覆盖超过40 万台物联网设备的僵尸网络对一家流媒体应用程序进行了为期 13 天的分布式拒绝服务（DDoS）攻击。 攻击始于 4 月 24 日，黑客针对身份验证组件的攻击最高达到了每秒292,000 次，使其成为了最大的第7层 DDoS 攻击之一。 负责应对此次攻击的 Imperva 公司在攻击期间始终运行该服务，并观察了来自402,000个不同IP地址的请求。 该公司在今天的一份报告中称，大多数攻击设备都位于巴西，并指出这是他们所处理的最大的第7层DDoS攻击。 “为了掩盖他们的攻击，攻击者使用了与此公司的客服应用程序相同的用户代理。” 因为攻击者拥有数量庞大的机器用来发起进攻，蛮力保护在这种情况下不会起作用。当攻击数量达到系统限制时，机器们就会等待一段时间然后再继续攻击。 这种技术被命名为“low and slow”，因为攻击者需要较长时间才能实现其目标，但由于通过模仿合法用户活动进行攻击，此种攻击方式因此也更难以防御。   消息来源：BleepingComputer， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

德国国家网络安全机构 BSI 发布警告称，有黑客通过将电子邮件伪装成 BSI 的官方消息传播 Sodinokibi 勒索软件。 黑客将一个微软快捷方式伪装成 PDF 文件，当受害人将其打开时便会被其指向的压缩包附件感染。 一旦执行，快捷方式将使用 PowerShell 命令启动位于 http://grouphk[.]xyz/out-1308780833.hta 的远程 HTA 文件（HTML 应用程序的简称），该命令只是将 HTTP 添加到 HTA  payload 的 URL 前。 据德国安全局称，下载 Sodinokibi（也称为 REvil 和 Sodin）payload 的网址的域名和下载 HTA 文件的域名是相同的。 下载之后，Sodinokibi 将加密受害者的文件，并为每个计算机添加一个随机且唯一的扩展名。 该软件还会在所有文件夹中创建名称为“扩展名 -HOW-TO-DECRYPT.txt”的记事本文档，其中包含前往支付网站的方式和链接。 用户将会被要求支付价值 2500 美元的比特币。若超过两天仍未付款，金额将会翻倍。勒索界面还显示了用于支付的比特币地址。 Sodinokibi 还曾被卡巴斯基观察到通过利用 Windows 7 到 10 和服务器版本的 Win32k 组件中的 CVE-2018-8453 漏洞来提升其在受感染电脑中的权限。   消息来源：BleepingComputer， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据 Network Security 的专家报道，上周六晚，纽约市遭遇了停电事故，整个曼哈顿地区失去电力供应。有趣的是，停电这天恰好是 1977 年大停电纪念日。整个城市没有了电力，交通瘫痪，所有的日常活动都无法正常进行。 Con Edison 是纽约电力供应商公司之一，据他们所说，事件发生在周六的 16:47。此次事故是因为变压器故障引起的，不过全部的信息要等到调查结束才能公开。地方当局提到，电力服务已经在午夜时分完全恢复。 除了公共照明失效，停电还导致四个地铁站关闭（哥伦布圆环，洛克菲勒中心，哈德逊码头和第五大道）。据专家称，列车员们不得不手动操作机械，以此将乘客送至最近的车站。 由于停电，人们不得不用手机灯光照亮回家的路，而在大型住宅楼里，因为电梯没有工作，人们只能走楼梯。在曼哈顿的一些地方，如克林顿区，居民们不得不协助警方指挥交通。 还没有等到相关当局和公司确定事件的确切原因，谣言就已经传开了。根据国际网络安全研究所（IICS）的专家所说，有人认为这一事件（和其他类似事件）可能与美国政府和伊朗之间已开始的网络战存在联系。 最近，伊朗当局声称，他们已经拆除了中央情报局操纵的间谍网络，这与多次报道的间谍被捕事件有关，他们被捕时正在中东进行情报任务。还需要了解的是，受政府资助的黑客团体往往破坏力极大。有报道称黑客对其他政府的电网发动过攻击。他们使用了复杂的恶意软件变种，可以大规模地破坏能源供应。虽然距离调查结束还有很长的路要走，但专家们不应排除任何可能性。   消息来源：SecurityNewsPaper， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Buhtrap黑客组织已将其目标从俄罗斯金融业务和机构转移。自2015年12月进行网络间谍活动以来，其影响最大的活动是在2019年6月期间使用了近期修补的Windows零日漏洞。 Windows本地权限提升零日漏洞（CVE-2019-1132）被Buhtrap滥用于其攻击，它允许犯罪组织在内核模式下运行任意代码。微软在本月的补丁星期二修复了此漏洞。 尽管Buhtrap自2014年以来不断攻击银行客户，但它直到一年之后才被检测到。根据Group-IB和ESET研究人员的说法，它从2015年以后便开始寻找金融机构等更高级的目标。Group-IB报告称，“从2015年8月到2016年2月，Buhtrap成功对俄罗斯银行进行了13次攻击，总金额达18亿卢布（2570万美元）”。   被Buhtrap利用的Windows零日漏洞 ESET研究人员通过多个有针对性的活动观察到黑客组织的工具集“是如何通过用于在东欧和中亚进行间谍活动的恶意软件进行扩展的”。 2019年6月，Buhtrap利用零日漏洞攻击政府机构，主要攻击方式是滥用旧版Windows中的“win32k.sys组件中空指针的逆向引用”。   转为网络间谍 Buhtrap发展过程 “当他们在网上免费提供工具源代码的时候，很难将行为归罪于特定的参与者，”ESET说， “然而，因为他们在源代码泄露之前更改了目标，所以我们确信首批对企业和银行进行Buhtrap恶意软件攻击的人也参与了针对政府机构的攻击。” 此外，“尽管新的工具已经添加到他们的武器库中并且更新可以应用于旧版本，但不同的Buhtrap活动中使用的策略，技术和程序（TTP）在这些年中并没有发生显著变化。” ESET在关于Buhtrap集团网络间谍活动的报告最后提供了一份完整的IOC表单，其中包括C2服务器领域，恶意软件样本哈希，代码签名证书指纹以及MITRE ATT＆CK技术的表格。   消息来源：BleepingComputer， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Pale Moon 网络浏览器团队今天宣布，他们的 Windows 档案服务器遭到破坏，黑客在 2017 年 12 月 27 日用恶意软件感染了 Pale Moon 27.6.2 及以下的所有存档安装程序。 攻击者使用脚本，将 Win32 / ClipBanker.DY Trojan 变种注入存储在服务器上的 .exe 文件，使得下载 Pale Moon 浏览器安装程序和自解压存档的用户感染恶意软件。Pale Moon 团队在 7 月 9 日发现了安全漏洞，并立即切断了与受影响服务器的所有连接，以阻止恶意软件进一步传播给其他用户。 受感染文件的时间戳显示，攻击者使用自动进程在本地感染这些文件，该进程向存储在受感染服务器上的每个可执行文件注入大约 3MB 的恶意 payload。 Pale Moon 的开发团队在漏洞分析中解释说，从未下载安装程序的用户“基本不会受到感染”。为了确保安全，用户可以通过列表逐步检查他们下载的安装程序是否被篡改，而那些下载受感染文件的用户应该“使用信誉良好的防病毒软件对系统进行全面扫描和清理，以清除此恶意软件。”   攻击中使用的恶意软件删除程序  感染过程   在恶意可执行文件启动后，将使用一个剪贴板软件感染受害者的计算机 –  ESET 检测其为 MSIL/Agent.B 的变体。之后，后台会创建一个在启动时执行剪贴板的任务，同时前台启动 Pale Moon 安装程序以分散受害者的注意力并隐藏的恶意活动。 正在创建的任务   虽然我们能够分析 Pale Moon 攻击者使用的恶意软件的行为，但因为我们无法启动它并获得有关其功能的更多信息，可能还带有恶意软件分析和VM 检测功能。     消息来源：BleepingComputer， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客们目前使用版本过时的 WP Live Chat Support 插件来攻击 WordPress 网站。他们将访问者重定向到恶意站点，或者不断显示弹窗和伪造的订阅信息。 本月初，Bleeping Computer 报道说8.0.7以前的版本受到了存储型 XSS 漏洞影响，此漏洞无需授权就可使用。这使得黑客能够将恶意 JavaScript 脚本注入某个受影响网站的多个页面。 由于攻击成本低，并且潜在受害人数量众多。黑客很快便乘虚而入。 来自 ZScaler 的 ThreatLabZ 研究室的调查人员们发现，攻击者们多次利用漏洞注入恶意 JavaScript脚本，引起“恶意重定向，弹窗和虚假订阅消息”。这一方法被用于至少47家网站，并且这一数字仍在增长。 例如，被攻击网站的用户会收到一则以“权力的游戏”为主题的广告，与寻求身份认证的弹窗。   根据 ZScaler 提供的 WhoIs 记录，这个IP地址指向一个印度的专用服务器。 网络罪犯在不断地寻找新的漏洞报告，以研究如何攻击那些缺少防护的网站。管理员们应该在补丁更新之后尽快安装。 大部分的攻击者一直在寻找新的机会，并且WordPress 插件经常是被瞄准的目标之一，因其网站管理员在一般情况下不会及时打上最新的补丁。就在昨天，一篇针对 Convert Plus 插件漏洞的文章指出，攻击者可以在网站上建立一个拥有管理员权限的账号。 此举不难实现，并且一次成功的攻击所带来的回报值得黑客们一试。尽管是商业性产品，但据统计，  Convert Plus 的主动安装次数已经接近十万次。所以黑客把那些插件未升至最新版本的网站作为攻击的目标也不足为奇了。   消息来源：Bleepingcomputer， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接