每周安全速递³⁵⁴ | Charon勒索软件攻击中东公共与航空部门
发布时间:2025-08-25
阅读次数: 69 次
网络安全公司Trend Micro披露,一种名为“Charon”的新型勒索软件针对中东公共部门与航空业发起攻击,展现APT级别的隐蔽与规避技术。攻击链利用DLL侧加载、进程注入及EDR绕过手段,与疑似关联组织Earth Baxia的战术相似。恶意程序通过伪装Edge.exe加载恶意DLL,再部署勒索载荷,终止安全进程、删除备份并使用多线程与部分加密加速加锁过程。攻击还引入未触发的BYOVD功能以禁用EDR,并使用定制化赎金信直指受害组织,显示针对性极强。尽管归因尚不明确,该行动反映了勒索软件正日益吸收国家级攻击手法,提升了组织面临的威胁等级。
https://thehackernews.com/2025/08/charon-ransomware-hits-middle-east.html
网络安全公司Profero在一起2023年的事件响应中成功破解了与伊朗支持的MuddyWater组织相关的DarkBit勒索软件加密机制,帮助受害者在未支付赎金的情况下恢复VMware ESXi服务器数据。该攻击被认为与当年针对伊朗国防部军工厂的无人机袭击有关,攻击者以“亲伊朗黑客”名义发表反以色列声明,并要求80枚比特币赎金,但未与受害方谈判。Profero发现DarkBit密钥生成熵值低,结合VMDK文件已知头部特征,通过高性能运算进行有限范围暴力破解,同时利用VMDK稀疏文件特性直接提取未加密数据。该案例凸显了攻击更偏向政治破坏而非经济勒索。
https://www.bleepingcomputer.com/news/security/muddywaters-darkbit-ransomware-cracked-for-free-data-recovery/
WinRAR零日漏洞被利用传播RomCom勒索软件
安全公司ESET披露,流行压缩工具WinRAR存在零日漏洞CVE-2025-8088,被疑与俄罗斯有关的网络间谍组织利用,通过钓鱼邮件传播RomCom后门程序。该漏洞属于路径遍历缺陷,攻击者可借此将恶意文件写入系统启动文件夹,实现任意代码执行。RomCom具备窃取敏感数据和安装其他恶意程序的能力,对欧洲和北美用户威胁尤甚。ESET研究人员指出,该组织曾在2024年底利用浏览器漏洞发动攻击。目前,WinRAR已发布7.13版本修复此问题,但因不具备自动更新功能,用户需手动升级,否则仍面临风险。
https://hackread.com/winrar-zero-day-cve-2025-8088-spread-romcom-malware/
BlackSuit勒索团伙被摧毁前获赎金3.7亿美元
美国国土安全调查局(HSI)披露,俄罗斯网络犯罪组织BlackSuit与Royal勒索团伙自2022年以来已攻击美国逾450家机构,涵盖医疗、教育、能源、政府等领域,并通过加密货币赎金获利超3.7亿美元。该团伙的服务器、域名及洗钱工具于上月在全球协作下被查封,其数据泄露站点自7月24日起显示查封公告。尽管行动有效破坏了其技术基础设施,但专家指出,团伙成员早在行动前已转移并弃用BlackSuit品牌,改用INC勒索软件继续活动,削弱了此次打击的长期影响。
https://cyberscoop.com/blacksuit-royal-ransomware-450-us-victims/
Flashpoint报告显示,2025年上半年全球网络威胁显著加速,勒索软件受害者数量同比增长179%,数据泄露上升235%,信息窃取类恶意软件造成的凭证盗取激增800%,使“身份”成为主要攻击向量。研究发现,信息窃取程序已感染270万台系统,导致2.04亿条凭证外泄,并被广泛用于后续勒索或间谍活动。今年还出现多起利用窃取凭证入侵大型企业的案例,包括西班牙电信巨头Telefónica与法国Orange。攻击手段不断演化,甚至借助AI生成视频在TikTok诱导受害者执行恶意代码。报告警告,漏洞利用、凭证交易与恶意软件即服务的结合,使全球网络安全形势更趋严峻。
https://flashpoint.io/blog/flashpoint-2025-global-threat-intelligence-index-midyear/
浙公网安备 33010502006954号 
