Charon 勒索軟體

網路安全專家發現了一場新的勒索軟體攻擊活動，該活動利用一種名為Charon的未知勒索病毒，專門針對中東地區的公共部門和航空業。這次攻擊行動展現出高度的複雜性，其手段通常與高階持續性威脅（APT）攻擊者有關。

借鑒 APT 攻擊策略

攻擊者採用了DLL側載、進程注入和規避策略等高階技術，旨在繞過端點偵測和回應 (EDR) 工具。值得注意的是，DLL側載方法與Earth Baxia（一個與中國有關聯的駭客組織）的攻擊手法相似，Earth Baxia以針對台灣和亞太地區政府機構而聞名。

在過去的這些事件中，Earth Baxia 利用 OSGeo GeoServer GeoTools 中一個現已修復的漏洞，投放了一個名為 EAGLEDOOR 的後門。在 Charon 事件中，攻擊使用合法檔案 Edge.exe（最初為 cookie_exporter.exe）載入名為 SWORDLDR 的惡意 msedge.dll，然後部署了 Charon 勒索軟體的有效載荷。

Charon 勒索軟體的功能

一旦部署，Charon 的行為與其他破壞性勒索軟體變種類似，但經過最佳化，使其既具破壞性又有效率。它可以：

• 終止與安全相關的服務和活動進程。
• 刪除備份和磁碟區副本以阻礙復原。
• 使用多執行緒和部分加密實現更快的檔案鎖定。

另一個值得關注的功能是它整合了由開源 Dark-Kill 專案編譯的驅動程式。這使得攻擊者能夠利用自帶漏洞驅動程式 (BYOVD) 攻擊來停用 EDR 工具。然而，研究人員發現該功能尚未啟用，這表明它仍在開發中。

有針對性的行動跡象

調查人員認為，這次攻擊活動是蓄意為之，而非投機取巧。這項結論是基於勒索軟體中存在一份客製化的勒索信，其中提及了受害組織的名稱，這在典型的勒索軟體事件中並不常見。初步造訪方式尚不清楚。

不確定的歸因

雖然卡戎的技術與地球 Baxia 的運作有相似之處，但專家警告說，這種重疊可能表明：

• 地球霸下直接參與。

由於缺乏共享基礎設施或一致的目標模式等明確證據，這種聯繫仍然只是推測。

網路犯罪與民族國家策略日益融合

這起事件凸顯了一個令人擔憂的趨勢：勒索軟體集團越來越多地採用APT等級的入侵和規避手段。隱密的攻擊手段加上勒索軟體加密帶來的直接財務和營運損失，大大提高了目標組織的風險。