内容转载

= ̄ω ̄= 内容转载

游戏巨头暴雪再遭 DDoS 攻击,多款热门游戏掉线

美国东部时间 5月11日晚上7点11分,全球最大的游戏开发商和发行商动视暴雪在推特上表示,其战网服务正遭受DDoS攻击,“可能会导致某些玩家出现高延迟和连接中断的情况”。8:29分,在推文发出一个多小时后,该公司宣布恶意攻击已经结束。 根据Downdetector的用户报告,玩家在《守望先锋》《魔兽世界》《使命召唤》和《暗黑破坏神III》等游戏中都遇到了问题。目前已有24,971份报告,其中报告最多的问题是服务器连接(63%),其次是登录(34%)和更新(3%)问题。 此类事件时常发生,开发商很难为任何潜在的攻击做好充分的准备。动视暴雪所能做的就是尽快控制局势。 去年11月遭受的DDoS攻击 2021年11月,动视暴雪也遭到了来自外部的DDoS攻击,导致其服务器运行缓慢,玩家难以进入到游戏之中。期间尝试登录的玩家,也能够PC战网客户端上看到“突发新闻”相关条目。 攻击发生后,在服务器检测网站DownDetector上,动视暴雪的许多服务和产品都发布了服务中断公告。有数千位玩家报告称排不上队,也有数百位玩家报告部分暴雪游戏掉线。 经过调查发现,黑客选择了该公司旗下经过验证的客服推特账号作为突破口,发起持续大约一个小时的DDoS攻击。 据悉,2021年11月的攻击事件是一个名为Poodle Corp的黑客组织所为,该组织在2021年8月也曾对战网发起过DDoS攻击。Poodle Corp通过Twitter表示,在暴雪刚发布《魔兽世界》的最新资料片时,就盯上了暴雪的服务器,将在转推数量超过2000之后停止对战网的攻击。 Poodle Corp是LizardSquad黑客组织的分支,后者曾多次攻击过微软的Xbox平台、索尼的PS平台以及暴雪的战网(Battle.net)平台。Poodle Corp主要针对游戏服务器发起攻击,因为游戏是受到DDoS攻击影响最大的行业。相关数据显示,在2021年,有近一半的DDoS攻击是针对游戏行业发起的,即使是微软、索尼、暴雪等巨头公司,也无法避免遭到此类攻击。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/tuq3YrnhLxmJm9UQSiB8dw 封面来源于网络,如有侵权请联系删除

惠普推送 BIOS 更新 解决影响 200 多个计算机型号的高危漏洞

你是否拥有一台惠普笔记本电脑、台式机或PoS PC?那么你可能需要确保其BIOS是最新的。该公司刚刚为200多个设备型号发布了更新,修复了UEFI固件中的两个高严重级别漏洞。据Bleeping Computer报道,惠普已经就潜在的安全漏洞发出警告,这些漏洞可能允许以内核权限执行任意代码,这将使黑客能够进入设备的BIOS并植入恶意软件,而这些恶意软件无法通过传统的杀毒软件或重新安装操作系统来清除。 这两个漏洞–CVE-2021-3808和CVE-2021-3809–的CVSS 3.1基本得分都是8.8分的高严重程度。 惠普公司没有透露关于这些漏洞的任何技术细节。这一点留给了安全研究员尼古拉斯-斯塔克,他发现了这些漏洞。 斯塔克写道:”这个漏洞可能允许攻击者以内核级权限(CPL==0)执行,将权限提升到系统管理模式(SMM)。在SMM模式下执行操作,攻击者就可以获得对主机的全部权限,从而进一步实施攻击。” Starke补充说,在一些惠普机型中,有一些缓解措施需要被绕过才能使漏洞发挥作用,包括惠普的Sure Start系统,该系统可以检测到固件运行时间被篡改的情况。 受该漏洞影响的设备相当广泛,包括商务笔记本电脑,如Elite Dragonfly、EliteBooks和ProBooks;商务台式电脑,包括EliteDesk和EliteOne;零售点专用电脑,如Engage;台式工作站电脑(Z1、Z2系列);还有四个瘦客户端电脑。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1268631.htm 封面来源于网络,如有侵权请联系删除

大规模黑客活动破坏了数千个 WordPress 网站

Sucuri的网络安全研究人员发现了一场大规模的活动,该活动通过在WordPress网站注入恶意JavaScript代码将访问者重定向到诈骗内容,从而导致数千个WordPress网站遭破坏。感染会自动将站点的访问者重定向到包含恶意内容,即网络钓鱼页面、恶意软件下载、诈骗页面或商业网站的第三方网站,以产生非法流量。这些网站都有一个共同的问题——恶意JavaScript被注入到他们网站的文件和数据库中,包括合法的核心WordPress文件,例如: ./wp-includes/js/jquery/jquery.min.js ./wp-includes/js/jquery/jquery-migrate.min.js “ 根据Sucuri的分析,一旦网站遭到入侵,攻击者就试图自动感染名称中包含jQuery的任何js文件。他们注入了以“/* trackmyposs*/eval(String.fromCharCode…”开头的代码…… ” 在某些攻击中,用户被重定向到包含CAPTCHA 检查的登录页面。点击假验证码后,即使网站未打开,他们也会被迫接收垃圾广告,这些广告看起来像是从操作系统生成的,而不是从浏览器生成的。 据Sucuri称,至少有322个网站因这波新的攻击而受到影响,它们将访问者重定向到恶意网站drakefollow[.]com。“他表示:“我们的团队发现从2022年5月9日开始,这一针对WordPress网站的大规模活动收到了大量用户投诉,在撰写本文时该活动已经影响了数百个网站。目前已经发现攻击者正在针对WordPress插件和主题中的多个漏洞来破坏网站并注入他们的恶意脚本。我们预计,一旦现有域名被列入黑名单,黑客将继续为正在进行的活动注册新域名。” 对此,Sucuri也表示网站管理员可以使用他们免费的远程网站扫描仪检查网站是否已被入侵。 转自 FreeBuf,原文链接:https://www.freebuf.com/articles/333044.html 封面来源于网络,如有侵权请联系删除

ElasticSearch 服务器配置错误,暴露 579GB 用户网站记录

hackread 资讯网站消息,两台配置错误的 ElasticSearch 服务器共暴露了约 3.59(35 9019902)亿条记录,这些记录在 SnowPlow Analytics 开发的数据分析软件帮助下收集而来。 Website Planet 的 IT 安全研究人员发现了两台暴露的 ElasticSearch 服务器,经过研究,确定服务器使用的是软件供应商SnowPlow Analytics开发的开源数据分析软件,尚不清楚属于那个组织。 数据分析软件允许公司在其网站访问者不知情的情况下跟踪和存储信息。值得注意的是,网络分析工具可以收集多种数据指标,然后使用这些数据为网站访问者创建一个广泛、详细的个人资料库。 配置错误的 ElasticSearch 服务器案例 据研究人员称,这两个 ElasticSearch 服务器没有任何加密或用户验证措施,意味着任何人都可以在不需要密码的情况下访问这些数据。 这两个不安全的、配置错误的服务器最终暴露了大约 579.4GB 的用户记录数据(359019902条)。暴露的服务器包含网络用户流量的详细日志,主要包括以下内容。 推荐人页面 时间戳IP 地理定位数据 访问的网页 网站访问者的用户代理数据 被曝光数据的细节 从 Website Planet 发表的文章来看,两台服务器暴露的用户数据都集中在 2021 年两个月份里。 第一个服务器主要包含了 2021 年 9 月的数据,共 24728328 条记录,约 389.7GB(2021 年 9 月 2 日和 10 月 1 日之间收集的数据)。 第二台服务器主要包含了 2021 年 12 月的数据,共 116291574 条记录,约 189.7GB(2021 年 12 月 1 日和 2021 年 12 月 27 日之间收集的数据)。 1500 万用户可能受到影响 经过进一步分析,研究小组指出,大约 4 到 100 条用户记录出现在两台服务器上,并且鉴于每个用户有多个日志,这种暴露可能会影响至少 1500 万人。 值得注意的是,攻击者能够利用暴露的用户配置文件服务器日志定位人员,并通过用户的 IP 地址过滤用户。这意味着所披露的信息允许攻击者获得有关用户的数字轨迹信息,例如网页浏览偏好和其他活动。 另外,研究人员表示,这些服务器在被发现时依旧处于活动状态,并一直在积极更新信息。错误配置服务器背后的运营公司应该对数据暴露事件负责,ElasticSearch 和 SnowPlow Analytics 均不应该对此次曝光负责。 此次数据暴露影响深远,Website Planet 已经向有关当局发出警报,两台被暴露的服务器也都得到了保护,但是尚不清楚是否有恶意意图的第三方访问了这些服务器 。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/333033.html 封面来源于网络,如有侵权请联系删除

既能挖矿还能勒索,Eternity 恶意软件工具包正通过 Telegram 传播

据Bleeping Computer网站5月12日消息,目前,在网络上出现了一个名为“Eternity “(永恒不朽)的恶意软件即服务项目,威胁参与者可以购买恶意软件工具包,并根据所进行的攻击使用不同的模块进行定制。 这个模块化的工具包包括了信息窃取器、挖矿器、剪切板、勒索软件程序、蠕虫传播器以及即将上线的 DDoS攻击机器人,其中的每一个模块都单独购买。目前,该工具包正在一个 拥有 500 多名成员的专用 Telegram 频道上进行推广,发布者在该频道上会发布更新说明、使用说明并讨论相关的使用建议。对于那些购买了恶意软件工具包的人,可以在选择他们想要激活的功能并使用加密支付后,利用 Telegram Bot 自动构建二进制文件。 Eternity提供的主要模块 工具概览 以包年为时间单位,这些不同模块价格差异也往往较大: 挖矿器:90美元/年,具有隐藏任务管理器、进程被杀死时自动重启和启动持久性的功能; 剪切板:110 美元/年,是一种实用程序,可监视剪贴板中的加密货币钱包地址,以将其替换为攻击者自身的钱包; 信息窃取器:260 美元/年,能窃取存储在 20 多个网络浏览器中的密码、信用卡、书签、令牌和cookie 等数据; 蠕虫传播器: 390 美元/年,使恶意软件能够通过 USB 驱动程序、本地网络共享、本地文件、云驱动器、Python 项目(通过解释器)、Discord 帐户和 Telegram 帐户自行传播; 勒索软件程序:490 美元/年,能够针对文档、照片和数据库使用 AES 和 RSA 组合的离线加密。开发者声称它是 FUD(完全无法检测到),并且能够设置一个倒计时器,使文件在到期时完全无法恢复,以给受害者带来额外的压力,迫使他们迅速支付赎金。 勒索软件倒计时器 发现Eternity 项目的Cyble 分析师认为,虽然他们还没有机会检查所有模块,但他们已经看到恶意软件的样本在野外传播和使用,并且在Telegram上已经搜集到了一些真实的威胁反馈。 通过查看窃取器模块,Cyble 分析师发现与 Jester Stealer 有几个相似之处,两者都可能源自一个名为DynamicStealer的 GitHub 项目。因此,Eternity很可能是该代码的副本,通过进行修改和更名后在Telegram 上出售。 由于这些模块支持自动化构建,并对如何使用进行了详细说明,使其能够成为“新手”黑客手中的有力武器,并对互联网用户构成严重威胁。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/333021.html 封面来源于网络,如有侵权请联系删除

新型隐形 Nerbian RAT 恶意软件横空出世

Bleeping Computer 网站披露,网络安全研究人员发现一个名为 Nerbian RAT 的新型恶意软件,它具有逃避研究人员检测和分析的能力。 Proofpoint 的安全研究人员首先发现该新型恶意软件,并发布了一份关于新型 Nerbian RAT 恶意软件的报告。 据悉,新型恶意软件变体采用 Go 语言编写,使其成为跨平台的64位威胁。目前,该恶意软件通过使用宏文档附件的小规模电子邮件分发活动进行传播。 冒充世界卫生组织 恶意软件背后的操纵者冒充世界卫生组织(WHO),分发 Nerbian RAT 恶意软件,据称该组织正在向目标发送COVID-19信息。 最新活动中看到的钓鱼邮件(Proofpoint) RAR  附件中包含带有恶意宏代码的 Word 文档,如果在 Microsoft Office 上打开,并将内容设置为 “启用”的话,一个 bat 文件会执行 PowerShell 步骤,下载一个 64 位的 dropper。 这个名为 UpdateUAV.exe 的 dropper 也采用  Golang  编写,为了保证其大小可控,被打包在 UPX 中。 在部署 Nerbian RAT 之前,UpdateUAV 重用来自各种 GitHub 项目的代码,以整合一组丰富的反分析和检测规避机制。除此以外,该投放器还通过创建一个预定任务,每小时启动该 RAT 来建立持久性。 Proofpoint 将反分析工具列表总结如下: 检查进程列表中是否存在反向工程或调试程序 检查可疑的 MAC 地址 检查 WMI 字符串,看磁盘名称是否合法 检查硬盘大小是否低于 100GB,这是虚拟机的典型特征 检查进程列表中是否存在任何内存分析或篡改检测程序 检查执行后的时间量,并与设定的阈值进行比较 使用 IsDebuggerPresent API 来确定可执行文件是否正在被调试。 所有上述这些检查使 RAT 实际上不可能在沙盒、虚拟化环境中运行,从而确保恶意软件运营商的长期隐蔽性。 Nerbian RAT 的功能特点 Nerbian RAT 恶意软件以 “MoUsoCore.exe “形式下载,之后保存到 “C:\ProgramData\USOShared\”中,支持多种功能,背后操作者可以任意选择配置其中的一些功能。 值得注意的是,它具有两个显著功能,一个是以加密形式存储击键的键盘记录器,另外一个是适用于所有操作系统平台的屏幕捕获工具。 另外,它与 C2 服务器的通信是通过 SSL(安全套接字层)处理的,因此所有的数据交换都是加密的,并受到保护,有效防止了网络扫描工具在传输过程中进行检查。 完整的感染过程 (Proofpoint) 应当密切关注 毫无疑问,Proofpoint 发现的 Nerbian RAT ,是一个有趣的、复杂的新型恶意软件,它通过大量的检查、通信加密和代码混淆,专注于隐蔽性。 不过,就目前而言,Nerbian RAT 恶意软件还是通过低容量的电子邮件活动进行分发,所以还构不成大规模威胁,但如果其背后操作者决定向更广泛的网络犯罪社区传播,情况可能会变得很糟糕。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/332896.html 封面来源于网络,如有侵权请联系删除

多个网安执法机构警告:越来越多的黑客正瞄准 MSPs

近日,五眼情报联盟成员对管理服务提供商(MSPs)及其客户发出了警告,提醒他们可能正越来越多地成为供应链攻击的目标。对此,来自五眼国家的多个网络安全和执法机构(包括NCSC-UK、ACSC、CCCS、NCSC-NZ、CISA、NSA和FBI)共享了对MSPs的安全指南,以保护网络和敏感数据免受日益增长的网络威胁。 “英国、澳大利亚、加拿大、新西兰和美国的网络安全当局预计,各种恶意网络攻击者,包括由国家支持的APT组织,将加大对MSPs的攻击力度,以利用供应商与客户的网络信任关系”,五眼联盟的联合公告中这样写道,“成功入侵 MSPs的攻击者可能会针对整个MSPs的客户群发起后续攻击,例如勒索软件和网络间谍攻击。” 其实,在过去几年中,五眼联盟的网络安全主管部门一直不定期地向MSPs及其客户提供一般指导建议,只是如今除了指导建议更进一步提出了具体措施。 MSPs及其客户可采取的关键的战术行动可概括为如下3点: 识别和禁用不再使用的帐户。 对访问客户环境的MSP帐户强制执行MFA(失灵警报信号),并对无法解释的身份验证失败进行监视。 保证MSP客户合同透明地确认信息和通信技术(ICT)安全角色和职责所有权。 美国网络安全与基础设施网络安全局(CISA)主任Jen Easterly在接受采访时表示:“我们知道,易受攻击的MSPs会显著增加其支持的企业和组织的下游风险。因此,确保MSPs的安全对我们的集体网络防御至关重要,CISA以及我们的跨机构和国际合作伙伴正致力于加强其安全性并提高我们全球供应链的弹性。” 值得一提的是,在一年前,英国政府就防范软件供应链攻击和加强全国IT管理服务提供商网络安全防御的议题公开征求过建议。而就在不久前,美国总统拜登也发布了一项行政命令,以实现美国防御网络攻击的现代化。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/332915.html 封面来源于网络,如有侵权请联系删除

勒索软件 REvil 回归,新版本正在积极开发中

5月9日,Secureworks Counter Threat Unit (CTU) 的研究人员发布的报告显示,臭名昭著的勒索软件 REvil(又名 Sodin 或 Sodinokibi)在销声匿迹一段时间后再度开始活动。 研究人员对新发现的样本进行分析,发现在短时间内已经出现多个修改过的新版本,表明 REvil 再次处于积极的开发过程中。 4月20日,REvil 在 TOR 网络中的数据泄露站点开始重定向到新的主机,这是一个明显的复苏信号,网络安全公司 Avast 在一周后披露,他们已在野外阻止了一个看起来像新的 Sodinokibi / REvil的勒索软件样本变种。 根据对另一个时间戳为3月11日的样本源代码进行检查,发现与2021年10月的样本相比已经有了明显的更改,包括对其字符串解密逻辑、配置存储位置和硬编码公钥的更新,并修订了赎金记录中显示的 Tor 域,与上个月发现的新 Tor 域相匹配: REvil 泄露站点:blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]onion REvil 赎金支付网站:landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad[.]onion 2022 年 3 月样本中的字符串解密逻辑更改(资料来源:Secureworks) 作为一种勒索软件即服务 (RaaS),REvil是最早采用双重勒索计划的组织之一,即以泄露窃取的数据为由威胁受害者支付赎金。该勒索软件组织自 2019 年开始运作,在2021年7月针对 Kaseya 云端系统供应链攻击中曾开出7000万美元的赎金要求,创勒索软件最高赎金记录。但在2021年10月份的多国联合执法行动中,REvil的服务器被查,今年1月初,俄罗斯联邦安全局 (FSB) 在该国多地进行突袭后,逮捕了多名组织成员。 REvil的复出被认为与俄乌战争有关,就在上个月,美国单方面退出了与俄罗斯为保护关键基础设施进行合作的计划。此外这也表明,勒索软件即使被打压或解散后,也能够很容易的死灰复燃,当下要彻底根除网络犯罪组织可谓困难重重。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/332892.html 封面来源于网络,如有侵权请联系删除

疑似伊朗行为,德国汽车行业遭到长达数年的网络攻击

据悉,一场长达数年的网络钓鱼活动正瞄准德国汽车行业公司,试图用恶意软件窃取密码感染其系统,包括德国汽车制造商和汽车经销商,通过克隆该领域各个组织的合法网站,注册了多个相似的域,以便在攻击过程中使用。 这些网站用于发送用德语编写的网络钓鱼电子邮件,并托管下载到目标系统的恶意软件有效负载。 此活动中使用的各种相似域 网络安全解决方案供应商Check Point的研究人员发现了这一活动,并发布了相关的技术报告。报告显示,该网络钓鱼活动于2021年7月左右开始,目前仍在进行中。 瞄准德国汽车行业 感染链始于发送给特定目标的电子邮件,其中包含能够绕过互联网安全控制的ISO映像文件。 例如,下图的网络钓鱼电子邮件假装包含汽车转账收据,发送给目标经销商。 Check Point发现的恶意电子邮件之一 其中还包含一个HTA文件,该文件中有通过HTML走私运行的JavaScript或VBScript代码。 通用感染链 从依赖自动化工具包的“脚本小子”到部署自定义后门的国家级黑客,所有级别的黑客都能使用这种常用技术。 当受害者看到从HTA文件打开的诱饵文档时,恶意代码就会在后台运行,以获取并启动恶意软件有效负载。 诱饵文件 我们发现了这些脚本的多个版本,有些会触发PowerShell代码,有些是纯文本版本。它们都会下载并执行各种MaaS(恶意软件即服务)信息窃取程序。 ——Check Point 此活动中使用的MaaS信息窃取程序各不相同,包括Raccoon Stealer、AZORult 和 BitRAT,这三个程序都可以在网络犯罪市场和暗网论坛上购买到。 HTA文件的最新版本运行PowerShell代码以更改注册表值并启用Microsoft Office套件中的工具,使得威胁行为者无需诱骗接收者启用宏,并且能够提高有效负载丢弃率。 恶意修改Windows注册表 幕后主使和攻击目标 Check Point表示可以追踪到有14个德国汽车制造行业的相关组织遭到攻击,但是报告中没有提到具体的公司名称。 信息窃取有效载荷被托管在伊朗人注册的网站(“bornagroup[.]ir”)上,而同样的电子邮件被用于钓鱼网站的子域名,例如“groupschumecher[.]com”。 威胁分析人员找到了不同的针对西班牙桑坦德银行客户的网络钓鱼活动链接,支持该活动的网站被托管在伊朗的ISP上。 威胁行为者的基础设施 这场活动很有可能是伊朗的威胁行为者策划的,但Check Point没有足够的证据来证明。该活动很可能是针对这些公司或其客户、供应商和承包商的工业间谍活动或BEC(商业电子邮件泄露)。 威胁行为者发送给目标的电子邮件留有足够的通信空间,使得与受害者建立融洽的关系并获得其信任成为可能,这使得关于BEC的假设更具有可信度。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/t9JsB3Ak5ihEVlgKWcq1rA 封面来源于网络,如有侵权请联系删除

Google Chrome 增加虚拟信用卡号码功能 保证真实卡片的安全

Google今天宣布,其Chrome浏览器现在将为用户提供在网络上的在线支付表格中使用虚拟信用卡号码的功能。这些虚拟卡号允许用户在网上购买东西时保持你的”真实”信用卡号码的安全,因为如果商家的系统被黑客攻击,它们可以很容易被撤销。此前一些信用卡发卡机构已经提供了这些虚拟信用卡号码,但它们可能远没有成为主流。 Google表示,这些虚拟卡将于今年夏天晚些时候在美国推出。Google既与Capital One这样的发卡机构合作,后者是这项功能的启动伙伴,也与Visa和美国运通这样的主要卡组织合作,这些网络将在启动时得到支持,今年晚些时候将对万事达卡的支持将被引入。获得卡组织网络的支持绝对是一件事倍功半的事情,因为试图让每个发卡机构都加入进来将是一项艰巨的任务。 这项新功能将首先在桌面上的Chrome浏览器和Android系统上推出,iOS系统的支持将随后推出。 Google副总裁兼支付部总经理阿诺德-戈德堡说:”这是将虚拟卡的安全性带给尽可能多的消费者的里程碑式的一步。在桌面和Android系统上使用Chrome浏览器的购物者在网上购物时可以享受快速的结账体验,同时可以安心地知道他们的支付信息受到保护。” 从用户的角度来看,这个新的自动填写选项将简单地为你输入虚拟卡的详细信息,包括实体卡的CVV,然后你可以在pay.google.com上管理虚拟卡并看到你的交易纪录。 虽然这些虚拟卡通常用于一次性购买,但一样也能够使用这些卡进行订阅。 由于这是Google这样的公司在提供这种服务,一些用户显然会担心该公司会使用这些关于购买习惯的额外数据,但Google表示,它不会将这些信息用于广告定位目的。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1268241.htm 封面来源于网络,如有侵权请联系删除