Charon勒索软件融合APT手艺，中东公共部分与航空业遭精准攻击

首页 > 清静研究 > 清静转达 > 清静简讯

Charon勒索软件融合APT手艺，中东公共部分与航空业遭精准攻击

宣布时间 2025-08-15

1. Charon勒索软件融合APT手艺，中东公共部分与航空业遭精准攻击

8月13日，网络清静机构趋势科技克日披露，一种名为Charon的新型勒索软件正以中东公共部分和航空业为目的提倡攻击，其手艺重漂后抵达高级一连性威胁（APT）级别。研究显示，攻击者接纳DLL侧载、历程注入及EDR逃避手艺构建攻击链，与曾针对亚太政府目的的Earth Baxia APT组织保存显著手艺重叠，但目今证据尚缺乏以确认直接关联。此次攻击以正当浏览器文件Edge.exe为入口，通过侧载恶意msedge.dll最终安排Charon勒索软件。该软件具备多重破损性功效：终止清静服务、删除卷影副本与备份以阻碍恢复，接纳多线程加密手艺提升文件锁定效率，并集成基于开源Dark-Kill项目的驱动程序，可通过“自带易受攻击驱动程序（BYOVD）”攻击禁用EDR防护，只管此次攻击中该功效未被触发，体现其仍处于测试阶段。值得注重的是，攻击者使用定制化勒索信明确提及受害组织名称，证实此为针对性行动。只管攻击链中二进制文件与Earth Baxia历史手法高度相似。现在缺乏共享基础设施或攻击模式等确凿证据，仅能判断保存“有限但显著的手艺趋同”。

https://thehackernews.com/2025/08/charon-ransomware-hits-middle-east.html

2. Efimer木马横跨2024-2025年，全球五千用户陷复合型网络犯法生态

8月13日，卡巴斯基克日披露，自2024年10月首次发明以来，Efimer木马病毒已一连活跃至2025年，通过伪造执法声明垂纶邮件、入侵WordPress网站及恶意种子文件三大渠道，熏染全球凌驾5000名用户，形成集加密钱币窃取、网站暴力破解与垃圾邮件分发于一体的复合型网络犯法生态。该木马的焦点攻击手段包括三重维度：其一，通过伪装成企业状师的垂纶邮件实验社会工程攻击，诱导受害者翻开含多阶段剧本的附件，植入木马后以虚伪过失信息掩饰运动痕迹；其二，针对WordPress网站提倡暴力破解，使用维基百科词汇天生目的域名列表并测试大宗密码，乐成入侵后宣布恶意文件或通过伪造影戏种子撒播另一Efimer变种，附带Tron、Solana等伪造钱包；其三，安排名为"Liame"的剧本从指定网站抓取邮件地点，构建精准诈骗目的库。数据显示，2024年10月至2025年7月间，巴西成为最大受害国，印度、西班牙、俄罗斯、意大利及德国紧随厥后。

https://hackread.com/efimer-trojan-crypto-hacks-wordpress-torrents-phishing/

3. 墨西哥CFE 600GB数据泄露袒露要害电力基础设施网络危害

8月13日，研究职员克日披露，墨西哥国有电力公司联邦电力委员会（CFE）遭遇重大数据泄露事务，其网络和威胁警报日志通过第三方清静公司Teliko治理的Kibana实例果真袒露，数据量凌驾600GB。作为为墨西哥99%生齿供电的焦点能源机构，CFE此次泄密事务被评估为可能威胁天下电力供应清静的重大危害。泄露数据涵盖员工装备DNS盘问纪录、会见的URL、深度包检测（DPI）日志及反恶意软件工具天生的警报，时间跨度可追溯至2021年11月。这些日志由托管检测与响应（MDR）解决计划AIsaac天生，详细纪录了CFE内部网络架构、易受攻击装备及服务列表。清静专家指出，攻击者可通太过析此类数据绘制CFE清静防御图谱，识别薄弱环节并实验精准攻击。除运营威胁外，员工互联网运动日志的泄露还组成隐私危害。攻击者可使用域名使用模式注册仿冒域名，团结泄露的内部工具信息提倡高度逼真的鱼叉式网络垂纶。

https://cybernews.com/security/cfe-data-leak-mexico-critical-infrastructure/

4. Crypto24勒索软件使用自界说EDR规避工具攻击大型组织

8月14日，2024年9月首次被曝光的Crypto24勒索软件组织虽未广为人知，但其针对全球金融、制造、科技等领域高价值目的的定向攻击已引发清静界关注。趋势科技研究批注，该组织很可能由着名勒索软件团伙前成员组建，展现出高度的手艺成熟度与战术隐藏性。其攻击链以定制化工具为焦点，形成从初始入侵到数据外泄的全流程威胁系统。在入侵阶段，攻击者通过激活Windows默认治理员账户或建设新用户实现长期化会见，随后安排批处置惩罚剧本与系统枚举下令开展侦探，建设名为WinMainSvc的键盘纪录服务与MSRuntime勒索软件加载器。为规避清静检测，该组织开发了RealBlindingEDR工具的变种，通太过析内核驱动元数据匹配硬编码厂商列表，涵盖趋势科技、卡巴斯基、SentinelOne等12家清静厂商，针对性禁用内核级防护钩子。数据窃取环节，Crypto24接纳双重手段：键盘纪录器伪装成"Microsoft Help Manager"，捕获包括功效键在内的用户操作与窗口问题；横向移动则通过SMB共享实现，最终使用定制WinINET API工具将数据泄露至Google Drive。勒索阶段，攻击者在删除系统卷影副本后触发加密程序。

https://www.bleepingcomputer.com/news/security/crypto24-ransomware-hits-large-orgs-with-custom-edr-evasion-tool/

5. 加拿大下议院遭网络攻击数据泄露，微软误差成突破口

8月14日，加拿大下议院正视察一起网络攻击事务，攻击者通过使用微软近期披露的清静误差，乐成窃取员工敏感信息并入侵治理下议院盘算机及移动装备的焦点数据库。据加拿大广播公司报道，下议院事情职员已于周一通过邮件收到违规通知，但官方尚未果真声明事务细节。此次攻击中，威胁行为者使用微软产品中的未修补误差获取数据库会见权限，偷取了包括员工姓名、职位、办公所在及电子邮件地点在内的非果真数据。下议院已鞭策相关职员小心使用被盗信息实验的诓骗行为，如冒充议员或举行诈骗。加拿大网络清静中心确认正在协助视察，但未将攻击归因于特定威胁组织，强调网络事务归因需泯灭资源与时间，涉及多重重大因素。值得注重的是，攻击者使用的误差可能与微软近期披露的两个高危误差相关：CVE-2025-53770（ToolShell）和CVE-2025-53786。其中，CVE-2025-53770自7月初起被多国威胁整体普遍使用；而CVE-2025-53786作为Microsoft Exchange误差，允许攻击者在云情形中横向移动，已被美国网络清静和基础设施清静局（CISA）列为紧迫指令，要求非军事机构连忙修补。

https://www.bleepingcomputer.com/news/security/canadas-house-of-commons-investigating-data-breach-after-cyberattack/

6. 挪威布雷芒格大坝遭亲俄黑客组织网络攻击

8月14日，挪威布雷芒格大坝于2025年4月遭遇亲俄黑客组织网络攻击，其要害数字控制系统被入侵，流出阀门被恶意翻开，导致凌驾720万升（190万加仑）水流出。此次事务被挪威警员清静局（PST）视为俄罗斯对要害基础设施远程攻击能力的体现，但更倾向于是一次“能力展示”而非实质性破损。据PST认真人贝娅特·甘加斯在阿伦达尔苏卡天下论坛上透露，黑客行为的焦点目的并非直接造成物理损害，而是通过果真演示手艺能力施加心理影响，在民众中制造恐惧与不确定性。这一判断与挪威国家刑事视察局（Kripos）的视察结论一致：黑客在Telegram平台宣布了一段三分钟视频，展示大坝控制面板操作界面，并带有与亲俄网络犯法组织关联的水印。此类行为此前曾与Sandworm (APT44) 等国家支持的组织有关，被用于强调威胁声明，既羞辱受攻击方，又向西方转达网络战能力信号。事务中，大坝治理员耗时约四小时才发明阀门异常并修复设置，但走漏已对局部水流调控爆发影响。只管挪威与俄罗斯未处于直接战争状态，但普京政权正通过混淆战争手段维持对西方的主要压力。

https://www.bleepingcomputer.com/news/security/pro-russian-hackers-blamed-for-water-dam-sabotage-in-norway/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究