新型Android Hook恶意软件变种利用勒索软件锁定设备

首页 > 安全钻研 > 安全传递 > 安全简讯

新型Android Hook恶意软件变种利用勒索软件锁定设备

颁布功夫 2025-08-28

1. 新型Android Hook恶意软件变种利用勒索软件锁定设备

8月26日，移动安全公司Zimperium近日颁布警报，揭示其zLabs团队发现的新型Hook Android恶意软件变种已演变为集勒索、间谍和银行木马职能于一体的混合威胁。这款名为"Hook Version 3"的恶意软件通过垂钓攻击和GitHub等公共平台传布，标志取移动威胁进入更危险的阶段。钻研显示，Hook 3.0支持多达107个远程号令（较旧版本新增38个），赋予攻击者对设备前所未有的节造权。其主题攻击伎俩蕴含：通过诱导用户启用Android辅助职能（Accessibility Service）实现自动化恶意操作；利用虚伪通明屏幕覆盖技术窃取PIN码、信誉卡信息及敏感数据，例如伪造Google Pay界面或NFC提醒；更引入动态勒索职能，可全屏显示从远程服务器加载的赎金要求，钱包地址和金额实时更新，极大加强攻击适应性。值妥贴心的是，该恶意软件不仅具备实时传输设备活动的能力，还通过GitHub等平台托管恶意文件，显著降低传布门槛。

https://hackread.com/android-hook-malware-variant-locks-devices-ransomware/

2. CISA将Citrix与Git高危缝隙增长到已知利用缝隙目录

8月26日，美国网络安全与基础设施安全局（CISA）近日将三个高危缝隙纳入其已知被利用缝隙（KEV）目录，涉及Citrix会话纪录系统和Git版本节造工具，并凭据《约束性运营指令（BOD）22-01》要求联国机构在2025年9月15日前实现建复。这次更新凸显了混合办公环境下企业基础设施面对的新型攻击面风险。这次收录的缝隙蕴含两个Citrix Session Recording缺点和一个Git配置缝隙。CVE-2024-8069（CVSS 5.1）为反序列化缝隙，允许统一内网中已通过身份验证的用户利用NetworkService账户权限执行受限远程代码，但需攻击者预先获得内网接见权限。其"兄弟缝隙"CVE-2024-8068（CVSS 5.1）则涉及权限提升，攻击者需与会话纪录服务器处于统一Windows Active Directory域，通过不当权限治理获取更高系统权限。更具宽泛影响的是Git缝隙CVE-2025-48384（CVSS 8.1）。攻击者可机关蕴含特殊CR字符的恶意子�？轷杈�，并通过符号链接指向子�？閔ooks目录。一旦开发者克隆此类恶意仓库，子�？槌跏蓟苯远シooks目录中的恶意post-checkouthook剧本，实现无感知的远程代码执行。

https://securityaffairs.com/181551/uncategorized/u-s-cisa-adds-citrix-session-recording-and-git-flaws-to-its-known-exploited-vulnerabilities-catalog.html

3. Qilin勒索组织宣称入侵驰名公关公司Singer Associates

8月28日，驰名�；毓維inger Associates遭逢勒索软件组织Qilin的网络攻击，该事务引发对网络安全与贸易伦理的双沉关注。Qilin团伙在其暗网泄露平台颁布布告，宣称成功入侵Singer Associates系统，并公开部门据称窃取的数据片段，蕴含司法文件截图及内部档案。该组织在申明中指控Singer存在"把持选民规划、伪造信息、糊弄客户"等不路德性为，宣称已获取"蕴含公司全数内部运作的档案"，涉及其为雪佛龙、拜耳、爱彼迎等跨国企业服务的战术细节。只管数据真实性尚未通过齐全样本验证，但Cybernews钻研团队分析指出，泄露文件显示Singer曾为能源巨头雪佛龙造订应对厄瓜多尔传染诉讼案的舆论操控规划，蕴含监控环�；疃耸考暗鞑樵拗蕉�。据Cybernews暗网监控数据显示，Qilin在从前12个月内攻击至少503家机构，受害者涵盖造药、能源、媒体、医疗等多个领域。

https://cybernews.com/security/singer-associates-ransomware-attack-qilin/

4. ShadowSilk利用Telegram机械人攻击亚太地域的35个组织

8月27日，网络安全公司Group-IB近日披录为ShadowSilk的新型威胁组织在中亚及亚太地域（APAC）针对当局机构提议定向攻击，该组织已渗入超过30个指标，主题动机为数据窃取。其技术栈与工具集与YoroTrooper、SturgeonPhisher及Silent Lynx等已知黑客集体存在显著沉叠，攻击领域覆盖乌兹别克斯坦、吉尔吉斯斯坦、缅甸、塔吉克斯坦、巴基斯坦及土库曼斯坦，除当局机构表，能源、造作、零售和运输业实体亦遭波及。攻击手法方面，ShadowSilk一连了YoroTrooper的技术脉络，初始入侵通过鱼叉式垂钓邮件投递受密码�；さ难顾跷募�，开释自界说加载器后，将号令节造（C2）流量假装为Telegram机械人通讯以躲避检测。攻击者通过批改Windows注册表实现悠久化驻留，并利用Drupal（CVE-2018-7600/7602）和WP-Automatic插件缝隙（CVE-2024-27956）扩大攻击面。其工具链涵盖网络扫描（FOFA、Fscan等）、缝隙利用框架（Metasploit、Cobalt Strike）及暗网获取的JRAT和Morf Project节造面板，数据窃取环节则部署定造工具提取Chrome密码存储文件及解密密钥。

https://thehackernews.com/2025/08/shadowsilk-hits-36-government-targets.html

5. 微软揭示Storm-0501黑客转向云端勒索软件攻击

8月27日，微软近日颁布汇报，揭示持久活跃的勒索软件组织Storm-0501已彻底转型，从传统本地加密攻击转向基于云的复杂数据勒索模式。Storm-0501的最新攻击链聚焦混合云环境，通过入侵Microsoft Defender缝隙获取Active Directory与Entra ID租户节造权。攻击者首先利用窃取的目录同步账户（DSA）结合AzureHound工具枚举用户权限与Azure资源，最终锁定不足多成分认证（MFA）的全局治理怨厮户。通过沉置治理员密码并滥用Microsoft.Authorization/elevateAccess/action接口，攻击者将自身提升至Azure所有者角色，全面收受受害者云环境。掌控云端权限后，Storm-0501发展三阶段粉碎：首先禁用安全防御系统，其次窃取Azure存储账户中的敏感数据，最后通过粉碎存储快照、复原保司库及备份节点，阻断受害者数据复原蹊径。若备份无法删除，攻击者则创建新密钥库与客户治理密钥，直接加密云数据实现"云端锁定"。实现数据窃取与加密后，威胁组织通过被控的Microsoft Teams账户联系受害者，正式提出赎金要求。

https://www.bleepingcomputer.com/news/security/storm-0501-hackers-shift-to-ransomware-attacks-in-the-cloud/

6. 瑞典市政IT巨头遭勒索攻击，200余地域服务瘫痪

8月27日，瑞典沉要市政系统供给商Milj?data 近日遭逢沉大网络攻击，导致全国200多个地域公共服务碰壁，并引发敏感数据泄露风险。该公司为瑞典约80%的市政机构提供工作环境与人力资源治理系统，涉及医疗证明处置、职业中伤申报、康复案例治理等主题公共服务。攻击产生于周末，首席执行官Erik Hallén于8月25日证实系统瘫痪，并暗示正与表部专家合作调查事务影响领域、复原系统职能并确认受害者信息。勒索软件团伙向该公司索要1.5比特币（约合16.8万美元）赎金，威胁不付款将公开窃取的数据。据本地媒体报路，哈兰、哥特兰、谢莱夫特奥等多地市政已颁布布告，忠告公民敏感幼我信息可能遭泄露。瑞典民防部长Carl-Oskar Bohlin通过社交平台暗示，当局正结合网络安全应急机构CERT-SE评估事务影响，警方亦染指调查，但目前尚未明确现实后果领域。这次攻击导致Milj?data 官方网站离线，其电子邮件服务器亦处于瘫痪状态，进一步加剧了沟通与复原难度。

https://www.bleepingcomputer.com/news/security/it-system-supplier-cyberattack-impacts-200-municipalities-in-sweden/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研