xyj

维基百科遭遇 DDoS 攻击,NCSC 提醒其他公司加强防范

在维基百科遭遇 DDoS 攻击并停运后,NCSC(英国国家网络安全中心)敦促其他组织对 DoS 攻击组织采取应对措施。 根据维基媒体德国公司(Wikimedia Deutschland),大规模 DDoS 攻击导致维基百科的大多数服务器瘫痪,美国,欧洲,英国和中东地区的用户在 9 月 6 日和 9 月 7 日期间无法进入维基百科网站。 根据非政府组织 NetBlocks,维基百科的网站大约停机了 9 个小时,其中 DDoS 攻击的目标是美国和欧洲的维基媒体基础设施。   恢复正常运行 “今天,维基百科遭遇恶意攻击,导致部分国家的用户在相当一段时间内无法访问我们的网站。”  维基百科的非营利性基金会发表推特称,“攻击仍在持续。为了使用户可以正常访问我们的网站,我们的团队正在努力阻止攻击。” “在遭遇此次攻击后,维基媒体社区和维基媒体基金会已经创建了专门的系统和员工来定期监控和解决风险。我们会从问题中吸取经验,并且提高防范能力。” 维基媒体基金会称。 NSCC强调,为了更好地应对 DoS 攻击,企业应将其运行模式设置为可扩展的,以便在大量流量涌入网站时,基础设施可以自动核算并分配更多资源来容纳这些流量。   消息来源:BleepingComputer, 译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Telegram 在修复隐私漏洞后发布新版本

Telegram 最新发布的客户端版本为 5.11,该版本修复了一个严重的隐私漏洞。由于此应用在 Google Play 商店的下载量超过1亿次,这将会是一起严重的隐私侵权事故。 Telegram 在 3 月发布了一项新功能,允许发件人删除已发送的邮件,同时将其从收件人的设备中删除。这项功能旨在保护发件人的隐私,适用于不小心发送或者想要撤回消息的情况。 在研究 Telegram 的 MTProto 协议时,安全研究员 Dhiraj Mishra 发现了与消息删除功能相关的错误。 他注意到,当发件人从 Telegram 中删除了一条消息,图像或文件时,它将从当前会话中删除,但不会从设备本地删除。对于Android用户,这将允许收件人在`/ Telegram / Telegram Images / `路径下查看已删除的媒体。 此错误不仅发生在单人会话中,还涉及到了 Telegram 超级组。如果用户在组内误发了一个文件并撤回,这样看似自己的隐私得到了保护,但其实组内所有成员都可以从其设备的文件系统访问该文件。 “假设你是一个 2,000,00 人的小组中的一员,你不小心分享了一个媒体文件,并且想要通过‘对所有人撤回’功能来删除它。”Mishra 在他的文章中说,“但是这个方法有漏洞,所以你的文件仍然存在于所有用户的存储中。” 在报告错误后,Telegram 奖励了Mishra 2,500 欧元。此错误已在 5.11 版本中修复,该版本今天针对 Android 和 iOS 发布。 用户可以通过安装此更新来修复该错误,但 Mishra 告诉我们,收件人仍然可以查看到在旧版本中未正确删除的媒体。     消息来源:BleepingComputer, 译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客通过伪造 PayPal 网站传播勒索软件

近期,有网站通过冒充 PayPal 官网,向不知情的用户传播 Nemty 勒索软件的新变种。 这个恶意软件的运营商正在尝试各种分发渠道,因为它被检测出是 RIG 漏洞利用工具包(EK)的有效载荷。   通过返现奖励引诱用户 当前最新的 Nemty 来自于该假冒 PayPal 网站,该网站承诺,将返还支付金额的 3-5% 给使用该网站进行支付操作的用户。   网友可以通过一些细节判断出此网站并非官网,该网站也被多家主流浏览器标记为危险,但用户还是有可能会继续下载和运行恶意软件“cashback.exe”。 安全研究人员 nao_sec  发现了新的 Nemty 分发渠道,并使用 AnyRun  测试环境来部署恶意软件并在受感染的系统上跟踪其活动。 自动分析显示,勒索软件加密受害主机上的文件大约需要7分钟。具体时间可能因系统而异。 幸运的是,该勒索软件可以被市场上最流行的防病毒产品检测到。对 VirusTotal 的扫描显示 68 个防病毒引擎中有 36 个检测到了该软件。   同形字攻击 因为网络犯罪分子使用的就是原网页的构造,所以该诈骗网站看起来就是官方网站。 为了增强欺骗性,网络犯罪分子还使用所谓的同形异义域名链接到了网站的各个部分(包括帮助和联系,费用,安全,应用和商店)。 骗子在域名中使用来自不同字母表的 Unicode 字符。浏览器会自动将它们转换为 Punycode  Unicode 中的内容看起来像 paypal.com,而在Punycode 中以 ‘xn--ayal-f6dc.com’ 的形式存在。 安全研究员 Vitali Kremez 指出这个 Nemty 勒索软件变种目前处于1.4版本,此版本修复了前版本中的一些小错误。 他观察到的一件事是“isRU” 检查已经被修改了,该检查可以验证受感染的计算机是否在俄罗斯,白俄罗斯,哈萨克斯坦,塔吉克斯坦或乌克兰。在最新版本中,如果检查结果为真,那么恶意软件不会随着文件加密功能而移动。   但是,这些国家/地区以外的计算机会被设为目标,他们的文件会被加密,副本也会被删除。 根据测试显示,黑客提出的赎金为 0.09981 BTC,约为 1,000美元,并且支付门户被匿名托管在了 Tor 网络上。 8月底,另一位安全研究员  Mol69 看到Nemty 通过RIG EK 进行分发,这样的做法十分反常,因为瞄准 Internet Explorer 和 Flash Player 这些不受欢迎的产品的攻击套件目前已经基本不存在了。   消息来源:BleepingComputer, 译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

研究人员披露新的 Steam 客户端零日漏洞,影响超过 9600 万 Windows 用户

Kravets 此次公布的 Steam 客户端零日漏洞是一种特权升级漏洞,将影响超过 9600 万用户。 首个 Steam 客户端零日漏洞就是被 Kravets 发现的,但在 Valve 解决此漏洞之后,研究员  Xiaoyin Liu  发现并披露了绕过 Valve 的补丁的方法。 结果Valve 不仅没有奖励 Kravets,还禁止他参加赏金计划。 Kravets 发现,攻击者可以利用 Steam 客户端服务的 NT AUTHORITY \ SYSTEM 特权,通过运行可执行文件实现特权升级。 据专家解释,此方法使用了 BaitAndSwitch,是一种为了赢得 TOCTOU(检查时间\使用时间)而将链接和 oplock 的创建相结合的技术。 黑客利用Steam游戏、Windows应用程序或操作系统本身的漏洞获得远程代码执行权限,并在权限提升之后使用 SYSTEM 权限运行恶意负载。 “因此,任何代码都可以以最大权限执行,这个漏洞类称为 “特权升级”(EOP)或 “本地特权升级 ”(LPE)。尽管任何应用程序本身都可能是有害的,但实现最大特权可能会导致灾难性的结果。” Kravetz 写道,“例如,禁用火墙和防病毒, rootkit的安装,隐藏 process-miner,窃取任何 PC 用户的私人数据 – 这些还不是全部。”     消息来源:SecurityAffairs,译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客使用虚假网站 NordVPN 散播银行木马病毒

黑客们曾经通过破坏和滥用免费多媒体编辑网站 VSDC 散播 Win32.Bolik.2 银行木马,但现在他们改变了攻击策略。 黑客之前的做法是黑入正规网站,并将恶意软件捆绑在下载链接中。但现在黑客使用网站克隆,将银行木马散播到毫无防备的受害者的计算机上。 这使他们可以专注于为恶意工具添加功能,而无需再为渗透企业的服务器和网站而浪费时间。 更重要的是,他们创建的 nord-vpn.club 网站几乎完美克隆了流行的VPN 服务 NordVPN 的官方网站 nordvpn.com,这使得他们可以大范围传播 Win32.Bolik.2 银行木马。   成千上万的潜在受害者 克隆的网站还拥有由开放证书颁发机构 Let’s Encrypt 于 8 月 3 日颁发的有效 SSL 证书,有效期为 11 月 1 日。 Doctor Web 研究人员称:“Win32.Bolik.2 木马是 Win32.Bolik.1 的改进版本,具有多组分多态文件病毒的特性,” 。 “使用这种恶意软件,黑客可以进行网络注入、流量拦截,键盘记录和窃取多个 bank-client 系统的信息。” 这个恶意活动已于 8 月 8 日发起,他们主要攻击使用英语的网民,据研究人员称,已经有数千人为了下载 NordVPN 客户端而访问了 nord-vpn.club 网站。 制造 Bolik 蠕虫的黑客又回来了。他通过伪造 NordVPN,Invoicesoftware360 和 Clipoffice 等网站传播恶意软件 。 Arcticle:https://t.co/1ZJK5BdV4F  IOCs:https://t.co/Q9b9ECrZxu – Ivan Korolev(@ fe7ch)2019年8月19日 恶意软件分析师 Ivan Korolev 称,在感染用户的计算机之后,黑客使用恶意软件“主要用于网络注入/流量监控器/后门”。   通过克隆网站传播恶意软件 Win32.Bolik.2 和 Trojan.PWS.Stealer.26645 也是由同一个黑客组织于 2019 年 6 月下旬通过下面这两个虚假网站传播出去的: •invoicesoftware360.xyz(原为 invoicesoftware360. com) •clipoffice.xyz(原为 crystaloffice.com) 早在四月,免费多媒体编辑网站 VSDC 就遭遇了黑客攻击,这实际上是两年来的第二起事件。下载链接被用来散播 Win32.Bolik.2 银行木马和Trojan.PWS.Stealer( KPOT stealer)。 下载并安装受感染的 VSDC 安装程序的用户的计算机可能会被使用多组件多态的木马感染,病毒还有可能从浏览器,他们的Microsoft帐户,各种聊天应用程序等程序中窃取了敏感信息。   消息来源:BleepingComputer, 译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

入侵 Capital One 的黑客还涉嫌入侵其他 30 多家公司

联邦检察官透露,在 Capital One 数据泄露事件发生后被捕的 Paige Thompson 可能还攻击了其他 30 多个组织。 今年7月,美国最大的发卡机构和金融公司之一 Capital One 遭遇黑客攻击,1.06 亿信用申请信息被泄露。 一个网名为 “erratic” 的黑客攻击了 Capital One 的系统,并获得了大量的个人信息。 执法部门逮捕了嫌疑人 Paige A. Thompson(33),她将要对此次数据泄露事件负责。 根据 DoJ 报道,美国司法部长 Brian T. Moran 宣布,“一名前 Seattle 科技公司的软件工程师今天被捕,此人涉嫌网络欺诈以及窃取 Capital One 金融公司的数据。PAIGE A. THOMPSON,网名 erratic,33 岁,她今天在西雅图地方法院出庭,并将于 2019 年 8 月 1 日出席听证会。” 执法部门无法获知数据是否已被出售或分发给其他黑客。 西雅图的美国检察官办公室证实,在 Thompson 家的卧室里查获的服务器中存有 30 多家公司和教育机构的数据,但他们尚不清楚这些受影响组织的名字。 检察官称,绝大多数数据都没有涉及个人信息。他们仍在调查受影响组织的名字。 汤普森的律师没有立即回应要求发表评论的电子邮件。     消息来源:SecurityAffairs,译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客制作免费游戏诈骗网站窃取 Steam 账号

这是一个精心设计的诈骗。玩家看似进入的是一个免费游戏网站,实际上黑客将会盗取他们的 Steam 帐户,然后利用此帐号再去攻击新的玩家。 黑客向受害者的朋友发送消息,告诉他们在给出的网站输入优惠码就能获得免费的 Steam 游戏。 用户点击消息中的链接后会进入 http://steamsafe.fun/?ref=freegame,他们随后将被重定向到黑客建立的诈骗网站。 当用户点击“抽奖”按钮时,该网站将假装从热门游戏列表中随机选出一个游戏,如 PUBG,CSGO,Tropico 4,ARK:Survival Evolved,Assassin’s Creed 等等。 然后它将显示一个 Steam 优惠码,并提醒用户需要登录 Steam 才能获取该游戏。 当用户点击登录按钮时,它将显示一个伪造的 Steam 单点登录(SSO)登录页面,它看起来和 Steam 登录网站一模一样,但实际上是一个诈骗网站。 如果用户输入他们的帐号和密码,该网站将自动在后台登录他们的帐户,更改密码,更改关联的电子邮件地址,以及更改相关的电话号码。 如下图所示,在我们登录 Steam 网站时,您必须检查当前网页是否是https://steamcommunity.com 。     消息来源:BleepingComputer, 译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国公司出售武器化 BlueKeep 漏洞利用

美国 Immunity 已经在其7月23日发布的版本为 7.23 的 CANVAS 自动化渗透性测试中添加了一个 BlueKeep 漏洞利用程序。 BlueKeep 是 Windows 远程桌面协议(RDP)服务中的远程代码执行(RCE)漏洞,它使未经身份验证的攻击者能够远程运行任意代码,发起拒绝服务攻击,并控制易受攻击的系统。 受到 BlueeKeep 影响的版本有 Windows XP,Windows Vista,Windows 7,Windows Server 2003 和 Windows Server 2008。Windows 10版本不受影响。 该漏洞具有极高危险性。 微软一再告诉用户打上补丁,并且美国国家安全局(NSA),美国国土安全部,德国BSI网络安全机构,澳大利亚网络安全中心和英国国家网络安全中心都发布了安全措施,敦促用户和公司修补旧版Windows。 Immunity 决定在其渗透测试工具中添加一个 RCE 漏洞利用程序,而不是仅仅通过扫描查找易受攻击的机器来帮助客户解决风险问题。这不是仅针对于 BLUEKEEP。 CANVAS RDP 库和漏洞利用程序的开发过程大约需要两个月,根据Cyxtera 的首席安全技术官 Aitel 的说法,每个版本都会变得更加稳定。 “我们将继续致力于对此漏洞的利用,并将随着它的发展而发布新版本。”Aitel 总结道。 美国网络安全和基础设施安全局(CISA)在6月份发布了针对 BlueKeep 的解决措施,同时宣布其利用未修补的 Windows 2000 实现了 RCE。   消息来源:BleepingComputer, 译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

流媒体服务遭受 IoT 僵尸网络 13 天的 DDoS 攻击

覆盖超过40 万台物联网设备的僵尸网络对一家流媒体应用程序进行了为期 13 天的分布式拒绝服务(DDoS)攻击。 攻击始于 4 月 24 日,黑客针对身份验证组件的攻击最高达到了每秒292,000 次,使其成为了最大的第7层 DDoS 攻击之一。 负责应对此次攻击的 Imperva 公司在攻击期间始终运行该服务,并观察了来自402,000个不同IP地址的请求。 该公司在今天的一份报告中称,大多数攻击设备都位于巴西,并指出这是他们所处理的最大的第7层DDoS攻击。 “为了掩盖他们的攻击,攻击者使用了与此公司的客服应用程序相同的用户代理。” 因为攻击者拥有数量庞大的机器用来发起进攻,蛮力保护在这种情况下不会起作用。当攻击数量达到系统限制时,机器们就会等待一段时间然后再继续攻击。 这种技术被命名为“low and slow”,因为攻击者需要较长时间才能实现其目标,但由于通过模仿合法用户活动进行攻击,此种攻击方式因此也更难以防御。   消息来源:BleepingComputer, 译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

德国安全局称有黑客传播 Sodinokibi 勒索软件

德国国家网络安全机构 BSI 发布警告称,有黑客通过将电子邮件伪装成 BSI 的官方消息传播 Sodinokibi 勒索软件。 黑客将一个微软快捷方式伪装成 PDF 文件,当受害人将其打开时便会被其指向的压缩包附件感染。 一旦执行,快捷方式将使用 PowerShell 命令启动位于 http://grouphk[.]xyz/out-1308780833.hta 的远程 HTA 文件(HTML 应用程序的简称),该命令只是将 HTTP 添加到 HTA  payload 的 URL 前。 据德国安全局称,下载 Sodinokibi(也称为 REvil 和 Sodin)payload 的网址的域名和下载 HTA 文件的域名是相同的。 下载之后,Sodinokibi 将加密受害者的文件,并为每个计算机添加一个随机且唯一的扩展名。 该软件还会在所有文件夹中创建名称为“扩展名 -HOW-TO-DECRYPT.txt”的记事本文档,其中包含前往支付网站的方式和链接。 用户将会被要求支付价值 2500 美元的比特币。若超过两天仍未付款,金额将会翻倍。勒索界面还显示了用于支付的比特币地址。 Sodinokibi 还曾被卡巴斯基观察到通过利用 Windows 7 到 10 和服务器版本的 Win32k 组件中的 CVE-2018-8453 漏洞来提升其在受感染电脑中的权限。   消息来源:BleepingComputer, 译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接