分类: 网络攻击

研究发现 Linux 和树莓派成为凭证黑客攻击的首要目标

新的研究表明,黑客经常使用相同的常用密码,通常是默认密码获得服务器的访问权。来自Bulletproof的数据还显示,在黑客使用的顶级默认凭证列表中,默认的Raspberry Pi用户名和登录信息占据了突出位置。 在整个2021年,利用蜜罐进行的研究表明,目前总网络活动的70%是机器人流量。随着黑客越来越多地部署自动化攻击方法,默认凭证是这些不良行为者最常使用的密码,实际上充当了犯罪访问的’骨架钥匙’。  “名单上有默认的Raspberry Pi凭证(un:pi/pwd:raspberry)。互联网上有超过20万台机器在运行标准的树莓派操作系统,这使得它成为不法分子的合理目标。我们还可以看到看起来像是在Linux机器上使用的凭证(un:nproc/pwd:nproc)。”Bulletproof公司首席技术官Brian Wagner说:”这突出了一个关键问题–默认凭证仍然没有被改变。使用默认凭证为攻击者提供了一个最容易的切入点,充当了多个黑客的’骨架钥匙’。使用合法的凭证可以让黑客避免被发现,并使调查和监测攻击变得更加困难。” 今天仍在被攻击者使用的密码中,有四分之一源自2009年12月的RockYou数据库泄漏。这些密码仍然是可行的,Bulletproof公司的渗透测试人员在测试中也尝试使用这些密码,因为它们仍然有很高的成功率。 “在一个服务器被放到互联网上的几毫秒内,它就已经被各种实体扫描了。僵尸网络将以它为目标,然后大量的恶意流量被驱动到服务器,”瓦格纳补充说。”尽管我们的一些数据显示合法的研究公司正在扫描互联网,但我们遇到的进入我们蜜罐的流量的最大比例来自威胁行为者和被破坏的主机。” 完整的Bulletproof年度网络安全行业威胁报告来自该公司的网站。下面有一个正在使用的顶级默认凭证列表。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1247725.htm 封面来源于网络,如有侵权请联系删除

谷歌解释野外攻击为何增加 浏览器安全形势在稳中向好

上周,Chrome Security 团队的 Adrian Taylor,在一篇谷歌安全博客文章中解释了“为何在野外被利用的 CVE 漏洞似乎有所增加”。对于这种漏洞利用的可见性增长趋势,归咎于多个方面的因素。而谷歌旗下的 Project Zero 团队,也有对包括 WebKit、IE、Flash、Firefox 和 Chrome 在内的所有已识别的浏览器零日漏洞展开追踪。 (来自:Google Security Blog) 从 2019 到 2021 年,Chrome 上的这些漏洞利用增势非常明显。但在 2015 到 2018 年,Chrome 却没有记录到零日漏洞。 Chrome Security 团队解释称,虽然这并不意味着完全没有针对 Chromium 内核的浏览器漏洞利用,但由于缺乏完整的归纳试图,可用数据或存在抽样偏差。 那为何大家还是感觉漏洞变多了呢?Chrome Security 将之归结于四个可能的原因 ——(1)供应商透明度、(2)攻击者焦点的演变、(3)站点隔离项目的完工、以及(4)软件错误的复杂性。 ● 首先,许多浏览器厂商都在一改往日的做法,主动通过各自的渠道来披露此类漏洞利用的详情。 ● 其次,攻击者的关注点发生了转移。随着 Microsoft Edge 于 2020 年初切换至 Chromium 渲染引擎,攻击者也自然地盯上了更广泛的受众群体。 ● 第三,错误的增加,或源于最近完成的持续多年的站点隔离项目 —— 其使得一个 bug 的出现,不至于对全局造成过大的伤害。 ● 第四,基于软件存在 bug 这一简单事实,我们必须承认其中有一小部分可被攻击者拿来利用。随着浏览器与操作系统变得日益复杂,更多的错误也是难以避免。 零日漏洞趋势 综上所述,漏洞数量已不再和安全风险直接画等号。即便如此,Chrome 团队仍保证他们会在发布前,努力检测并修复错误。 在利用已知漏洞的 n-day 攻击方面,其“补丁空窗期”已显著减少(Chrome 为 35 天 / 平均 76~18 天)。此外为了防患于未然,Chrome 团队还在努力让攻击变得更加复杂和代价高昂。 在具体正在实施的改进中,包括了不断增强的站点隔离,尤其是针对 Android、V8 heap sandbox 沙箱、MiraclePtr / Scan 项目、内存安全编程语言等新组件,以及被野外利用后的缓解措施等。 最后,对于普通用户来说,最简单的应对方法,就是在看到 Chrome 更新提醒的第一时间执行操作。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1247609.htm 封面来源于网络,如有侵权请联系删除

以色列政府数个网站遭遇网络攻击:现正从瘫痪中恢复

以色列似乎正在从一场大规模的网络攻击中恢复过来。据Haaretz和Kan的Amichai Stein报道,攻击者在周一晚上攻陷了几个以色列政府网站,其中包括卫生部、内政部、司法部和福利部网站。总理办公室的网站也受到了影响。以色列国家网络管理局在一份声明中称,现在所有的网站都已重新上线。 虽然以色列政府还没有正式确定可能的肇事者,但它指出这些网站是拒绝服务攻击的受害者,该攻击使它们的流量泛滥。消息称,网络攻击的目标是拥有gov.il域名的网站,另外还怀疑是一个国家行为者或一个“大型组织”所为。另外获悉,一个跟伊朗有联系的黑客组织据称对这些攻击负责,而且这可能是对以色列针对伊朗核设施的行动的报复。不过,这两件事都没有得到证实。 据该国的一位国防人士透露,目前还不清楚这是否是迄今为止针对以色列的最大的网络攻击。然而,据报道,国家武装部队和国防官员的担忧足以宣布进入紧急状态并审查可能的损害,其中包括任何可能危及其他关键网站和关键基础设施的情况。 据了解,这些拒绝服务攻击不太可能造成很大的损害。它们只是让网站更难访问,但没有证据表明肇事者破坏了网站或泄露了数据。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1246989.htm 封面来源于网络,如有侵权请联系删除

日本电装德国分部大量机密数据被窃取 黑客威胁将公开

丰田汽车旗下零部件制造商日本电装于13日宣布,其德国当地法人受到了网络攻击。该公司确认其网络感染了勒索软件。被认定发动了此次攻击的黑客集团已经发布了勒索声明。公司称虽然目前并没有立刻对公司经营造成影响,但是“关于受害的详细情况正在调查中”。公司已向德国当地政府提交了受害报告。 据信息安全公司三井物产安全咨询的吉川孝志说,13日,在操纵勒索软件的新兴网络犯罪集团“Pandora(潘多拉)”的主页上刊登了“盗取并公开电装的机密数据”的声明。 数据为1.4TB,文件超过15万7千份,内容为设计图、订购书扫描件、邮件和打印机的印刷数据等。电装并未明确表示有无被索要赎金,只称“详细情况正在确认中”。另一方面,公司未确认对其全球所有生产基地的影响,表示将继续正常运行。 近段时间黑客勒索事件猖獗,从英伟达到三星、环球晶等跨国公司,都受到了来自黑客组织的威胁。近期英伟达与黑客组织Lapsus$的攻防战让很多人开了眼界,尽管最终英伟达并未能挽回数据,但也让各行各业意识到了构建自身网络安全的重要性。   转自 新浪财经 ,原文链接:https://t.cj.sina.com.cn/articles/view/7725047728/1cc72dfb0001010f3z 封面来源于网络,如有侵权请联系删除

3 月份近 90% 的网络攻击是针对俄罗斯和乌克兰的

我们已经习惯了来自俄罗斯的大量网络攻击,但在乌克兰被入侵后出现了一个有趣的转变,3月份70%的网络攻击反过来都是针对俄罗斯的。Atlas VPN的研究显示,还有19%的攻击是针对乌克兰的。美国是第三大目标,但国际局势让针对该国的攻击只占总数的5%。 3月5日,随着匿名黑客宣布对俄罗斯进行全面的网络战争,共有50亿次攻击涌向俄罗斯。他们泄露了政府雇员的数据,并入侵了俄罗斯国家电视频道。 在其他发现中,全球90%的攻击使用DDoS来造成服务中断。银行和其他支付处理公司遭受了全球72%的网络攻击。商业部门是21%的攻击目标,计算机和IT部门遭受了全球2%的网络攻击,所有其他行业占5%的攻击。 你可以在Atlas VPN博客上阅读更多细节: https://atlasvpn.com/blog/nearly-90-of-cyberattacks-worldwide-are-targeting-russia-or-ukraine 以下是图形形式展现的统计数据:   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1245459.htm 封面来源于网络,如有侵权请联系删除

黑客滥用 Mitel 设备将 DDoS 攻击放大40亿倍

Hackernews 编译,转载请注明出处:   研究员发现,黑客滥用高影响反射/放大方法,实施长达14小时的持续分布式拒绝服务攻击,放大率达到了破纪录的4294967296倍。 这种攻击载体被称为 TP240PhoneHome (CVE-2022-26143) ,已经被武器化,可以针对宽带接入服务提供商、金融机构、物流公司、游戏公司和其他组织发起严重的 DDoS 攻击。 Akamai 研究员 Chad Seaman 在一份联合报告中说: “大约有2600个 Mitel MiCollab 和 MiVoice Business Express 协作系统作为 PBX联网的网关被错误地部署,一个频繁使用的系统测试设施暴露在一个公共互联网上。” “攻击者主动利用这些系统发起每秒5300多万个数据包的反射/放大 DDoS 攻击(PPS)。” DDoS 反射攻击通常包括假冒受害者的 IP 地址,以重定向来自目标服务器(比如 DNS、 NTP 或 CLDAP 服务器)的响应,这种方式使得发送给假冒的发送者的答复远大于请求,导致服务完全无法访问。 攻击的第一个迹象据说是在2022年2月18日被发现的,黑客使用 Mitel 的 MiCollab 和 MiVoice 商业快递协作系统作为 DDoS 反射器,多亏一个未经认证的测试设施无意中暴露在公共互联网上,这才有了线索。 “这个特定的攻击载体不同于大多数 UDP 反射/放大攻击方法,因为暴露的系统测试设施可以被滥用,通过一个单独的仿冒攻击发起包,发动持续时间长达14小时的 DDoS 攻击,导致数据包放大比为惊人的4,294,967,296比1。” 具体来说,这些攻击将一个名为 tp240dvr (“ TP-240驱动程序”)的驱动程序武器化,这个驱动程序被设计用来监听 UDP 端口10074上的命令,“它并不打算暴露在互联网上,”Akamai 解释说,并补充道,“但正是其在互联网的暴露最终导致了它被滥用。” “对 tp240dvr 二进制文件的检查表明,由于其设计,攻击者理论上可以使该服务对单个恶意命令发出2,147,483,647个响应。每个响应在线路上产生两个数据包,导致大约4,294,967,294个放大的攻击数据包指向受害者。” 作为对这一发现的回应,Mitel在周二发布了软件更新,禁止公开访问测试功能,同时将这一问题描述为访问控制漏洞,黑客可以利用该漏洞获取敏感信息。 该公司表示: “ 对于那些使用被滥用为 DDoS 反射器/放大器的 Mitel MiCollab 和 MiVoice Business Express 协作系统的组织来说,tp-240反射/放大攻击的附带影响要引起重视。” “影响可能包括部分或全部这些系统中的语音通信中断,以及由于传输能力消耗、网络地址转换的状态表耗尽、状态防火墙等原因造成的额外服务中断。”     消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

“匿名者”组织宣称侵入俄罗斯太空研究网站并泄露任务文件

作为俄乌冲突抗议活动的后续,“匿名者”组织刚刚宣称破坏了一个属于俄罗斯空间研究所(IKI)的网站,并在推特上发布了指向俄罗斯联邦航空局(Roscosmos)泄露数据的缓存页面的链接。Vice 报道称,黑客似乎侵入了 IKI 网站的一个子域,同时其它子域仍处于正常在线的状态。 据悉,网站受损部分与世界空间紫外天文台(WSO-UV)有关,该项目与哈勃太空望远镜类似,并计划于 2025 年发射升空。 周五上午,@YourAnonNews 推特账户披露本次攻击与 v0g3lSec 有关,且当时 uv.ikiweb.ru 网站处于无法访问的状态,上方截图为 3 月 3 日上午的缓存页面。   此外 @YourAnonNews 账户分享了一个指向云端 .zip 压缩包文件的链接,下载后可知其中包含了手写表单、PDF 文档、电子表格等资料,且包含了对月球任务的相关描述。 对此,外媒暂时无法验证数据的真实性。但在美国宣布制裁后,俄罗斯航天局负责人曾暗示美俄双方的航天合作可能会走到尽头,乃至威胁到国际空间站的未来运营。   (消息及封面来源:cnBeta)

参与乌克兰难民援助工作的欧洲政府官员成为网络钓鱼活动的目标

据CNET报道,网络安全公司Proofpoint周三表示,欧洲官员正被一场似乎是国家支持的网络钓鱼活动所攻击,目的是破坏他们帮助乌克兰难民的努力。 据该公司的研究人员称,攻击者正在使用可能被盗的乌克兰武装部队成员的电子邮件账户,针对管理逃离该国的难民的后勤工作的官员。这些电子邮件带有一个恶意的宏附件,试图将危险的恶意软件(研究人员称之为SunSeed)下载到目标计算机上。 该活动是在俄罗斯军队向乌克兰首都推进,促使数十万人逃离,并阻塞了乌克兰与波兰、匈牙利、斯洛伐克和罗马尼亚等几个国家的边境口岸之际进行的。据Proofpoint称,该活动可能是试图找出这些人以及帮助他们所需的资源的下一个目的地。   虽然被攻击的欧洲官员有不同的专业知识和工作职责,但攻击者似乎专注于与运输、财务和预算分配、行政管理以及欧洲内部人口流动有关的职责。 研究人员在他们的报告中写道:“这一活动可能代表了一种尝试,以获得有关北约成员国内部资金、物资和人员流动的后勤保障的情报。” 虽然研究人员没有直接将该活动归于一个特定的国家或网络犯罪集团,但他们确实注意到,从技术角度来看,它类似于以前与一个被称为Ghostwriter或TA445的攻击者有关的行动,据信该攻击者在白俄罗斯运作。 Proofpoint说,该攻击者还与大型虚假信息行动有关,该行动旨在操纵与北约国家内难民有关的欧洲舆论。   (消息及封面来源:cnBeta)

乌克兰网络警察部队参战:已对多家俄罗斯主要网站发起攻击

乌克兰网络警察部队(Ukrainian cyber police force)公开宣布加入网络战争,已经对多家俄罗斯主要网站和国家在线门户网站发起攻击。正如该部队在公告中所详述的,该部队的专家与志愿者联手攻击俄罗斯和白俄罗斯的网络资源。 这三个国家目前正在进行大规模的武装力量冲突,其中包括网络前线,这甚至在入侵之前就表现出来了。周六,乌克兰官员决定组建一支特殊的“IT 军队”(IT Army),由来自全球的网络特工和志愿黑客组成。 志愿者们利用可以招募到的任何可用火力,对俄罗斯和白俄罗斯的网站发起攻击,并协调针对敌方地面上的高级官员和意见领袖的大规模数据曝光行动。乌克兰网络警察宣布已针对俄罗斯联邦调查委员会、联邦安全局(FSB)和俄罗斯国有银行 Sberbank 的网站发起攻击。 在本次攻击中,以下网站被关闭 ● sberbank.ru ● vsrf.ru ● scrf.gov.ru ● kremlin.ru ● radiobelarus.by ● rec.gov.by ● sb.by ● belarus.by ● belta.by ● tvr.by Bleeping Computer 在撰文时候访问上述网站,均已经无法访问。IT Army 的 Telegram 频道列出了以下网站在成功的网络攻击后被关闭。今天,乌克兰网络警察宣布了一个新的信息收集系统,人们可以提交俄罗斯网络的已知漏洞,分享对关键系统的访问,等等。 例如,一个名为“Cyber Partisans”的白俄罗斯黑客组织声称破坏了白俄罗斯的火车,以帮助延缓俄罗斯军队的运输。另一个被称为“AgainstTheWest”的黑客组织也以俄罗斯的利益为目标,声称已经不断入侵俄罗斯的网站和公司。     (消息及封面来源:cnBeta)

黑客威胁曝光NVIDIA 1TB机密数据 公开叫卖RTX 30挖矿破解算法

近日,NVIDIA遭遇南美黑客组织LAPSU$的勒索软件攻击,一度导致电子邮件、开发工具中断,不过官方称业务正常没受影响,还对黑客发动了反击,黑掉了对方的机器。 但还没完,黑客组织今天放出消息称,他们黑进NVIDIA系统长达一周左右,NVIDIA虽然发动了反攻,但他们依然获得了大约1TB的数据,包括产品设计蓝图、驱动、固件、文档、工具、SDK开发包等等。 他们正在等待NVIDIA与之联系,目的自然是让NVIDIA出价买回去这些机密数据。 黑客称,如果得不到回应,就会采取行动。 事实上,黑客已经在行动了,正在公开叫卖RTX 30系列显卡LHR v2锁算力版本的破解算法,同时要求NVIDIA移除RTX 30全系的挖抗限制。 诡异的是,黑客声称,他们这么做是为了帮助矿主、游戏玩家,因为这种限制对大家都不友好。 这神逻辑,真是够了…… 目前,NVIDIA尚未做进一步表态。     (消息及封面来源:快科技)