Charon 勒索软件

网络安全专家发现了一场新的勒索软件攻击活动，该活动利用一种名为Charon的未知勒索病毒，专门针对中东地区的公共部门和航空业。此次攻击行动展现出高度的复杂性，其手段通常与高级持续性威胁（APT）攻击者有关。

借鉴 APT 攻击策略

攻击者采用了DLL侧载、进程注入和规避策略等高级技术，旨在绕过端点检测和响应 (EDR) 工具。值得注意的是，DLL侧载方法与Earth Baxia（一个与中国有关联的黑客组织）的攻击手法相似，Earth Baxia以针对台湾和亚太地区政府机构而闻名。

在过去的这些事件中，Earth Baxia 利用 OSGeo GeoServer GeoTools 中一个现已修复的漏洞，投放了一个名为 EAGLEDOOR 的后门。在 Charon 事件中，攻击使用合法文件 Edge.exe（最初为 cookie_exporter.exe）加载名为 SWORDLDR 的恶意 msedge.dll，然后部署了 Charon 勒索软件的有效载荷。

Charon 勒索软件的功能

一旦部署，Charon 的行为与其他破坏性勒索软件变种类似，但经过优化，使其既具有破坏性又高效。它可以：

• 终止与安全相关的服务和活动进程。
• 删除备份和卷影副本以阻碍恢复。
• 使用多线程和部分加密实现更快的文件锁定。

另一个值得关注的特性是它集成了由开源 Dark-Kill 项目编译的驱动程序。这使得攻击者能够利用自带漏洞驱动程序 (BYOVD) 攻击来禁用 EDR 工具。然而，研究人员发现该功能尚未启用，这表明它仍在开发中。

有针对性的行动迹象

调查人员认为，此次攻击活动是蓄意为之，而非投机取巧。这一结论基于勒索软件中存在一份定制的勒索信，其中提及了受害组织的名称，这在典型的勒索软件事件中并不常见。初始访问方式尚不清楚。

不确定的归因

虽然卡戎的技术与地球 Baxia 的运作有相似之处，但专家警告说，这种重叠可能表明：

• 地球霸下直接参与。

由于缺乏共享基础设施或一致的目标模式等明确证据，这种联系仍然只是推测。

网络犯罪与民族国家策略日益融合

这起事件凸显了一个令人担忧的趋势：勒索软件团伙越来越多地采用APT级别的入侵和规避手段。隐秘的攻击手段加上勒索软件加密带来的直接财务和运营损失，大大提高了目标组织的风险。