援引外媒 ZDNet 今天早些时候报道，有攻击者利用 Citrix ADC 网络设备向 Steam、Xbox 等在线游戏服务发起拒绝服务攻击（DDoS）。首波攻击上周被德国 IT 系统管理员 Marco Hofmann 发现并记录在案。 图片来自于 WikiMedia 随后 Hofmann 追踪到了 Citrix ADC 设备上的 DTLS 接口。DTLS，即数据报传输层安全，是 TLS 协议的一个更多版本，实现在对流友好的 UDP 传输协议上，而不是更可靠的TCP。就像所有基于UDP的协议一样，DTLS是可欺骗的，可以作为DDoS放大载体。 这意味着，攻击者可以向具有DTLS功能的设备发送小的DTLS数据包，并将结果以一个大很多倍的数据包返回到一个被欺骗的IP地址（DDoS攻击受害者）。原数据包被放大多少倍，决定了具体协议的放大系数。对于过去基于 DTLS 的 DDoS 攻击，放大系数通常是原始数据包的 4-5 倍。 不过在本周一的报告中，在 Citrix ADC 设备上实现的 DTLS 似乎被放大了 35 倍，使其成为最有力的 DDoS 放大载体之一。在多家媒体报道之后，Citrix 也承认这个问题，并承诺会在圣诞节假期之后在明年 1 月中旬发布修复补丁。该公司表示，已经有证据表明有黑客利用该 DDoS 向全球少数客户发起攻击。 当攻击者滥用Citrix ADC设备时，他们可能最终会耗尽其上游带宽，造成额外的成本并阻止来自ADC的合法活动。 在Citrix准备好官方缓解措施之前，出现了两个临时的修复方法。第一种是在不使用Citrix ADC DTLS接口的情况下，禁用该接口。第二种是如果需要 DTLS 接口，建议强制设备验证传入的 DTLS 连接，尽管这可能会因此降低设备的性能。     （消息及封面来源：cnBeta）

据外媒体报道，近日，有黑客窃取了英国一家大型整容连锁店– Hospital Group的数据并威胁要公布患者手术前后的照片和其他细节。Hospital Group目前已经证实遭到了勒索软件的攻击。该公司表示，其已将此事告知信息专员(Information Commissioner)。 黑客组织REvil在其暗网网页上表示，顾客的照片并不完全是令人愉快的景象。它声称已经获得了超过900G的病人照片。 遭到网络攻击的Hospital Group–也被称为Transform Hospital Group–声称是英国减肥和美容手术的领先者。 据悉，它拥有11家专门从事减肥手术、隆胸、乳头矫正和鼻子调整的诊所。 该公司此前曾通过名人代言来宣传自己，不过已经有好几年没有这样做了。 前Big Brother选手Aisleyne Horgan-Wallace 2009年曾向Zoo杂志透露了她在Hospital Group做过丰胸手术。Atomic Kitten歌手Kerry Katona、《无耻之徒》女演员Tina Malone和真人秀《The Only Way is Essex》明星Joey Essex也都曾是该诊所的病人。 Hospital Group在一份声明中说道：“我们可以证实我们的IT系统已经遭遇了数据安全漏洞。虽然我们所有病人的支付卡信息都未被泄露，但在现阶段，我们了解到一些病人的个人数据可能已被访问。” 该公司表示，他们已经向所有客户发送了有关此次网络攻击的电子邮件并将联系可能有更多个人信息被泄露的个人。 勒索软件是最常见的网络攻击形式之一。它通常涉及黑客进入计算机网络、对文件进行加密或将用户锁定在系统之外直到被攻击一方支付赎金。 针对这种现象，执法机构不鼓励受害者支付赎金，因为这样做会助长犯罪团伙的犯罪火焰。 网络安全公司EMSIsoft估计，在2020年，这种迅速发展的网络犯罪形式为犯罪分子带来了250亿美元的收入。 REvil–也被称为Sodinokibi–是最多产的勒索软件组织之一。备受瞩目的受害者包括货币交易所Travelex和娱乐律师事务所Grubman Shire Meiselas & Sacks。       （消息来源：cnBeta；封面来自网络）

12月22日，来自美国、德国、荷兰、瑞士、法国的执法机构，以及欧洲刑警组织的欧洲网络犯罪中心（EC3）宣布关闭Safe Inet。这是一种流行的虚拟专用网络（VPN）服务，曾用于协助犯罪活动。 犯罪活动所涉及的三个域名——insorg[.]org、safe inet[.]com和safe inet[.]net被关闭，其基础设施被查封，这是一项名为“Operation Nova”的联合调查的一部分。 欧洲刑警组织称Safe Inet是网络罪犯的“最爱”。 这些域名在协助勒索软件、网页掠夺、鱼叉式钓鱼和账户接管攻击方面发挥了核心作用。 这些服务支持俄语和英语，已经活跃了十多年，它为网站访问者提供“防弹托管服务”，对黑社会来说代价高昂。 截至12月1日，Pro订阅的费用在1.3美元/天到190美元/年之间，可以完全访问其整个服务器名单。 防弹托管（BPH）也被称为抗滥用服务，它不同于常规的web托管，因为它允许内容提供商更加方便地托管在这些服务器上的数据类型，从而更容易逃避执法。 根据网络安全公司Trend Micro今年10月的一项分析，防弹主机利用各种方式维持其翼下的犯罪活动，并能够在全球范围内战略性地分配资源，牢记地区法律和地理特征。众所周知，它们可以最大限度地减少有用的日志文件的数量，并且只能从匿名来源（例如Tor网络）访问系统。 “这种活动可能以借口回应受害者提出的投诉，将其客户数据从一个IP地址、服务器或国家转移到另一个，以帮助他们逃避检测。美国司法部（DoJ）表示没有日志可供执法部门审查。” 司法部补充，“BPH服务故意支持其客户的犯罪活动，并成为这些犯罪计划的共谋者。” 欧洲刑警组织还表示，他们在全球范围内发现了大约250家被犯罪分子监视的公司，攻击者利用安全的Inet基础设施发动潜在的勒索软件攻击。       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

据外媒CNET报道，一场复杂的或由俄罗斯黑客进行的攻击活动的范围继续被披露，该活动已经渗透到美国联邦机构和私营公司。据《纽约时报》周一的报道，黑客设法侵入美国财政部高层官员使用的电子邮件系统等。 据报道，参议员罗恩·怀登(Ron Wyden)在为参议院金融委员会举行的简报会后表示，财政部承认其“从7月份开始遭受了严重的入侵。”他补充说，黑客入侵的 “最大程度”尚不清楚。据《纽约时报》报道，Wyden补充说，该部门从运行其大部分通信软件的微软那里了解到这一漏洞。 务部，以及国家卫生研究院。漏洞始于黑客入侵网络安全公司SolarWinds，该公司销售的软件可以让机构看到其计算机网络上发生的事情。据报道，数十家私营公司–包括微软、思科、英特尔和FireEye–也感染了该恶意软件。 上周，美国国家安全机构发表联合声明，称这次活动是“重大的、持续的黑客活动”。美国国务卿迈克·蓬佩奥和一些网络安全专家将此次黑客活动归咎于俄罗斯。 美国财政部拒绝对《纽约时报》的报道发表评论，但指出美国财政部部长史蒂夫·姆努钦周一在CNBC上发表的关于网络攻击的评论。 姆努钦说：“我们的非机密系统确实有一些访问权限。”他补充说，该部门没有看到任何入侵其机密系统的情况。“我要说的好消息是，没有任何损害，也没有看到任何大量信息被转移。”         （消息及封面来源：cnBeta；）

上周曝出的 IT 管理公司 SolarWinds 遭受黑客入侵事件，又陆续揭示了更多的受害者。据说有俄方背景的黑客组织，对包括美国财政部、商务部、能源部、国土安全部等在内的目标发起了攻击，且据信其中两个可能有邮件失窃。由于 SolarWinds 的客户数量众多，外媒猜测有更多大型科技企业遭到了类似的攻击。 （图 via SeekingAlpha） 《华尔街日报》的最新报道称，包括思科、英特尔、英伟达、贝尔金、VMware 等在内的私企网络，也都被发现感染了同样的恶意软件。 此前 SolarWinds 曾表示，有“少于 18000 家”企业受到了影响。尽管已证实的案例相对较少，但今日的新闻还是让许多知名企业从“可能受影响”变成了“确定受影响”。 尽管目前许多大型科技巨头都表示正在对相关事件展开调查，且认为自身尚未受到影响。但正如 2016 年民主党全国委员会的邮件泄密事件那样，后续的打脸可能会来得特别快。 毕竟想要揭开黑客攻击事件的全面影响，可能要花费相当长的时间。此外美联社的早前报道指出，企业或很难判断是否已彻底将恶意软件从其网络中清除。 更糟糕的是，调查发现另一个技术似乎不那么纯熟的黑客团体也在利用类似的漏洞入侵 SolarWinds 。且被称作“超新星”（Supernova）的早期攻击，只是被称作 Sunburst 的主攻击的一部分。 最后，虽然私企对 SolarWinds 系统攻击事件的反应并不强烈，但美国联邦政府已宣布旗下所有机构都立即放弃 SolarWinds 的 IT 管理系统。         （消息来源：cnBeta；封面来源于网络）

近日，一名网络攻击者在黑客论坛发帖，免费公布了从 Ledger 窃取的电子邮件和邮寄地址。Ledger 是一家硬件加密货币钱包，用于存储、管理和销售加密货币。这些钱包中的资金使用 24 个字的恢复短语以及一个可选的秘密口令来保护所有者。 在今年 6 月 Ledger 网站被爆出现数据泄漏事件，利用安全漏洞允许攻击者访问用户的联系人信息。今天，一位威胁攻击者分享了一个存档，其中包括“All Emails (Subscription).txt” 和 “Ledger Orders (Buyers) only.txt”两个文本，包含数据泄漏期间被盗取的数据。 All Emails (Subscription).txt 包含了 1,075,382 名订阅 Ledger 通讯的人的电子邮件地址；而 Ledger Orders (Buyers) only.txt 包含了 272,853 名购买 Ledger 设备的人的姓名、邮寄地址和电话号码。 网络安全情报公司 Cyble 已经与 BleepingComputer 分享了这份泄露的文件，外媒随后已经与 Ledger 的所有者确认，数据是准确的。Ledger 在推特中进一步确认，这次数据转储很可能来自2020年6月的数据泄露事件。         （消息及封面来源：cnBeta）

据外媒ZDNet报道，随着SolarWinds供应链攻击事件后的取证证据慢慢被发掘出来，安全研究人员发现了第二个威胁行为体，它利用SolarWinds软件在企业和政府网络上植入恶意软件。关于这第二个威胁行为体的细节仍然很少，但安全研究人员认为这第二个实体与疑似俄罗斯政府支持的入侵SolarWinds的黑客组织没有关系，后者在Orion应用内植入恶意软件。 原始攻击中使用的恶意软件代号为Sunburst（或Solorigate），作为Orion应用的“booby-trapped”（诡雷代码）更新交付给SolarWinds客户。在受感染的网络上，恶意软件会ping其创建者，然后下载名为Teardrop的第二个阶段性后门木马，允许攻击者开始动手操作键盘会话，也就是所谓的人为操作攻击。 但在SolarWinds黑客事件公开披露后的头几天，最初的报告提到了两个第二阶段的有效载荷。来自Guidepoint、赛门铁克和Palo Alto Networks的报告详细介绍了攻击者如何同时植入一个名为Supernova的.NET web shell。 安全研究人员认为攻击者是利用Supernova webshell来下载、编译和执行一个恶意Powershell脚本（有人将其命名为CosmicGale）。 然而，在微软安全团队的后续分析中，现在已经澄清Supernova网页壳并不是原始攻击链的一部分。他们发现Supernova安装在SolarWinds上的公司需要将此次事件作为一个单独的攻击事件来处理。 根据微软安全分析师Nick Carr在GitHub上的一篇文章，Supernova webshell似乎被种植在SolarWinds Orion安装上，这些安装已经暴露在网上，并被利用类似于追踪为CVE-2019-8917的漏洞。 Supernova与Sunburst+Teardrop攻击链有关的困惑来自于，和Sunburst一样，Supernova也被伪装成了猎户座应用的DLL–Sunburst隐藏在SolarWinds.Orion.Core.BusinessLayer.dll文件内，Supernova则隐藏在App_Web_logoimagehandler.ashx.b6031896.dll内。 但在12月18日周五晚些时候发布的分析报告中，微软表示，与Sunburst DLL不同，Supernova DLL并没有使用合法的SolarWinds数字证书进行签名。 Supernova没有被签名这一事实被认为是攻击者极不正常的行为，在此之前，攻击者在操作上表现出了非常高的复杂性和对细节的关注。 这包括花几个月时间在SolarWinds的内部网络中不被发现，提前在Orion应用中添加虚拟缓冲区代码以掩饰日后添加恶意代码，并将他们的恶意代码伪装成SolarWinds开发人员自己编写的样子。 这些似乎都是太明显的错误，最初的攻击者不会这么做，因此，微软认为这个恶意软件与最初的SolarWinds供应链攻击无关。       （消息来源：cnBeta；封面来自网络）

远程访问木马（RAT）的防御者不会立即辨别这是来自APT黑客的恶意软件。同样，网络服务（例如电子邮件、Microsoft Autodiscover、SMB、LDAP和SQL）的恶意攻击也是如此。在2020年，APT黑客组织Pawn Storm使用非复杂的攻击方法。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1434/         消息来源：trendmicro，封面来自网络，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

利用 SolarWinds 的 Orion 网络管理平台，本月初黑客成功入侵了包括美国财政部在内的诸多政府机构网站。而援引雅虎新闻报道，这群黑客在去年 10 月就曾尝试分发恶意软件，比之前该公司发布的公告早了 5 个月。 消息称黑客在 2019 年 10 月就尝试分发有问题的 Orion 版本，只不过当时并没有像今年春季那样植入后门。一位参与调查的消息人士透露：“我们认为，当时他们只是想要测试是否会成功、是否会被检测到。所以这多少是一次预演。在验证成功之后他们并没有马上采取攻击，而是徐徐跟进扩大战果。这表明他们更加严谨和慎重”。 10月份的文件是在几个受害者的系统中发现的，但调查人员至今没有发现黑客五个月后，黑客在SolarWinds软件更新服务器上添加了新的恶意文件，这些文件被分发并安装在联邦政府机构和其他客户的网络上。这些新文件在受害者网络上安装了一个后门，允许黑客直接访问它们。 10月份的文件是在几个受害者的系统中发现的，但调查人员至今没有发现黑客在文件登陆这些系统后，在这些系统上进行任何额外的恶意活动的迹象。 据报道，目前受感染的受害者的具体数量仍不得而知，但2020年春季文件被入侵的部分受害者包括：美国财政部和商务部内的部门、国土安全部、为能源部工作的国家实验室，以及监管国家核武器储备的国家核安全管理局。在商业领域，安全公司FireEye也被黑客通过SolarWinds软件入侵，周二晚些时候，微软承认在其网络上也发现了恶意的SolarWinds文件。         （消息及封面来源：cnBeta）

据外媒报道，据美知情官员透露，美能源部(DOE)和国家核安全管理局(NNSA)拥有黑客入侵了他们网络的证据，作为一项大规模间谍活动的一部分，该网络攻击至少影响了六家联邦机构。当地时间周四，在听取了DOE首席信息官Rocky Campione的汇报后，该机构和NNSA的官员开始协调向各自的国会监督机构通报此次事件。 他们发现联邦能源监管委员会(FERC)、新墨西哥州和华盛顿的桑迪亚和洛斯阿拉莫斯国家实验室、国家安全局安全运输办公室和DOE里奇兰驻外办公室的网络存在可疑活动。据披露，黑客对FERC造成的破坏比其他机构都要大，官员已经掌握高度恶意活动的证据，但他们并没有就此给出详细的说明。 这些官员称，一直在协助联邦政府应对大规模黑客攻击的网络安全和基础设施安全局(CISA)本周向联邦监管委员会表示，其机构已不堪负荷，可能无法分配必要的资源进行应对。因此，DOE将为FERC分配额外的资源以帮助调查黑客事件–尽管FERC是一个半自治机构。 美DOE发言人Shaylyn Hynes表示，对此次黑客攻击正在进行的调查发现，作案者并没有进入关键的防御系统。 对DOE的攻击是迄今为止表明黑客能进入美国国家安全机构核心部分的网络的最明确迹象。据信，这些黑客通过破坏软件公司SolarWinds侵入了联邦机构的网络，据悉，该公司向数百个政府和私营部门客户销售IT管理产品。 DOE官员表示，他们计划周四向参众两院的能源委员会、参众两院的能源和水开发小组委员会、参众两院的军事委员会以及新墨西哥州和华盛顿州的代表团通报这一漏洞。 NNSA负责管理美国的核武器，虽然它得到的关注最少，但却占据了能源部预算的绝大部分。同样，桑迪亚国家实验室和洛斯阿拉莫斯国家实验室在进行跟民用核能和核武器有关的原子研究。美国安全运输办公室(Office of Secure Transportation)的任务是运送对维持核储备至关重要的浓缩铀和其他材料。 黑客们将目标对准美国能源部里奇兰驻外办公室可能是将网撒得过大。该办公室的主要职责是监督华盛顿州汉福德核废料场的清理工作。在第二次世界大战和冷战期间，美国2/3的钚都是在那里生产的，但该基地自1971年以来就不再活动了。 对FERC的攻击则可能是为了破坏美国的大型电网。FERC不直接管理任何电力，但它会在电网上存储敏感数据，这些数据可用于识别未来攻击中最具破坏性的位置。         （消息及封面来源：cnBeta）