网络安全研究人员发现新型勒索软件Charon正针对中东的公共部门和航空业。攻击者展现出类似APT组织的先进技术，包括DLL侧载、进程注入和规避EDR软件。此次攻击利用了合法浏览器文件Edge.exe，通过侧载恶意DLL来部署Charon勒索软件。Charon具备终止安全服务、删除备份等破坏性功能，并使用多线程和部分加密技术提高效率。攻击者使用定制化勒索信，表明这是针对性攻击。虽然技术上与APT组织Earth Baxia存在相似之处，但具体关联仍需进一步确认。该事件反映出勒索软件运营商正积极采纳APT级技术，增加了攻击风险。

🔍 **Charon勒索软件利用APT级技术进行攻击：** 网络安全研究人员发现，名为Charon的新型勒索软件家族正针对中东的公共部门和航空业。攻击者展示了高级持续性威胁（APT）组织的技术特征，包括DLL侧载、进程注入以及规避端点检测与响应（EDR）软件的能力，显示出攻击手段的复杂化。

💡 **DLL侧载与合法文件入口：** 攻击链以合法的Edge.exe浏览器文件为入口，通过侧载恶意msedge.dll（代号SWORDLDR）来部署Charon勒索软件。这种利用合法文件进行侧载的技术与涉中APT组织Earth Baxia的历史手法高度相似，增加了检测和防御的难度。

🛡️ **Charon的破坏性功能与规避机制：** Charon勒索软件具备终止安全服务、删除卷影副本和备份等破坏性功能，以阻止数据恢复。它还采用多线程和部分加密技术提升效率，并内置了基于开源项目的驱动程序，能够通过“自带易受攻击驱动程序（BYOVD）”攻击禁用EDR方案，尽管此功能在本次攻击中未被触发。

🎯 **定制化勒索信与针对性攻击：** 与传统勒索软件活动不同，此次攻击者使用了定制化的勒索信，明确提及受害组织名称，这证实了这是一次高度针对性的攻击。目前，初始入侵途径尚未明确，但攻击手法表明其精心策划。

⚖️ **APT技术与勒索软件的融合：** 该事件突显了勒索软件运营商正积极采用APT级技术，将复杂的规避手段与勒索加密的直接业务影响相结合，显著提升了组织的风险。研究人员警告，这种融合模式使得组织面临更高的安全威胁。

HackerNews 编译，转载请注明出处：

网络安全研究人员发现一种名为Charon的新型勒索软件家族正被用于攻击中东公共部门和航空业。据趋势科技分析，攻击者展现出与高级持续性威胁（APT）组织相似的技术特征，包括DLL侧载、进程注入以及逃避端点检测与响应（EDR）软件的能力。

此次攻击使用的DLL侧载技术与涉中APT组织Earth Baxia的历史手法高度相似——该组织曾利用OSGeo GeoServer GeoTools漏洞（现已修复）针对台湾及亚太地区政府目标投递后门程序EAGLEDOOR。具体攻击链以合法浏览器文件Edge.exe（原名cookie_exporter.exe）为入口，通过侧载恶意msedge.dll（代号SWORDLDR）最终部署Charon勒索软件有效载荷。

与其他勒索软件类似，Charon具备破坏性功能：终止安全相关服务及运行进程，删除卷影副本和备份以降低恢复可能性；采用多线程与部分加密技术提升文件锁定效率；并内置基于开源Dark-Kill项目的驱动程序，可通过“自带易受攻击驱动程序（BYOVD）”攻击禁用EDR方案——但该功能在此次攻击中未被触发，表明其可能处于开发阶段。

区别于传统勒索活动，攻击者使用定制化勒索信明确提及受害组织名称，证实此为针对性攻击。目前初始入侵途径尚未明确。尽管存在技术重叠（特别是通过相同二进制文件配合DLL部署加密shellcode的工具链），趋势科技强调三种可能：Earth Baxia直接参与、蓄意模仿的假旗行动，或独立开发类似技术的新威胁组织。由于缺乏共享基础设施或一致攻击模式等确凿证据，当前仅能认定此次攻击与Earth Baxia存在“有限但显著的技术趋同”。

该事件印证勒索软件运营商正积极采用APT级技术，将复杂规避手段与勒索加密的直接业务影响结合，形成更高风险。研究人员警告：“这种APT战术与勒索软件操作的融合，通过结合精密规避技术和即时业务中断的加密手段，显著提升了组织风险”。同期曝光的Interlock勒索软件活动同样采用多阶段攻击链（涉及PowerShell脚本、PHP/NodeJS/C后门），凸显监测可疑进程活动的重要性。

行业现状数据显示：过去12个月内57%的组织遭遇过勒索软件攻击，其中71%的邮件系统被入侵组织最终遭勒索；32%的受害者支付赎金，但仅41%成功恢复全部数据。

 

 

 

---

消息来源： thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文