新型Android Hook恶意软件变种使用勒索软件锁定装备

首页 > 清静研究 > 清静转达 > 清静简讯

新型Android Hook恶意软件变种使用勒索软件锁定装备

宣布时间 2025-08-28

1. 新型Android Hook恶意软件变种使用勒索软件锁定装备

8月26日，移动清静公司Zimperium克日宣布警报，展现其zLabs团队发明的新型Hook Android恶意软件变种已演变为集勒索、特工和银行木马功效于一体的混淆威胁。这款名为"Hook Version 3"的恶意软件通过垂纶攻击和GitHub等公共平台撒播，标记着移动威胁进入更危险的阶段。研究显示，Hook 3.0支持多达107个远程下令（较旧版本新增38个），付与攻击者对装备亘古未有的控制权。其焦点攻击手段包括：通过诱导用户启用Android辅助功效（Accessibility Service）实现自动化恶意操作；使用虚伪透明屏幕笼罩手艺窃取PIN码、信用卡信息及敏感数据，例如伪造Google Pay界面或NFC提醒；更引入动态勒索功效，可全屏显示从远程服务器加载的赎金要求，钱包地点和金额实时更新，极大增强攻击顺应性。值得注重的是，该恶意软件不但具备实时传输装备运动的能力，还通过GitHub等平台托管恶意文件，显著降低撒播门槛。

https://hackread.com/android-hook-malware-variant-locks-devices-ransomware/

2. CISA将Citrix与Git高危误差添加到已知使用误差目录

8月26日，美国网络清静与基础设施清静局（CISA）克日将三个高危误差纳入其已知被使用误差（KEV）目录，涉及Citrix会话纪录系统和Git版本控制工具，并依据《约束性运营指令（BOD）22-01》要求联邦机构在2025年9月15日前完成修复。此次更新凸显了混淆办公情形下企业基础设施面临的新型攻击面危害。此次收录的误差包括两个Citrix Session Recording缺陷和一个Git设置误差。CVE-2024-8069（CVSS 5.1）为反序列化误差，允许统一内网中已通过身份验证的用户使用NetworkService账户权限执行受限远程代码，但需攻击者预先获得内网会见权限。其"兄弟误差"CVE-2024-8068（CVSS 5.1）则涉及权限提升，攻击者需与会话纪录服务器处于统一Windows Active Directory域，通过不当权限治理获取更高系统权限。更具普遍影响的是Git误差CVE-2025-48384（CVSS 8.1）。攻击者可结构包括特殊CR字符的恶意子�？槁肪�，并通过符号链接指向子�？閔ooks目录。一旦开发者克隆此类恶意客栈，子�？槌跏蓟苯远シooks目录中的恶意post-checkouthook剧本，实现无感知的远程代码执行。

https://securityaffairs.com/181551/uncategorized/u-s-cisa-adds-citrix-session-recording-and-git-flaws-to-its-known-exploited-vulnerabilities-catalog.html

3. Qilin勒索组织宣称入侵着名公关公司Singer Associates

8月28日，着名�；毓維inger Associates遭遇勒索软件组织Qilin的网络攻击，该事务引发对网络清静与商业伦理的双重关注。Qilin团伙在其暗网泄露平台宣布通告，宣称乐成入侵Singer Associates系统，并果真部分据称窃取的数据片断，包括执法文件截图及内部档案。该组织在声明中指控Singer保存"使用选民计划、伪造信息、诱骗客户"等不道品行为，声称已获取"包括公司所有内部运作的档案"，涉及其为雪佛龙、拜耳、爱彼迎等跨国企业服务的战略细节。只管数据真实性尚未通过完整样本验证，但Cybernews研究团队剖析指出，泄露文件显示Singer曾为能源巨头雪佛龙制订应对厄瓜多尔污染诉讼案的舆论操控计划，包括监控环�；罡腥耸考笆硬熳手蕉�。据Cybernews暗网监控数据显示，Qilin在已往12个月内攻击至少503家机构，受害者涵盖制药、能源、媒体、医疗等多个领域。

https://cybernews.com/security/singer-associates-ransomware-attack-qilin/

4. ShadowSilk使用Telegram机械人攻击亚太地区的35个组织

8月27日，网络清静公司Group-IB克日披露名为ShadowSilk的新型威胁组织在中亚及亚太地区（APAC）针对政府机构提倡定向攻击，该组织已渗透凌驾30个目的，焦点念头为数据窃取。其手艺栈与工具集与YoroTrooper、SturgeonPhisher及Silent Lynx等已知黑客整体保存显著重叠，攻击规模笼罩乌兹别克斯坦、吉尔吉斯斯坦、缅甸、塔吉克斯坦、巴基斯坦及土库曼斯坦，除政府机构外，能源、制造、零售和运输业实体亦遭波及。攻击手法方面，ShadowSilk延续了YoroTrooper的手艺脉络，初始入侵通过鱼叉式垂纶邮件投递受密码�；さ难顾跷募�，释放自界说加载器后，将下令控制（C2）流量伪装为Telegram机械人通讯以规避检测。攻击者通过修改Windows注册表实现长期化驻留，并使用Drupal（CVE-2018-7600/7602）和WP-Automatic插件误差（CVE-2024-27956）扩大攻击面。其工具链涵盖网络扫描（FOFA、Fscan等）、误差使用框架（Metasploit、Cobalt Strike）及暗网获取的JRAT和Morf Project控制面板，数据窃取环节则安排定制工具提取Chrome密码存储文件及解密密钥。

https://thehackernews.com/2025/08/shadowsilk-hits-36-government-targets.html

5. 微软展现Storm-0501黑客转向云端勒索软件攻击

8月27日，微软克日宣布报告，展现恒久活跃的勒索软件组织Storm-0501已彻底转型，从古板外地加密攻击转向基于云的重大数据勒索模式。Storm-0501的最新攻击链聚焦混淆云情形，通过入侵Microsoft Defender误差获取Active Directory与Entra ID租户控制权。攻击者首先使用窃取的目录同步账户（DSA）团结AzureHound工具枚举用户权限与Azure资源，最终锁定缺乏多因素认证（MFA）的全局治理员账户。通过重置治理员密码并滥用Microsoft.Authorization/elevateAccess/action接口，攻击者将自身提升至Azure所有者角色，周全接受受害者云情形。掌控云端权限后，Storm-0501睁开三阶段破损：首先禁用清静防御系统，其次窃取Azure存储账户中的敏感数据，最后通过破损存储快照、恢复保管库及备份节点，阻断受害者数据恢复路径。若备份无法删除，攻击者则建设新密钥库与客户治理密钥，直接加密云数据实现"云端锁定"。完成数据窃取与加密后，威胁组织通过被控的Microsoft Teams账户联系受害者，正式提出赎金要求。

https://www.bleepingcomputer.com/news/security/storm-0501-hackers-shift-to-ransomware-attacks-in-the-cloud/

6. 瑞典市政IT巨头遭勒索攻击，200余地区服务瘫痪

8月27日，瑞典主要市政系统供应商Milj?data 克日遭遇重大网络攻击，导致天下200多个地区公共服务受阻，并引发敏感数据泄露危害。该公司为瑞典约80%的市政机构提供事情情形与人力资源治理系统，涉及医疗证实处置惩罚、职业危险申报、康复案例治理等焦点公共服务。攻击爆发于周末，首席执行官Erik Hallén于8月25日证实系统瘫痪，并体现正与外部专家相助视察事务影响规模、恢复系统功效并确认受害者信息。勒索软件团伙向该公司索要1.5比特币（约合16.8万美元）赎金，威胁不付款将果真窃取的数据。据外地媒体报道，哈兰、哥特兰、谢莱夫特奥等多地市政已宣布通告，忠言公民敏感小我私家信息可能遭泄露。瑞典民防部长Carl-Oskar Bohlin通过社交平台体现，政府正团结网络清静应急机构CERT-SE评估事务影响，警方亦介入视察，但现在尚未明确现实效果规模。此次攻击导致Milj?data 官方网站离线，其电子邮件服务器亦处于瘫痪状态，进一步加剧了相同与恢复难度。

https://www.bleepingcomputer.com/news/security/it-system-supplier-cyberattack-impacts-200-municipalities-in-sweden/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究