每周安全速遞3?? | Charon勒索軟件攻擊中東公共與航空部門
發布時間:2025-08-25
閱讀次數: 451 次
網絡安全公司Trend Micro披露,一種名為“Charon”的新型勒索軟件針對中東公共部門與航空業發起攻擊,展現APT級別的隱蔽與規避技術。攻擊鏈利用DLL側加載、進程注入及EDR繞過手段,與疑似關聯組織Earth Baxia的戰術相似。惡意程序通過偽裝Edge.exe加載惡意DLL,再部署勒索載荷,終止安全進程、刪除備份并使用多線程與部分加密加速加鎖過程。攻擊還引入未觸發的BYOVD功能以禁用EDR,并使用定制化贖金信直指受害組織,顯示針對性極強。盡管歸因尚不明確,該行動反映了勒索軟件正日益吸收國家級攻擊手法,提升了組織面臨的威脅等級。
https://thehackernews.com/2025/08/charon-ransomware-hits-middle-east.html
網絡安全公司Profero在一起2023年的事件響應中成功破解了與伊朗支持的MuddyWater組織相關的DarkBit勒索軟件加密機制,幫助受害者在未支付贖金的情況下恢復VMware ESXi服務器數據。該攻擊被認為與當年針對伊朗國防部軍工廠的無人機襲擊有關,攻擊者以“親伊朗黑客”名義發表反以色列聲明,并要求80枚比特幣贖金,但未與受害方談判。Profero發現DarkBit密鑰生成熵值低,結合VMDK文件已知頭部特征,通過高性能運算進行有限范圍暴力破解,同時利用VMDK稀疏文件特性直接提取未加密數據。該案例凸顯了攻擊更偏向政治破壞而非經濟勒索。
https://www.bleepingcomputer.com/news/security/muddywaters-darkbit-ransomware-cracked-for-free-data-recovery/
WinRAR零日漏洞被利用傳播RomCom勒索軟件
安全公司ESET披露,流行壓縮工具WinRAR存在零日漏洞CVE-2025-8088,被疑與俄羅斯有關的網絡間諜組織利用,通過釣魚郵件傳播RomCom后門程序。該漏洞屬于路徑遍歷缺陷,攻擊者可借此將惡意文件寫入系統啟動文件夾,實現任意代碼執行。RomCom具備竊取敏感數據和安裝其他惡意程序的能力,對歐洲和北美用戶威脅尤甚。ESET研究人員指出,該組織曾在2024年底利用瀏覽器漏洞發動攻擊。目前,WinRAR已發布7.13版本修復此問題,但因不具備自動更新功能,用戶需手動升級,否則仍面臨風險。
https://hackread.com/winrar-zero-day-cve-2025-8088-spread-romcom-malware/
BlackSuit勒索團伙被摧毀前獲贖金3.7億美元
美國國土安全調查局(HSI)披露,俄羅斯網絡犯罪組織BlackSuit與Royal勒索團伙自2022年以來已攻擊美國逾450家機構,涵蓋醫療、教育、能源、政府等領域,并通過加密貨幣贖金獲利超3.7億美元。該團伙的服務器、域名及洗錢工具于上月在全球協作下被查封,其數據泄露站點自7月24日起顯示查封公告。盡管行動有效破壞了其技術基礎設施,但專家指出,團伙成員早在行動前已轉移并棄用BlackSuit品牌,改用INC勒索軟件繼續活動,削弱了此次打擊的長期影響。
https://cyberscoop.com/blacksuit-royal-ransomware-450-us-victims/
Flashpoint報告顯示,2025年上半年全球網絡威脅顯著加速,勒索軟件受害者數量同比增長179%,數據泄露上升235%,信息竊取類惡意軟件造成的憑證盜取激增800%,使“身份”成為主要攻擊向量。研究發現,信息竊取程序已感染270萬臺系統,導致2.04億條憑證外泄,并被廣泛用于后續勒索或間諜活動。今年還出現多起利用竊取憑證入侵大型企業的案例,包括西班牙電信巨頭Telefónica與法國Orange。攻擊手段不斷演化,甚至借助AI生成視頻在TikTok誘導受害者執行惡意代碼。報告警告,漏洞利用、憑證交易與惡意軟件即服務的結合,使全球網絡安全形勢更趨嚴峻。
https://flashpoint.io/blog/flashpoint-2025-global-threat-intelligence-index-midyear/
浙公網安備 33010502006954號 
