意大利参议院、上议院、国防部等多个重要政府网站遭到网络攻击，网站无法访问至少1个小时； 意大利CERT发布预警称，此次攻击使用了“慢速HTTP”的新型DDoS手法，传统防御措施较难抵御，需要针对性处置； 亲俄黑客团伙Killnet声称对本次攻击负责。 意大利计算机安全事件响应小组（CSIRT，类似于国家CERT）警告称，近期已出现多起针对意大利重要政府网站的DDoS攻击。 DDoS（分布式拒绝服务）是一种常见的网络攻击，旨在耗尽服务器上的可用资源，致使其无法响应正常用户请求，所托管的网站也无法正常访问。 意大利多个重要政府网站瘫痪 意大利安莎通讯社报道称，当地时间5月11日，意大利参议院、上议院、国防部等多个重要政府网站遭到网络攻击，网站无法访问至少1个小时，受影响的还有国际空间站、国家卫生研究所、意大利汽车俱乐部等机构的网站。 亲俄黑客团伙Killnet声称对本次攻击负责。此前，他们还曾先后对罗马尼亚门户网站、美国布拉德利国际机场发动过类似攻击。 作为对意大利DDoS攻击新闻报道的回应，Killnet团伙在Telegram频道上发布消息称，未来可能将出现进一步攻击。 一名Killnet代表成员在Telegram上宣称，“我们的‘军团’正在你国开展军事网络演习，旨在训练提升攻击技能。这与你国的行为类似——意大利人和西班牙人也在乌克兰境内学习作战。我们的‘军团’正在消灭你们的服务器！” “请注意，当前阶段还只是训练。别再大呼小叫，发布什么参议院遭到攻击的消息了。我可以保证，我们的网络部队很快就会在意大利领土之内完成训练，并继续发动进攻。这一切会来得很猛，来得很快。” 当前防御措施难以抵御慢速HTTP手法 CSIRT在公告中解释称，恶意黑客针对该国政府、各部委、议会乃至军队网站的攻击活动，使用到了所谓的“慢速HTTP”技术。 该技术每次向Web服务器发送一条HTTP请求，但会为请求设置极慢的传输速率或故意发送不完整请求，导致服务器等待下一条请求。 服务器首先检测传入的通信，再分配专用于等待剩余数据的资源。当这类请求过多时，服务器就会不堪重负，无法再接收任何其他连接，最终导致站点无法访问。 CSIRT表示，“这种攻击手法在使用POST请求时更加有效，因为这些请求会同时向Web服务器发送大量数据。” CSIRT称“慢速HTTP”是一种比较少见的DDoS攻击类型，并警告如果系统管理员不做出针对性处置，那么现有防御措施恐怕将无能为力。 “对于自5月11日起发现的这几次针对国内及国际目标的DDoS攻击，我们发现其不同于常规的1类容量耗尽攻击。由于实际占用的带宽较为有限，因此无法利用市面上常用的保护系统加以抵御。” ——CSIRT CSIRT已经在公告中分享了缓解此类攻击的可能方法。 转自 安全内参，原文链接：https://www.secrss.com/articles/42446 封面来源于网络，如有侵权请联系删除

近日，一个名为“Killnet”的亲俄黑客团伙对多个意大利机构网站发动了攻击，其中包括参议院、国家卫生研究院，国家汽车协会，即国家驾驶员协会。国防部的网站也无法访问，但官员们却表示，无法访问是“由于该网站正在进行一项计划已久的维护活动”。此后，意大利当局证实，这些攻击并未造成数据泄露或其他损害。 “Killnet”团伙自俄乌战争以来就宣布支持俄罗斯，并对包括罗马尼亚政府机构和美国布拉德利机场在内的西方国家发动过袭击。值得一提的是，在本次攻击浪潮席卷意大利的时候，总理马里奥·德拉吉（Mario Draghi）正在华盛顿进行国事访问。 意大利警方已对袭击事件开展调查，而国家计算机安全事件响应小组（CSIRT）证实了这些网站遭到DDoS攻击。CSIRT警告称，黑客发起的是慢速POST DDoS攻击，这种攻击非比寻常，因此很难被发现。 Killnet在其Telegram频道上发布了一条消息，提示了进一步攻击的可能： “亲爱的意大利和西班牙媒体。 Killnet实际上并没有像攻击罗马尼亚那样攻击你们的国家。如果这种情况发生，那么1945年 4月29日，也就是你们投降的那一天，将会很快重演。我们的军队在你们国家进行军事网络演习，以提高他们的技能。一切都与你们的行为如此相似——意大利人和西班牙人正在学习如何在乌克兰杀人，而我们的军地正在学习如何杀死你们的服务器！你应该明白这只是训练，所以请不要大喊救命。我们已经对有关袭击参议院的新闻感到厌倦，我向你保证，我们的网络军队将很快在你们的领土上完成训练，我们将继续进攻。这会非常突然且迅速地发生。” 被攻击的网站名单被分享在亲俄黑客组织“The Legion”的Telegram频道上，该组织主要攻击西方组织和政府，包括北约国家和乌克兰。此外，“The Legion”还对今年在意大利都灵举行的欧洲歌唱大赛发动过攻击。 目前，还不清楚“The Legion”和“Killnet”两个团伙之前的确切关系。 其实，自俄罗斯入侵乌克兰开始以来，考虑到两国之间的网络争端可能会蔓延，意大利网络安全机构ACN已将警戒级别提高。 除了上述的机构网站之外，意大利的基础设施也在最近频繁遭受重大网络攻击，包括医院和意大利国有铁路公司（Ferrovie dello Stato Italiane）。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/333230.html 封面来源于网络，如有侵权请联系删除

微软安全情报团队5月13日在推特上表示，Sysrv 僵尸网络的新变种——Sysrv-K，正在利用 Spring Framework 和 WordPress 中的漏洞，在易受攻击的 Windows 和 Linux 服务器上和部署加密恶意软件。 作为新变种，Sysrv-K，具有更加强大的功能，能够扫描互联网以查找具有各种漏洞的 Web 服务器并自动进行安装，比如，它会扫描 WordPress 配置文件及其备份以检索数据库凭证，从而获得对 Web 服务器的控制权。与旧版本一样，Sysrv-K 扫描 SSH 密钥、IP 地址和主机名，然后尝试通过 SSH 连接到网络中的其他系统以部署自身的副本，这可能会导致网络的其他部分面临成为 Sysrv-K 僵尸网络一部分的风险。 此外，微软专家还观察到Sysrv-K支持新的通信功能，包括能够使用 Telegram 机器人。 目前这些能够被利用的漏洞已通过安全更新进行了修复，包括 WordPress 插件中的旧漏洞，以及 CVE-2022-22947 等较新的漏洞。CVE-2022-22947 是 Spring Cloud Gateway 库中的一个代码注入漏洞，可被滥用在未打补丁的主机上执行远程代码。 Sysrv僵尸网络从2020年12月起开始活跃，并被阿里云首次发现。随后Sysrv活动的激增也引起起了 Lacework Labs 和Juniper Threat Labs网络威胁实验室安全研究人员的注意。为了侵入这些 Web 服务器，Sysrv利用了 Web 应用程序和数据库中的缺陷，例如 PHPUnit、Apache Solar、Confluence、Laravel、JBoss、Jira、Sonatype、Oracle WebLogic 和 Apache Struts。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/333201.html 封面来源于网络，如有侵权请联系删除

加拿大、德国军方的独家战机培训供应商Top Aces透露，已遭到LockBit勒索软件攻击； LockBit团伙的官方网站已经放出要求，如不支付赎金将公布窃取的44GB内部数据； 安全专家称，针对国防相关企业的攻击令人担忧，因为“无从得知被盗数据最终会落入哪里”，很可能流入对手国家； LockBit是目前最流行的勒索软件即服务平台之一，据统计今年已攻击了至少650个目标组织。 专门为空军提供战斗机培训服务的的加拿大公司Top Aces（顶级王牌）表示，已经遭到勒索软件攻击。 该公司在周三（5月11日）的一份声明中证实，正在对攻击事件开展调查。 Top Aces公司总部位于蒙特利尔，是“加拿大与德国武装部队的独家空中对抗演习供应商”，而它的名字已经出现在LockBit勒索软件团伙的泄密网站上。 图：LockBit受害者页面截屏。 Top Aces由一群前战斗机飞行员于2000年创立，号称拥有“全球规模最大的私营作战战斗机群”。 除了与加拿大、德国、以色列等国合作之外，该公司还在2019年同美国空军签署了一份利润丰厚的合同。合同中明确提到，Top Aces负责提供用于防御俄罗斯武器的训练工具。 安全厂商Emsisoft的威胁分析师Brett Callow指出，针对国防相关企业的攻击令人担忧，因为“无从得知被盗数据最终会落入哪里”。 Callow表示，“即使当前攻击背后只是一群以营利为目的的恶意黑客，他们仍有可能将数据以出售或其他形式提供给第三方，包括对手国家政府。” “近年来，国防工业基础领域的企业已先后遭遇多次攻击，政府必须找出一种可行的供应链安全增强方法。” Callow还提到，此前洛克希德马丁公司的零部件供应商Visser Precision，为美国民兵III洲际导弹等核威慑武器提供支持的军事承包商Westtech International，都遭遇过网络攻击。 LockBit勒索软件团伙给出的最后期限为5月15日，如果届时Top Aces仍未支付赎金，则泄露据称总计44 GB的失窃数据。 LockBit已成为最活跃勒索软件之一 LockBit是目前最为活跃的勒索软件团伙之一，仅在过去一年就发动了数百次攻击，并且愈发猖獗。据Recorded Future统计数据，2022年他们已经攻击了至少650个组织。 该团伙最近又犯下了两起轰动一时的大案，分别是一家流行的德国图书馆服务、巴西里约热内卢财政系统。 2021年8月，澳大利亚网络安全中心（ACSC）曾发布公告，警告称LockBit勒索软件攻击数量正在激增。 该团伙自2019年9月起一直保持运营，但一直处于边缘位置，直到后来开发出LockBit 2.0勒索软件即服务的全新平台版本。 随着Darkside、Avanddon、REvil等黑客团伙的消亡或退出，LockBit已经成为当下最为常见的勒索软件即服务平台之一。 转自 安全内参，原文链接：https://www.secrss.com/articles/42385 封面来源于网络，如有侵权请联系删除

美国东部时间 5月11日晚上7点11分，全球最大的游戏开发商和发行商动视暴雪在推特上表示，其战网服务正遭受DDoS攻击，“可能会导致某些玩家出现高延迟和连接中断的情况”。8:29分，在推文发出一个多小时后，该公司宣布恶意攻击已经结束。 根据Downdetector的用户报告，玩家在《守望先锋》《魔兽世界》《使命召唤》和《暗黑破坏神III》等游戏中都遇到了问题。目前已有24,971份报告，其中报告最多的问题是服务器连接（63%），其次是登录（34%）和更新（3%）问题。 此类事件时常发生，开发商很难为任何潜在的攻击做好充分的准备。动视暴雪所能做的就是尽快控制局势。 去年11月遭受的DDoS攻击 2021年11月，动视暴雪也遭到了来自外部的DDoS攻击，导致其服务器运行缓慢，玩家难以进入到游戏之中。期间尝试登录的玩家，也能够PC战网客户端上看到“突发新闻”相关条目。 攻击发生后，在服务器检测网站DownDetector上，动视暴雪的许多服务和产品都发布了服务中断公告。有数千位玩家报告称排不上队，也有数百位玩家报告部分暴雪游戏掉线。 经过调查发现，黑客选择了该公司旗下经过验证的客服推特账号作为突破口，发起持续大约一个小时的DDoS攻击。 据悉，2021年11月的攻击事件是一个名为Poodle Corp的黑客组织所为，该组织在2021年8月也曾对战网发起过DDoS攻击。Poodle Corp通过Twitter表示，在暴雪刚发布《魔兽世界》的最新资料片时，就盯上了暴雪的服务器，将在转推数量超过2000之后停止对战网的攻击。 Poodle Corp是LizardSquad黑客组织的分支，后者曾多次攻击过微软的Xbox平台、索尼的PS平台以及暴雪的战网（Battle.net）平台。Poodle Corp主要针对游戏服务器发起攻击，因为游戏是受到DDoS攻击影响最大的行业。相关数据显示，在2021年，有近一半的DDoS攻击是针对游戏行业发起的，即使是微软、索尼、暴雪等巨头公司，也无法避免遭到此类攻击。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/tuq3YrnhLxmJm9UQSiB8dw 封面来源于网络，如有侵权请联系删除

据悉，一场长达数年的网络钓鱼活动正瞄准德国汽车行业公司，试图用恶意软件窃取密码感染其系统，包括德国汽车制造商和汽车经销商，通过克隆该领域各个组织的合法网站，注册了多个相似的域，以便在攻击过程中使用。 这些网站用于发送用德语编写的网络钓鱼电子邮件，并托管下载到目标系统的恶意软件有效负载。 此活动中使用的各种相似域 网络安全解决方案供应商Check Point的研究人员发现了这一活动，并发布了相关的技术报告。报告显示，该网络钓鱼活动于2021年7月左右开始，目前仍在进行中。 瞄准德国汽车行业 感染链始于发送给特定目标的电子邮件，其中包含能够绕过互联网安全控制的ISO映像文件。 例如，下图的网络钓鱼电子邮件假装包含汽车转账收据，发送给目标经销商。 Check Point发现的恶意电子邮件之一 其中还包含一个HTA文件，该文件中有通过HTML走私运行的JavaScript或VBScript代码。 通用感染链 从依赖自动化工具包的“脚本小子”到部署自定义后门的国家级黑客，所有级别的黑客都能使用这种常用技术。 当受害者看到从HTA文件打开的诱饵文档时，恶意代码就会在后台运行，以获取并启动恶意软件有效负载。 诱饵文件 我们发现了这些脚本的多个版本，有些会触发PowerShell代码，有些是纯文本版本。它们都会下载并执行各种MaaS（恶意软件即服务）信息窃取程序。 ——Check Point 此活动中使用的MaaS信息窃取程序各不相同，包括Raccoon Stealer、AZORult 和 BitRAT，这三个程序都可以在网络犯罪市场和暗网论坛上购买到。 HTA文件的最新版本运行PowerShell代码以更改注册表值并启用Microsoft Office套件中的工具，使得威胁行为者无需诱骗接收者启用宏，并且能够提高有效负载丢弃率。 恶意修改Windows注册表 幕后主使和攻击目标 Check Point表示可以追踪到有14个德国汽车制造行业的相关组织遭到攻击，但是报告中没有提到具体的公司名称。 信息窃取有效载荷被托管在伊朗人注册的网站（“bornagroup[.]ir”）上，而同样的电子邮件被用于钓鱼网站的子域名，例如“groupschumecher[.]com”。 威胁分析人员找到了不同的针对西班牙桑坦德银行客户的网络钓鱼活动链接，支持该活动的网站被托管在伊朗的ISP上。 威胁行为者的基础设施 这场活动很有可能是伊朗的威胁行为者策划的，但Check Point没有足够的证据来证明。该活动很可能是针对这些公司或其客户、供应商和承包商的工业间谍活动或BEC（商业电子邮件泄露）。 威胁行为者发送给目标的电子邮件留有足够的通信空间，使得与受害者建立融洽的关系并获得其信任成为可能，这使得关于BEC的假设更具有可信度。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/t9JsB3Ak5ihEVlgKWcq1rA 封面来源于网络，如有侵权请联系删除

5月11日，网络安全研究人员在NPM注册表中发现了一些恶意软件包，专门针对一些位于德国的知名媒体、物流和工业公司进行供应链攻击。 JFrog研究人员在一份报告中表示，“与NPM库中发现的大多数恶意软件相比，这一有效负载危险性更高。它是一个高度复杂的、模糊的恶意软件，攻击者可以通过后门完全控制被感染的机器。” DevOps公司表示，根据现有证据，这要么是一个复杂的威胁行为，要么是一个“非常激进”的渗透测试。 目前，大部分恶意软件包已经从注册表中移除，研究人员追踪到四个“维护者”bertelsmannnpm、boschnodemodules、stihlnodemodules和dbschenkernpm，这些用户名表明其试图冒充像贝塔斯曼、博世、Stihl和DB Schenker这样的合法公司。 “维护者”bertelsmannnpm 一些软件包的名称非常具体，它意味着对手设法识别了公司内部存储库中的库以进行依赖混淆攻击。 供应链攻击 上述发现来自Snyk的报告，该报告详细描述了其中一个违规的软件包“gxm-reference-web-aut -server”，并指出恶意软件的目标是一家在其私有注册表中有相同软件包的公司。 Snyk安全研究团队表示:“攻击者很可能在该公司的私人注册表中，掌握了这样一个包的存在信息。” Reversing实验室证实了黑客攻击行为，称上传至NPM的恶意模块版本号比私有模块的版本号更高，从而迫使模块进入目标环境，这是依赖混淆攻击的明显特征。 该实验室解释“运输和物流公司的目标私有软件包有0.5.69和4.0.48版本，与恶意软件包的公开版本名称相同，但其使用的是版本0.5.70和4.0.49。” JFrog称这种植入是“内部开发”，并指出该恶意软件包含两个组件，一个是传输器，它在解密和执行JavaScript后门之前，向远程遥测服务器发送有关被感染机器的信息。 后门虽然缺乏持久性机制，但设计用于接收和执行硬编码的命令和控制服务器发送的命令，评估任意JavaScript代码，并将文件上传回服务器。 研究人员称，这次攻击的目标非常明确，并且其掌握了非常机密的内部信息，甚至在NPM注册表中创建的用户名公开指向目标公司。 在此之前，以色列网络安全公司Check Point披露了一项长达数月的信息窃取活动，该活动使用AZORult、BitRAT、Raccoon等商用恶意软件攻击德国汽车行业。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/332868.html 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，俄罗斯胜利日期间，境内部分电视台遭受网络攻击，黑客成功获取权限后，发布反战信息。 据 BBC 报道，这次协同网络攻击影响了包括第一频道、Rossiya-1、MTS、Rostelecom 和 NTV-Plus  等在内俄罗斯的主要媒体。 胜利日期间，在俄罗斯总统普京发表讲话时，黑客组织破坏了俄罗斯在线电视时间表页面，发布反战信息。除此之外，还试图通过智能电视访问电视节目表，向俄罗斯公民展示指责克里姆林宫的宣传信息。 黑客在入侵俄罗斯电视节目表页面后，将每个节目的名称更改为 “你们的手上沾满了成千上万乌克兰人和他们数百名被害儿童的血，电视节目和当局都在撒谎，反对战争”。 匿名者黑客组织第一时间公开了此次网络攻击的消息，但目前尚不清楚哪个组织攻击了俄罗斯媒体。 值得一提的是，此次网络攻击还导致俄罗斯视频流媒体平台 RuTube 下线，部分亲乌克兰黑客认为该平台是俄罗斯宣传的重要组成部分。 遭受攻击后，媒体平台 RuTube 表示，攻击者没有访问其内部档案，正在努力恢复平台。另一方面，网上黑客组织声称，Rutube 的代码已经从平台上完全删除，并计划尽快泄露。 转自 Freebuf，原文链接：https://www.freebuf.com/news/332781.html 封面来源于网络，如有侵权请联系删除

据悉，美国林肯学院定于周五关闭，这使其成为该国第一所部分因勒索软件攻击而关闭的高等教育机构。发布在该学校网站上的一封信件写道，虽然这所学校经历了两次世界大战、西班牙流感和大萧条，但却无法处理新冠大流和发生于去年12月的勒索软件攻击的组合。 学校在公告中写道：“林肯学院是2021年12月网络攻击的受害者，它挫败了招生活动、阻碍了对所有机构数据的访问并造成2022年秋季招生预测的情况不明确。招聘、维持和筹款工作所需的所有系统都无法运行。幸运的是，没有个人身份信息被暴露。在2022年3月完全恢复后，预测会显示出巨大的招生缺口，需要一个变革性的捐赠或合作来维持林肯学院在本学期之后的发展。” 这所伊利诺伊州的学校以亚伯拉罕·林肯总统的名字命名，该校在林肯总统于1865年的生日那天破土动工，是美国教育部认定的仅有的几所以黑人乡村的农村学院之一。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1267645.htm 封面来源于网络，如有侵权请联系删除

美国、英国和欧盟正式指责俄罗斯政府在2月份对卫星通信供应商Viasat进行的网络攻击，该攻击在俄罗斯发动对乌克兰的入侵前几个小时曾引发了整个中欧和东欧地区的故障。欧盟在联合声明中说：”欧盟及其成员国与国际伙伴一起，强烈谴责俄罗斯联邦对乌克兰进行的恶意网络活动，该活动以Viasat公司运营的KA-SAT卫星网络为目标。” 欧盟将这次攻击归咎于俄罗斯。虽然攻击的主要目标被认为是严重依赖卫星通信的乌克兰军方，但2月24日的攻击也影响了乌克兰成千上万的Viasat客户和欧洲各地成千上万的客户的互联网服务。攻击还切断了德国各地约5800台风力发电机的远程访问，它们主要依靠Viasat路由器进行远程监测和控制。 几个月后，对Viasat网络的攻击仍未完全解决。Viasat说，网络攻击还损坏了数万个无法修复的终端，并在其对该事件的最新分析中说，到目前为止，服务商已经向客户提供近3万台路由器，以努力使它们重新上线。 欧盟继续说：”这一不可接受的网络攻击是俄罗斯在网络空间持续不负责任的行为模式的又一个例子，这也构成了其非法和无理入侵乌克兰的一个组成部分，”欧盟补充说，该集团正在”考虑采取进一步措施，防止、阻止、遏制和应对这种恶意行为。” 英国国家网络安全中心在声明中说，军事情报显示”几乎可以肯定”俄罗斯是1月份乌克兰政府网站被破坏以及在入侵前部署Whispergate破坏性恶意软件的幕后黑手。 在正式确定Viasat网络攻击来源之前几周，SentinelOne研究人员表示，该事件很可能是俄罗斯一种名为”AcidRain”的新型刷写式恶意软件的结果，该软件旨在远程擦除易受攻击的调制解调器。Viasat证实，这些发现与它自己对攻击的分析”一致”。 SentinelLabs注意到AcidRain和VPNFilter恶意软件之间的相似之处，联邦调查局在2018年将其归于俄罗斯军事情报部门，被称为”Fancy Bear”- 或APT28 – 黑客组织。最近，美国国家安全局和CISA将该活动与Sandworm联系起来，Sandworm被指控在五年内进行了一系列攻击，包括针对全球数百家公司和医院的破坏性NotPetya网络攻击。APT28和Sandworm都与俄罗斯的军事情报机构GRU有关。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1267741.htm 封面来源于网络，如有侵权请联系删除