新型Android Hook恶意软件变种利用勒索软件锁定设备
发布时间 2025-08-281. 新型Android Hook恶意软件变种利用勒索软件锁定设备
8月26日,移动安全公司Zimperium近日发布警报,揭示其zLabs团队发现的新型Hook Android恶意软件变种已演变为集勒索、间谍和银行木马功能于一体的混合威胁。这款名为"Hook Version 3"的恶意软件通过钓鱼攻击和GitHub等公共平台传播,标志着移动威胁进入更危险的阶段。研究显示,Hook 3.0支持多达107个远程命令(较旧版本新增38个),赋予攻击者对设备前所未有的控制权。其核心攻击手段包括:通过诱导用户启用Android辅助功能(Accessibility Service)实现自动化恶意操作;利用虚假透明屏幕覆盖技术窃取PIN码、信用卡信息及敏感数据,例如伪造Google Pay界面或NFC提示;更引入动态勒索功能,可全屏显示从远程服务器加载的赎金要求,钱包地址和金额实时更新,极大增强攻击适应性。值得注意的是,该恶意软件不仅具备实时传输设备活动的能力,还通过GitHub等平台托管恶意文件,显著降低传播门槛。
https://hackread.com/android-hook-malware-variant-locks-devices-ransomware/
2. CISA将Citrix与Git高危漏洞添加到已知利用漏洞目录
8月26日,美国网络安全与基础设施安全局(CISA)近日将三个高危漏洞纳入其已知被利用漏洞(KEV)目录,涉及Citrix会话记录系统和Git版本控制工具,并依据《约束性运营指令(BOD)22-01》要求联邦机构在2025年9月15日前完成修复。此次更新凸显了混合办公环境下企业基础设施面临的新型攻击面风险。此次收录的漏洞包括两个Citrix Session Recording缺陷和一个Git配置漏洞。CVE-2024-8069(CVSS 5.1)为反序列化漏洞,允许同一内网中已通过身份验证的用户利用NetworkService账户权限执行受限远程代码,但需攻击者预先获得内网访问权限。其"兄弟漏洞"CVE-2024-8068(CVSS 5.1)则涉及权限提升,攻击者需与会话记录服务器处于同一Windows Active Directory域,通过不当权限管理获取更高系统权限。更具广泛影响的是Git漏洞CVE-2025-48384(CVSS 8.1)。攻击者可构造包含特殊CR字符的恶意子模块路径,并通过符号链接指向子模块hooks目录。一旦开发者克隆此类恶意仓库,子模块初始化时将自动触发hooks目录中的恶意post-checkouthook脚本,实现无感知的远程代码执行。
https://securityaffairs.com/181551/uncategorized/u-s-cisa-adds-citrix-session-recording-and-git-flaws-to-its-known-exploited-vulnerabilities-catalog.html
3. Qilin勒索组织宣称入侵知名公关公司Singer Associates
8月28日,知名危机公关公司Singer Associates遭遇勒索软件组织Qilin的网络攻击,该事件引发对网络安全与商业伦理的双重关注。Qilin团伙在其暗网泄露平台发布公告,宣称成功入侵Singer Associates系统,并公开部分据称窃取的数据片段,包括法律文件截图及内部档案。该组织在声明中指控Singer存在"操纵选民方案、伪造信息、欺骗客户"等不道德行为,声称已获取"包含公司全部内部运作的档案",涉及其为雪佛龙、拜耳、爱彼迎等跨国企业服务的战略细节。尽管数据真实性尚未通过完整样本验证,但Cybernews研究团队分析指出,泄露文件显示Singer曾为能源巨头雪佛龙制定应对厄瓜多尔污染诉讼案的舆论操控方案,包括监控环保活动人士及调查资助方动向。据Cybernews暗网监控数据显示,Qilin在过去12个月内攻击至少503家机构,受害者涵盖制药、能源、媒体、医疗等多个领域。
https://cybernews.com/security/singer-associates-ransomware-attack-qilin/
4. ShadowSilk利用Telegram机器人攻击亚太地区的35个组织
8月27日,网络安全公司Group-IB近日披露名为ShadowSilk的新型威胁组织在中亚及亚太地区(APAC)针对政府机构发起定向攻击,该组织已渗透超过30个目标,核心动机为数据窃取。其技术栈与工具集与YoroTrooper、SturgeonPhisher及Silent Lynx等已知黑客团体存在显著重叠,攻击范围覆盖乌兹别克斯坦、吉尔吉斯斯坦、缅甸、塔吉克斯坦、巴基斯坦及土库曼斯坦,除政府机构外,能源、制造、零售和运输业实体亦遭波及。攻击手法方面,ShadowSilk延续了YoroTrooper的技术脉络,初始入侵通过鱼叉式钓鱼邮件投递受密码保护的压缩文件,释放自定义加载器后,将命令控制(C2)流量伪装为Telegram机器人通信以规避检测。攻击者通过修改Windows注册表实现持久化驻留,并利用Drupal(CVE-2018-7600/7602)和WP-Automatic插件漏洞(CVE-2024-27956)扩大攻击面。其工具链涵盖网络扫描(FOFA、Fscan等)、漏洞利用框架(Metasploit、Cobalt Strike)及暗网获取的JRAT和Morf Project控制面板,数据窃取环节则部署定制工具提取Chrome密码存储文件及解密密钥。
https://thehackernews.com/2025/08/shadowsilk-hits-36-government-targets.html
5. 微软揭示Storm-0501黑客转向云端勒索软件攻击
8月27日,微软近日发布报告,揭示长期活跃的勒索软件组织Storm-0501已彻底转型,从传统本地加密攻击转向基于云的复杂数据勒索模式。Storm-0501的最新攻击链聚焦混合云环境,通过入侵Microsoft Defender漏洞获取Active Directory与Entra ID租户控制权。攻击者首先利用窃取的目录同步账户(DSA)结合AzureHound工具枚举用户权限与Azure资源,最终锁定缺乏多因素认证(MFA)的全局管理员账户。通过重置管理员密码并滥用Microsoft.Authorization/elevateAccess/action接口,攻击者将自身提升至Azure所有者角色,全面接管受害者云环境。掌控云端权限后,Storm-0501展开三阶段破坏:首先禁用安全防御系统,其次窃取Azure存储账户中的敏感数据,最后通过破坏存储快照、恢复保管库及备份节点,阻断受害者数据恢复路径。若备份无法删除,攻击者则创建新密钥库与客户管理密钥,直接加密云数据实现"云端锁定"。完成数据窃取与加密后,威胁组织通过被控的Microsoft Teams账户联系受害者,正式提出赎金要求。
https://www.bleepingcomputer.com/news/security/storm-0501-hackers-shift-to-ransomware-attacks-in-the-cloud/
6. 瑞典市政IT巨头遭勒索攻击,200余地区服务瘫痪
8月27日,瑞典重要市政系统供应商Miljödata 近日遭遇重大网络攻击,导致全国200多个地区公共服务受阻,并引发敏感数据泄露风险。该公司为瑞典约80%的市政机构提供工作环境与人力资源管理系统,涉及医疗证明处理、职业伤害申报、康复案例管理等核心公共服务。攻击发生于周末,首席执行官Erik Hallén于8月25日证实系统瘫痪,并表示正与外部专家合作调查事件影响范围、恢复系统功能并确认受害者信息。勒索软件团伙向该公司索要1.5比特币(约合16.8万美元)赎金,威胁不付款将公开窃取的数据。据当地媒体报道,哈兰、哥特兰、谢莱夫特奥等多地市政已发布公告,警告公民敏感个人信息可能遭泄露。瑞典民防部长Carl-Oskar Bohlin通过社交平台表示,政府正联合网络安全应急机构CERT-SE评估事件影响,警方亦介入调查,但目前尚未明确实际后果范围。此次攻击导致Miljödata 官方网站离线,其电子邮件服务器亦处于瘫痪状态,进一步加剧了沟通与恢复难度。
https://www.bleepingcomputer.com/news/security/it-system-supplier-cyberattack-impacts-200-municipalities-in-sweden/
京公网安备11010802024551号