每日安全简讯(20221122)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员发现新型勒索软件AxLocker

研究人员发现新型勒索软件AxLocker不仅会对受害者的文件进行加密并要求支付赎金，还会窃取受害者的Discord账户。AxLocker使用AES加密算法，但是对文件进行加密后并不会更改加密文件的后缀名。AxLocker还会窃取受害者的ID、系统详细信息、存储在浏览器中的相关数据和Discord令牌，并将这些信息回传到攻击者的Discord频道中。攻击者试图通过窃取Discord令牌接管账户，并滥用盗取的账户进行进一步的恶意攻击。最终，受害者会看到一个含有勒索信的弹窗，受害者有48小时的时间通过ID与攻击者联系，但其中并没有提及赎金金额。

https://www.bleepingcomputer.com/news/security/new-ransomware-encrypts-files-then-steals-your-discord-account/

---

2 研究人员发现LodaRAT的新变种

研究人员在2022年监测LodaRAT时观察到了一些新变种及新的行为，其中的变化包括添加了感染附加的可移动存储设备的功能、添加了新的字符串编码算法、删除了一些不能使用的旧功能。此外，研究人员发现LodaRAT似乎已经引起了一些攻击组织的注意，在一些观察到的案例中，LodaRAT会与其他的恶意软件一起进行部署，如RedLine、Neshta、VenomRAT等。由于LodaRAT是使用AutoIt进行编写的，且存在许多未经过混淆的样本，因此使用AutoIt反编译器可以获得其源代码，这可能导致了LodaRAT在短时间内出现众多新变种。

https://blog.talosintelligence.com/get-a-loda-this/

---

3 DEV-0569组织利用Google Ads传播恶意软件

研究人员发现，2022年8月至10月DEV-0569组织利用Google Ads传播恶意载荷，其中包括Royal勒索软件。该组织开展恶意广告活动，以传播恶意文件的下载链接。研究人员在报告中表示，这些恶意文件会伪装成Microsoft Teams、Zoom等合法应用程序的安装程序或更新程序，启动后会执行恶意Powershell或者恶意的批处理脚本以禁用Windows系统中的安全解决方案，并利用Powershell解密并执行其他恶意载荷。

https://securityaffairs.co/wordpress/138750/malware/dev-0569-google-ads-royal-ransomware.html

---

4 研究人员发现34个恶意版本的Cobalt Strike黑客工具包

研究人员发现了34个不同的恶意Cobalt Strike工具包，其中最早的版本于2012年11月分发布。根据调查结果，这些版本从1.44到4.7，总共有275个独特的JAR文件。研究人员表示，Cobalt Strike在网络安全领域具有广泛的应用，虽然其原本的意图是模拟真实的网络威胁，以测试网络的防御能力，但是有越来越多的黑客将未经授权的版本进行武器化，作为受害者网络中的横向移动工具，并用于进行后续的网络攻击活动。

https://thehackernews.com/2022/11/google-identifies-34-cracked-versions.html

---

5 针对中东国家的网络钓鱼攻击在世界杯前激增

根据研究人员的最新研究，随着卡塔尔世界杯的来临，针对中东地区的基于电子邮件的网络钓鱼攻击活动较10月份翻了一倍。许多电子邮件声称来自国际足联（FIFA）或者售票处，也有些冒充特定的球队经理、FIFA实施禁令的通知、世界杯官方合作伙伴等。这些钓鱼活动利用看起来非常真实的网页，或者各种恶意软件，攻击的目标包括金融诈骗、凭据收集、数据泄露、监视以及损害国家或组织的声誉。研究人员表示发现了多种针对中东国家的恶意软件家族，包括Qakbot、Emotet、Formbook、Remcos和QuadAgent等。

https://therecord.media/phishing-attacks-targeting-middle-east-countries-double-ahead-of-world-cup-report/

---

6 航空业面临网络攻击的威胁

随着旅客重返机场，攻击者再次将注意力转向航空业，数字技术的广泛应用增加了航空公司的受攻击面。一份有关航空业网络事件的报告显示，2020年发生了52起针对航空业的网络攻击，2021年发生了48起，而2022年截至8月份已发生50起，这意味着针对航空业的网络攻击在2022年的四分之三时间内达到了2020年和2021年的平均值。航空业遭受网络攻击的主要因素之一是其具有大型的受攻击面，航空技术很难成为攻击者的目标，但是广泛应用的现代化数字技术为航空业带来了新的变化和新的挑战。航空业具有高价值的信息和敏感数据，航空旅行也是全球供应链、经济和社会结构的关键，因此攻击者具有多种攻击动机。

https://www.globalsign.com/en/blog/aviation-rise-cyberattacks-post-pandemic