Charon勒索软件融合APT技术,中东公共部门与航空业遭精准打击
发布时间 2025-08-151. Charon勒索软件融合APT技术,中东公共部门与航空业遭精准打击
8月13日,网络安全机构趋势科技近日披露,一种名为Charon的新型勒索软件正以中东公共部门和航空业为目标发起攻击,其技术复杂度达到高级持续性威胁(APT)级别。研究显示,攻击者采用DLL侧载、进程注入及EDR逃避技术构建攻击链,与曾针对亚太政府目标的Earth Baxia APT组织存在显著技术重叠,但当前证据尚不足以确认直接关联。此次攻击以合法浏览器文件Edge.exe为入口,通过侧载恶意msedge.dll最终部署Charon勒索软件。该软件具备多重破坏性功能:终止安全服务、删除卷影副本与备份以阻碍恢复,采用多线程加密技术提升文件锁定效率,并集成基于开源Dark-Kill项目的驱动程序,可通过“自带易受攻击驱动程序(BYOVD)”攻击禁用EDR防护,尽管此次攻击中该功能未被触发,暗示其仍处于测试阶段。值得注意的是,攻击者使用定制化勒索信明确提及受害组织名称,证实此为针对性行动。尽管攻击链中二进制文件与Earth Baxia历史手法高度相似。目前缺乏共享基础设施或攻击模式等确凿证据,仅能判定存在“有限但显著的技术趋同”。
https://thehackernews.com/2025/08/charon-ransomware-hits-middle-east.html
2. Efimer木马横跨2024-2025年,全球五千用户陷复合型网络犯罪生态
8月13日,卡巴斯基近日披露,自2024年10月首次发现以来,Efimer木马病毒已持续活跃至2025年,通过伪造法律声明钓鱼邮件、入侵WordPress网站及恶意种子文件三大渠道,感染全球超过5000名用户,形成集加密货币窃取、网站暴力破解与垃圾邮件分发于一体的复合型网络犯罪生态。该木马的核心攻击手段包含三重维度:其一,通过伪装成企业律师的钓鱼邮件实施社会工程攻击,诱导受害者打开含多阶段脚本的附件,植入木马后以虚假错误信息掩盖活动痕迹;其二,针对WordPress网站发起暴力破解,利用维基百科词汇生成目标域名列表并测试大量密码,成功入侵后发布恶意文件或通过伪造电影种子传播另一Efimer变种,附带Tron、Solana等伪造钱包;其三,部署名为"Liame"的脚本从指定网站抓取邮件地址,构建精准诈骗目标库。数据显示,2024年10月至2025年7月间,巴西成为最大受害国,印度、西班牙、俄罗斯、意大利及德国紧随其后。
https://hackread.com/efimer-trojan-crypto-hacks-wordpress-torrents-phishing/
3. 墨西哥CFE 600GB数据泄露暴露关键电力基础设施网络风险
8月13日,研究人员近日披露,墨西哥国有电力公司联邦电力委员会(CFE)遭遇重大数据泄露事件,其网络和威胁警报日志通过第三方安全公司Teliko管理的Kibana实例公开暴露,数据量超过600GB。作为为墨西哥99%人口供电的核心能源机构,CFE此次泄密事件被评估为可能威胁全国电力供应安全的重大风险。泄露数据涵盖员工设备DNS查询记录、访问的URL、深度包检测(DPI)日志及反恶意软件工具生成的警报,时间跨度可追溯至2021年11月。这些日志由托管检测与响应(MDR)解决方案AIsaac生成,详细记录了CFE内部网络架构、易受攻击设备及服务列表。安全专家指出,攻击者可通过分析此类数据绘制CFE安全防御图谱,识别薄弱环节并实施精准攻击。除运营威胁外,员工互联网活动日志的泄露还构成隐私风险。攻击者可利用域名使用模式注册仿冒域名,结合泄露的内部工具信息发起高度逼真的鱼叉式网络钓鱼。
https://cybernews.com/security/cfe-data-leak-mexico-critical-infrastructure/
4. Crypto24勒索软件利用自定义EDR规避工具攻击大型组织
8月14日,2024年9月首次被曝光的Crypto24勒索软件组织虽未广为人知,但其针对全球金融、制造、科技等领域高价值目标的定向攻击已引发安全界关注。趋势科技研究表明,该组织很可能由知名勒索软件团伙前成员组建,展现出高度的技术成熟度与战术隐蔽性。其攻击链以定制化工具为核心,形成从初始入侵到数据外泄的全流程威胁体系。在入侵阶段,攻击者通过激活Windows默认管理员账户或创建新用户实现持久化访问,随后部署批处理脚本与系统枚举命令开展侦察,创建名为WinMainSvc的键盘记录服务与MSRuntime勒索软件加载器。为规避安全检测,该组织开发了RealBlindingEDR工具的变种,通过分析内核驱动元数据匹配硬编码厂商列表,涵盖趋势科技、卡巴斯基、SentinelOne等12家安全厂商,针对性禁用内核级防护钩子。数据窃取环节,Crypto24采用双重手段:键盘记录器伪装成"Microsoft Help Manager",捕获包括功能键在内的用户操作与窗口标题;横向移动则通过SMB共享实现,最终利用定制WinINET API工具将数据泄露至Google Drive。勒索阶段,攻击者在删除系统卷影副本后触发加密程序。
https://www.bleepingcomputer.com/news/security/crypto24-ransomware-hits-large-orgs-with-custom-edr-evasion-tool/
5. 加拿大下议院遭网络攻击数据泄露,微软漏洞成突破口
8月14日,加拿大下议院正调查一起网络攻击事件,攻击者通过利用微软近期披露的安全漏洞,成功窃取员工敏感信息并入侵管理下议院计算机及移动设备的核心数据库。据加拿大广播公司报道,下议院工作人员已于周一通过邮件收到违规通知,但官方尚未公开声明事件细节。此次攻击中,威胁行为者利用微软产品中的未修补漏洞获取数据库访问权限,盗取了包括员工姓名、职位、办公地点及电子邮件地址在内的非公开数据。下议院已敦促相关人员警惕利用被盗信息实施的欺诈行为,如冒充议员或进行诈骗。加拿大网络安全中心确认正在协助调查,但未将攻击归因于特定威胁组织,强调网络事件归因需耗费资源与时间,涉及多重复杂因素。值得注意的是,攻击者利用的漏洞可能与微软近期披露的两个高危漏洞相关:CVE-2025-53770(ToolShell)和CVE-2025-53786。其中,CVE-2025-53770自7月初起被多国威胁团体广泛利用;而CVE-2025-53786作为Microsoft Exchange漏洞,允许攻击者在云环境中横向移动,已被美国网络安全和基础设施安全局(CISA)列为紧急指令,要求非军事机构立即修补。
https://www.bleepingcomputer.com/news/security/canadas-house-of-commons-investigating-data-breach-after-cyberattack/
6. 挪威布雷芒格大坝遭亲俄黑客组织网络攻击
8月14日,挪威布雷芒格大坝于2025年4月遭遇亲俄黑客组织网络攻击,其关键数字控制系统被入侵,流出阀门被恶意打开,导致超过720万升(190万加仑)水流出。此次事件被挪威警察安全局(PST)视为俄罗斯对关键基础设施远程攻击能力的体现,但更倾向于是一次“能力展示”而非实质性破坏。据PST负责人贝娅特·甘加斯在阿伦达尔苏卡全国论坛上透露,黑客行为的核心目的并非直接造成物理损害,而是通过公开演示技术能力施加心理影响,在民众中制造恐惧与不确定性。这一判断与挪威国家刑事调查局(Kripos)的调查结论一致:黑客在Telegram平台发布了一段三分钟视频,展示大坝控制面板操作界面,并带有与亲俄网络犯罪组织关联的水印。此类行为此前曾与Sandworm (APT44) 等国家支持的组织有关,被用于夸大威胁声明,既羞辱受攻击方,又向西方传递网络战能力信号。事件中,大坝管理员耗时约四小时才发现阀门异常并修复设置,但泄漏已对局部水流调控产生影响。尽管挪威与俄罗斯未处于直接战争状态,但普京政权正通过混合战争手段维持对西方的紧张压力。
https://www.bleepingcomputer.com/news/security/pro-russian-hackers-blamed-for-water-dam-sabotage-in-norway/
京公网安备11010802024551号