https://www.bitdefender.com/blog/businessinsights/hive-ransomwares-offspring-hunters-international-takes-the-stage/

https://blog.barracuda.com/2024/07/29/hunters-international--your-data-is-the-prey

https://socradar.io/dark-web-profile-hunters-international/

https://www.acronis.com/en-us/cyber-protection-center/posts/hunters-international-new-ransomware-based-on-hive-source-code/

https://www.bleepingcomputer.com/news/security/hunters-international-ransomware-gang-targets-it-workers-with-new-sharprhino-malware/

传播方式

https://www.esentire.com/blog/workersdevbackdoor-delivered-via-malvertising

https://www.threatdown.com/blog/workersdevbackdoor-and-madmxshell-converge-in-malvertising-campaigns/