网络基础设施公司 Cloudflare 周一披露，该公司挫败了一次创纪录的分布式拒绝服务 (DDoS) 攻击，该攻击的峰值超过每秒 7100 万个请求 (RPS)。 “大多数攻击在每秒 50-70 百万个请求 (RPS) 的范围内达到峰值，最大的超过 7100 万，”该公司称其为“超容量”DDoS 攻击。这也是迄今为止报告的最大的 HTTP DDoS 攻击，比谷歌云在 2022年6月缓解的4600万次 RPS DDoS 攻击高出 35% 以上。 Cloudflare 表示，这些攻击针对的是受其平台保护的网站，它们来自一个僵尸网络，该僵尸网络包含属于“众多”云提供商的 30,000 多个 IP 地址。 目标网站包括流行的游戏提供商、加密货币公司、托管提供商和云计算平台。 此类 HTTP 攻击旨在向目标网站发送大量 HTTP 请求，通常数量级高于网站可以处理的数量，目的是使其无法访问。 “如果请求数量足够多，网站的服务器将无法处理所有攻击请求以及合法用户请求，”Cloudflare 说。 “用户会遇到这种情况，因为网站加载延迟、超时，最终根本无法连接到他们想要的网站。” 随着 DDoS 攻击的规模、复杂性和频率不断上升，公司取得了进展，该公司记录到2022年最后一个季度的 HTTP DDoS 攻击同比激增 79%。 更重要的是，与前三个月相比，持续超过三个小时的容量攻击数量激增了 87%。 在此期间，一些主要受到攻击的垂直行业包括航空、教育、游戏、酒店和电信。格鲁吉亚、伯利兹和圣马力诺成为 2022 年第四季度 HTTP DDoS 攻击的主要目标国家之一。 另一方面，网络层 DDoS 攻击针对中国、立陶宛、芬兰、新加坡、中国台湾、比利时、哥斯达黎加、阿联酋、韩国和土耳其。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/kX3ZjAvAE7z0-We276h3lg 封面来源于网络，如有侵权请联系删除

美国国家标准与技术研究所（NIST）宣布，名为Ascon的认证加密和散列算法系列将成为标准算法，用于轻量级密码学应用。 该算法旨在保护由物联网（IoT）创建和传输的信息，包括其无数的微型传感器和执行器。同时也被设计用于其他微型技术，如植入式医疗设备、道路和桥梁内的压力检测器以及车辆的无钥匙进入。 换句话说，这个算法是对在拥有 “有限的电子资源 “的设备中通过轻量级密码学进行安全保护。也就是说，NIST仍然推荐高级加密标准（AES）和SHA-256用于一般用途。 在此之前NIST 收到了 57 个提案，经过了几轮安全分析，最后一轮入围的 10 个候选算法都表现优异。ASCON 获胜是因为它更灵活，在弱硬件上速度更快，短报文消耗低。ASCON 由 Graz 理工大学、Infineon Technologies、Lamarr Security Research 和 Radboud University 密码学家团队联合开发。 从开发者那里我们了解到，ASCON主要针对受限制的设备，即使对手在数据处理过程中设法收集关于内部状态的敏感信息，也无法利用它来恢复秘钥。 同时，Ascon还为提供带有关联数据的验证加密（AEAD），AEAD保护消息的机密性，但它也允许在不加密的情况下包含额外的信息，例如消息的标头或设备的IP地址。该算法确保所有受保护的数据都是真实的，并且在传输过程中没有改变。AEAD可用于车对车通信，还有助于防止与射频识别(RFID)标签交换的消息被伪造，射频识别(RFID)标签通常有助于跟踪仓库中的包裹。 目前，该算法可以用不同的编程语言来实现，如C、Java、Python和Rust。 NIST团队下一步计划发布NIST IR8454，其中描述了选择和评估过程的细节；与Ascon设计师合作起草新的轻量级密码学标准以征求公众意见，最终确定标准化的细节；举办虚拟公共研讨会，进一步解释选择过程并讨论标准化的各个方面（例如，其他变体、功能和参数选择）以及轻量级密码项目范围的可能扩展。研讨会的暂定日期为2023年6月21日至22日。   转自 Freebuf，原文链接：https://www.freebuf.com/articles/357231.html 封面来源于网络，如有侵权请联系删除

前不久号称史上最好的Windows系统“Win11”宣布首个正式版21H2将逐渐下线，系统用户将全面升级至22H2。 强制升级 前不久微软发出公告表示，Windows 11首个版本21H2（Build 22000）将于10月10日结束支持。所以官方决定，将面向 Windows 11 21H2 家庭版和专业版的设备开启自动更新到 Windows 11 22H2 版本。微软也开始通过 Windows Update 广泛部署 Windows 11 22H2。 同时微软称，此次更新将是渐进式的、长期的，并优先考虑面向运行 21H2 版本的设备。 不过，微软特别提到，对于11代酷睿和安装有Intel SST驱动程序特定版本的用户，更新暂不会推送，原因是会导致蓝屏错误，建议将驱动程序升级到version 10.30.00.5714或10.29.00.5714版本及更新。 对于此次的自动更新，用户也是褒贬不一。有部分用户表示此次Windows 11 22H2的更新增加了很多新功能包括快速布局改进、全局字幕、重新设计的任务栏图标溢出效果、新的任务管理器等，提升了用户体验。 但是也有一大批用户表示，“近几年系统的迭代对内存占用问题一直都在增长，我什么都没用呢 ，系统怎么占用这么多的内存 ？这是系统的正确升级方向吗？”。 当然，对于微软这种自动（强制）更新的情况我们已经是屡见不鲜了，但是在刚更新不久就出现了严重Bug。 刚升级就出问题 近日，安全硬件制造商 SonicWall 提醒客户，在Windows 11 22H2版系统上的网页内容过滤（WCF）功能出现限制使用的情况。 WCF功能允许管理员配置，允许或阻止对各种域/IP地址的访问，启用网络活动报告以方便监控，并节制带宽。简单来说就是类似“阻止打开可疑网址”的功能。 “该公司在周三发布的公告中说：”我们发现在运行Windows 11 22H2版本的端点上，Capture Client Windows 3.7.6和更早的客户端存在不一致的情况。”这导致在受影响的端点上强制执行封锁类别的网络内容过滤（WCF）不再有效。仅能使用自定义列表允许或阻止域名/URL。” 基于在限制访问恶意、非法或不适当的网络内容方面至关重要，Windows 11 22H2用户现在很容易受到潜在安全风险的影响，因为他们可以访问以前限制的域和URL。 该服务被破坏是因为Windows终端和SonicWall内容过滤服务之间交换的加密和解密的请求和响应是使用微软的加密应用编程接口（CryptoAPI）发送的。而在Windows 11 22H2版本中，微软CryptoAPIs已经被修改，使得Capture Client无法解密来自SonicWall内容过滤服务的响应。 目前该公司表示，他们正在对这一问题进行修复，并将在2月17日发布用于Windows的Capture Client 3.7.7时提供。 作为临时措施，SonicWall已建议管理员放弃将其Windows端点更新到最新的Windows 11版本，以避免破坏内容过滤。同时建议运行Windows 11的用户不要升级到22H2版本，直到Windows的Capture Client 3.7.7可用。     转自 Freebuf，原文链接：https://www.freebuf.com/news/357087.html 封面来源于网络，如有侵权请联系删除

根据网络安全保险公司Coalition最新发布的网络威胁指数报告，预计2023年平均每月将有1900个危险漏洞披露，比2022年增长13%，其中高危漏洞270个、严重高危漏洞155个。   最新的“网络威胁指数”预测基于Coalition公司过去十年通过其主动风险管理与预防技术收集的数据，这些数据来自承保和索赔、其全球蜜罐传感器网络以及对超过52亿个IP地址的扫描。报告称，2023年绝大多数漏洞利用发生在公开披露后90天内，其中大多数利用集中在漏洞披露后30天内。 据Coalition介绍，该预测模型基于其季节性自回归综合移动平均模型，分析了过去十多年的漏洞和季节性数据，在此基础上对2023年的新增漏洞数量、类型和严重性进行了预测。 Coaliton还分析了蜜罐监测到的22000次网络攻击，以了解攻击者的技术。 94%的企业至少有一个未加密服务公开暴露 报告指出，在2022年扫描的组织中，94%的企业至少有一个未加密的服务暴露在互联网上。远程桌面协议（RDP）仍然是网络攻击者最常扫描的协议，这表明攻击者仍然更喜欢利用旧协议的新漏洞访问系统。此外，Elasticsearch和MongoDB数据库的攻击率很高，有信号显示大量数据库已被勒索软件攻击得手。 未经身份验证的数据库访问在2022年有所增加，尤其是Redis。报告称，这是因为Redis易于使用和扩展。许多企业可能缺乏安全重点或专业知识，这导致数据库配置错误或缺乏安全控制。这使得大量数据暴露在互联网上，面临被盗或被勒索赎金的风险。 报告建议企业IT和安全团队在漏洞补丁发布后的30天内优先修补面向公众开放的基础设施和面向互联网的软件漏洞，并遵循定期升级周期来缓解旧软件中的漏洞。 新的漏洞评估模型：CESS 2023年Coalition开发了一个全新的漏洞评分机制，名为联盟漏洞利用评分系统（CESS）。其目标是创建一个评分机制完全透明，更加准确的漏洞评估系统，以便安全社区可以提供改进建议。CESS的灵感来自漏洞预测评分系统（EPSS）和通用漏洞扫描系统（CVSS），侧重于提供定制信息，可根据攻击者利用漏洞的可能性来辅助网络安全承保业务。 CESS系统的核心是能够为安全研究人员提供两个关键信息：漏洞利用的可用性和漏洞利用的可能性。 EPSS专注于两个核心指标：效率和覆盖范围。效率值显示企业利用资源来解决已修复漏洞的百分比。EPSS指出，与仅通过CVSS基于严重性评分的随机漏洞相比，将企业的大部分资源用于修复大多数已知利用的漏洞更有效。覆盖范围则是查看已修复的被利用漏洞的百分比。 EPSS专注于利用概率最高的漏洞，能帮助企业最大化利用稀缺的安全资源来降低风险，并最大限度地减少开发团队摩擦。   转自 GoUpSec，原文链接：https://www.secrss.com/articles/51691 封面来源于网络，如有侵权请联系删除

周一晚间，据微软总部所在地华盛顿州雷德蒙市报道：北美及其他地区的用户无法访问某些服务，包括 Outlook.com 网络邮件。这一故障一直持续到星期二。 随后，微软在Office.com服务状态页面写道：”位于北美地区的用户试图访问Outlook.com，可能无法发送、接收或搜索电子邮件。其他功能，如 Microsoft Teams 等其他服务所使用的日历也会受到影响。 众包网站和服务中断报告的Downdetector网站显示，从世界标准时间凌晨 3 点 24 分开始，用户报告 Outlook 问题的数量激增。 这次故障似乎只影响到微软以消费者为中心的服务。Outlook.com是其免费的网络邮件服务，以前称为Hotmail，与Outlook for Web和OWA不同，后者是以企业为中心的网络邮件。 微软表示，“Microsoft Teams 等其他服务使用的 Outlook.com 功能（例如日历 API）也受到影响。” 这似乎只是对其消费者版本的 Teams 的引用。 微软上一次遭受重大故障是在13天前，当时其内部团队所做的 “广域网络路由变更 “导致微软365用户的全球中断。具体来说，许多Azure云服务变得无法访问，包括Outlook、Microsoft Teams、SharePoint Online、OneDrive for Business等（见：Microsoft 365云服务中断扰乱了全球用户）。 Outlook的访问和服务问题 微软周二凌晨4点04分（UTC）首次确认其最新的故障，20分钟后发推文表示“正在调查Outlook的访问和服务问题”。 此后不久，微软表示此次故障与最近更改的服务器有关，并开始 “有针对性地重新启动基础设施中受最近变化影响的部分”，以尝试解决这个问题。 微软在UTC上午6点46分发布推文”我们的目标资源正在取得进展，我们在一些环境中看到了轻微的改善，”。另外，我们正在寻找其他方式，以加快解决。 此次故障不仅涉及北美的基础设施，在全球范围内仍然可以看到中断现象。对此，微软在报告中解释道：”由于北美基础设施的受影响部分，北美以外其他地区的用户可能会经历一些残余的影响”。 随后，随着微软继续重新启动许多系统一些受影响地区的用户逐渐得到改善。” 截至UTC上午9:37，微软报告称，服务尚未完全恢复。”我们正在对受影响的基础设施的一个子集应用有针对性的缓解措施，并验证它已经减轻了影响。我们还在进行流量优化工作，以减轻用户的影响，并加快恢复”。 服务恢复 周二晚些时候，微软报告说，在问题开始约12小时后，问题已基本得到解决。微软说：”我们可以从遥测数据中看到，大部分影响已经得到补救，服务可用性达到99.9%。”我们正在继续监测环境，并对显示有残留影响的后端邮箱组件进行有针对性的重新启动，以确保所有用户的恢复。”     转自 Freebuf，原文链接：https://www.freebuf.com/news/356918.html 封面来源于网络，如有侵权请联系删除  

据欧盟刑事司法合作署2月6日消息，荷兰和德国的执法部门对犯罪网络使用加密通信进行了又一次打击，在近期的联合执法行动中成功捣毁了 Exclu 应用程序，该应用程序估计有 3000 名用户，其中包括组织犯罪集团成员。   该行动包括从 2020 年 9 月和 2022 年 4 月开始的两项独立调查，警方在荷兰、德国和比利时进行了 79 次有针对性的搜查，并逮捕了 45 人。欧洲司法组织、欧洲刑警组织以及意大利、瑞典、法国和德国的警察部队协助了执法行动。 据称，其中两名嫌犯为Exclu的管理人员，其余 40余 人为Exclu所服务的用户，并查获了两个毒品实验室，缴获了 550 万欧元现金、30 万颗摇头丸和 20 支枪支，还缴获了 200 部手机以进行调查。仅在荷兰，警方就搜查了 22 个地点，逮捕了 11 名与 Exclu 平台有关的嫌犯。荷兰警方表示，在技术和网络犯罪方面的专业知识帮助他们侵入了 Exclu 服务、识别出犯罪群体用户，最终捣毁了基础设施。 目前，当局已掌握所有通信数据，并利用这些数据继续调查。 Exclu实行订阅制服务，6个月的服务费用为800欧元，能允许用户交换加密的消息和媒体（录音、视频、图像）。Exclu不像Signal 等流行的端到端加密产品，因为前者承诺高度保密以及多层加密和安全性。但不可忽视的是，除了被用来从事犯罪活动，一部分由敏感领域的专业人士组成用户群也成为Exclu的用户，例如律师、调查员、公证人和医生，隐私对他们而言至关重要。警方鼓励这些人主动与执法部门取得联系，以从被查封的服务器中删除他们的数据。   转自 Freebuf，原文链接：https://www.freebuf.com/news/356802.html 封面来源于网络，如有侵权请联系删除

去年11月OpenAI正式发布ChatGPT时，程序员们惊讶地发现，这个AI驱动的聊天机器人不仅能轻松模仿人类语言，甚至可以编写代码。 在发布的几天之后，程序员们贴出了一条条令人瞠目结舌的代码生成示例。从串接云服务到将Python代码移植为Rust，ChatGPT至少在某些基础编程任务上已经表现出非凡的能力。 但我们也需要擦亮双眼，将围绕ChatGPT掀起的炒作跟真实情况区分开来。ChatGPT的编程能力先后登上一系列头条新闻，类似“ChatGPT对网络安全的威胁远超大多数人想象”的标题也确实让人心头一紧。不单是普通读者好奇于ChatGPT编写恶意软件的能力，经验丰富的黑客更想检验这个大语言模型到底能在恶意攻击中发挥多大作用。 实测：ChatGPT缺乏编码专业知识 Marcus Hutchins（ID为MalwareTech）是一位从黑帽转型为白帽的黑客，曾在2017年因阻止WannaCry勒索软件传播而备受关注。此前曾编写银行木马的他，当然也对ChatGPT究竟有多大本事充满好奇。聊天机器人真能用来编写恶意软件吗？ 一番尝试之下，结果令人失望。Hutchins在采访中表示，“这十年来，我一直在以合法身份开发恶意软件。我一般要花三个小时才能写出一段功能性代码，而且得用开发效率较高的Python语言。” 经过几个小时的忙碌，Hutchins成功编写出勒索软件程序中的一个组件：文件加密例程。接下来，他尝试让ChatGPT把该组件跟其他必要功能组合成完整的恶意软件，但这位“AI新秀”笨拙地失败了。事实证明，ChatGPT不光难以把各种组件整合起来，甚至连正确打开文件都很费劲。 在这类基本排序问题中的糟糕表现，证明ChatGPT等生成式AI系统仍存在严重缺陷。尽管它们能够创建出与训练数据极为相似的内容，但大语言模型往往缺乏构成专业知识的纠错工具与上下文知识。人们在惊讶于ChatGPT模仿效果的同时，却经常忽视了它的局限性。 如果大家全盘接受炒作所灌输的观点，那ChatGPT已经几乎无所不能。从文职工作到学术论文、再到专业考试，也包括黑客们擅长的恶意软件开发，这一切都将被ChatGPT所掌控。然而，这种论调其实掩盖了ChatGPT等工具的核心应用方式——并不是要取代人类专业知识，而是充当高效的AI助手。 ChatGPT编码依赖专家指导 在ChatGPT发布的几周之后，就有多家网络安全公司发布一系列报告，证明该机器人可能被用于编写恶意软件。消息一出，旋即催生了一大堆关于ChatGPT编写“多态恶意软件”的头条新闻。但这些报告往往掩盖了技术专家在指示模型编写代码，特别是纠正所生成代码结果方面发挥的重要作用。 去年12月，安全解决方案供应商CheckPoint的研究人员展示了ChatGPT如何从头到尾构建恶意软件——包括编写网络钓鱼电子邮件和恶意代码。然而，要想让它生成功能完备的代码，必须由专业程序员一步步提供引导和提示，例如添加沙箱检测和检查某项功能是否对SQL注入开放。 CheckPoint公司研究员Sergey Shykevich表示，“攻击者必须知道自己想要什么，并指定相应功能。单纯要求其「编写恶意软件代码」并不能生成真正有用的结果。” 对于Hutchins这样的黑客来说，提出正确的问题就是成功的一半。另外，很多将ChatGPT宣传成编程工具的媒体，往往也忽视了使用ChatGPT协助软件开发对于研究人员自身的专业知识要求。 Hutchins认为，“精通编程的用户其实是在引导ChatGPT进行开发，他们可能没意识到自己在过程中起了多么重要的作用。如果缺乏编程经验，用户甚至不知道该给ChatGPT什么样的提示。” 必须承认，ChatGPT目前仍是众多恶意软件开发工具中的一员。在上周发布的报告中，威胁情报公司Recorded Future在暗网和内部论坛中，发现了1500多条关于使用ChatGPT开发恶意软件、创建概念验证代码的参考资料。这份报告还提到，其中大部分代码都公开可用。 Recorded Future认为，ChatGPT对于“脚本小子、黑客行动主义者、欺诈分子/垃圾邮件发送者、支付卡欺骗者等技术水平不高的网络犯罪分子”最有帮助。 对于恶意开发领域的新手，ChatGPT也能提供一定帮助。报告总结称，“ChatGPT能为迷茫的初学者提供实时示例、教程和资源，降低了恶意软件开发的准入门槛。” ChatGPT有望降低黑客技术门槛，但掀起革命火候未足 但总体来看，恶意黑客方获得的助益非常有限。ChatGPT虽然降低了黑客技术的学习难度和接触门槛，但同样的内容也完全可以在谷歌上轻松查到。 外媒CyberScoop在去年12月曾报道，随着ChatGPT和其他大语言模型的发展成熟，其编写合法和恶意原始代码的能力也将不断提高。但在真正的转折来临之前，ChatGPT等工具所发挥的仍以辅助作用为主，做不到凭空生成恶意软件。 例如，ChatGPT确实能够高效生成网络钓鱼电子邮件。对于难以顺畅使用英语（或其他目标语言）编写含链接恶意消息的俄语黑客来说，ChatGPT能迅速提高他们的写作技巧。 哥伦比亚大学计算机科学助理教授、Barracuda网络安全公司顾问Asaf Cidon提到，“目前绝大多数攻击源自电子邮件，而绝大多数邮件攻击并不属于恶意软件攻击。对方只是想诱导用户交出凭证或者执行转账操作。”Cidon认为“ChatGPT确实很擅长这方面工作”，所以钓鱼欺诈会变得更容易。 但这只是变化中的一环，还不至于掀起黑客革命。高质量的网络钓鱼邮件已经很容易制作——可以由攻击者自己编写，也可以在外包平台上雇用专业翻译完成。ChatGPT的出现，只是把钓鱼邮件推向了规模化时代。在Cidon看来，ChatGPT“降低了所需投入”。 还有一种特殊的使用方法，恶意黑客可以利用以往邮件归档对大语言模型进行微调，使其学会企业CEO的文字风格。Cidon提到，这样训练出的大语言模型往往能轻松骗过公司员工。 但专家们强调，在对ChatGPT的网络安全影响进行广泛评估时，必须持续关注整体趋势。目前，已经出现了在针对性攻击中使用大语言模型的有趣案例。不过至少在多数情况下，ChatGPT恐怕还无法提高成功几率。毕竟根据乔治敦大学安全与新兴技术中心研究员Drew Lohn的观察，“网络钓鱼活动已经非常成功，ChatGPT的加入可能并不会产生太大影响。” 总的来说，ChatGPT等工具有望降低准入门槛、扩大恶意黑客的群体规模。Lohn认为，ChatGPT也许能“引导黑客在不借助任何新型恶意软件的情况下，顺利完成入侵过程。……目前网络上已经充斥着大量开源工具和预先打包的恶意软件，我担心ChatGPT的普及会把这些工具交付到每个人手上。” 他也承认这个领域仍处于快速变化阶段，情况随时可能不同：“一个礼拜之后，也许一切都将改变。” 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/azG0rrDo0CIcrOs-L0OXmQ 封面来源于网络，如有侵权请联系删除

1月31日，微软透露其安全团队Redmond正在跟踪 100 多个在攻击期间部署勒索软件的攻击者，总共监控到 50 多个在去年被频繁使用的勒索软件系列。 微软例举了一些最突出的勒索软件有效负载，包括Lockbit Black、BlackCat（又名 ALPHV）、Play、Vice Society、Black Basta 和 Royal。但微软表示“防御策略应该更少地关注有效负载，而更多地关注导致其部署的活动链”，因为勒索软件仍在针对那些不常见漏洞或最近正需要修补漏洞的设备进行攻击。 攻击策略 虽然一直有新的勒索软件系列出现，但大多攻击者在破坏网络和通过网络传播时都使用相同的策略，对此类行为进行检测将有助于阻止他们的攻击。 微软也提到，攻击者越来越依赖网络钓鱼以外的策略来进行攻击，比如利用 Exchange Server 的DEV-0671 和 DEV-0882漏洞部署 Cuba 和 Play 勒索软件。就在不久前，Exchange 团队敦促客户通过应用最新支持的累积更新 (CU) 来为本地 Exchange 服务器打补丁，让他们随时准备部署紧急安全更新。据报道，超过 60000 台暴露在 Internet 上的 Exchange 服务器容易受到利用ProxyNotShell RCE 漏洞的攻击。与此同时， 也有数千台服务器正受到利用ProxyShell 和 ProxyLogon 漏洞攻击的风险，这是2021年最常被利用的两个安全漏洞。 其他攻击者也正在转向或使用恶意广告来提供恶意软件加载器和下载器，以传播勒索软件和各种其他恶意软件变种，如信息窃取程序。例如，一个被追踪为 DEV-0569 的攻击者被认为是勒索软件团伙的初始访问代理，在广告活动中滥用 Google Ads来分发恶意软件，从受感染的设备中窃取密码，并最终获得对企业网络的访问权限，并将权限出售给其他攻击者，如Royal 勒索软件组织。 近期活动趋势 在具体的勒索软件活动趋势中，2022年的一起标志性事件是Conti勒索软件组织在执法行动的压力下迎来终结，但基于勒索软件即服务 (Raas) 的勒索行为正在兴起，包括LockBit、Hive、Cuba、BlackCat 和 Ragnar在内的勒索软件组织在去年频繁作案。 尽管如此，  根据区块链分析公司 Chainalysis 的数据，勒索软件组织去年的勒索收入大幅下降了 40% 左右，为4.568 亿美元，而前年的收入达到了创纪录的 7.65 亿美元。但这种下降趋势并不是因为攻击次数减少，而是因为越来越多的受害者开始拒绝支付勒索赎金。 最近，在美国司法部、联邦调查局、特勤局和欧洲刑警组织的国际执法行动的打击下，Hive 勒索软件数据泄露和 Tor 支付暗网被查封，FBI向受害者分发了 1300 多个解密密钥，并获得了对 Hive 通信记录、恶意软件文件哈希值和 250 个 Hive 分支机构详细信息的访问权限，美国国务院也悬赏1000万美元，寻求 Hive 勒索软件组织或其他攻击者与外国政府存在联系的线索。 某种程度上说，在打击勒索软件领域，2023年似乎迎来了开门红。     转自 Freebuf，原文链接：https://www.freebuf.com/news/356171.html 封面来源于网络，如有侵权请联系删除  

Bleeping Computer 网站披露，某黑客论坛上公开分享了一份美国”禁飞名单“，该名单上有超过 150 万名被禁飞者和超过 25 万名“被选中者”的数据信息。 目前，Bleeping Computer 已确认列表名单与 CommuteAir 航空服务器上发现的 TSA 禁飞列表名单相同。 黑客论坛公开分享“禁飞名单” 2023 年 1 月份，Daily Dot 记者 Mikael Thalen 报道瑞士黑客 maia arson crimew 偶然发现一个包含 TSA 禁飞名单的 AWS 服务器。据悉，该服务器属于俄亥俄州 CommuteAir 航空公司，尽管早些时候可能已采取措施修补漏洞，但截至 1 月 26 日，禁飞名单仍在一个可公开访问的黑客论坛上”浮现“。 美国禁飞名单在一个黑客论坛上公开分享（Bleeping Computer） Bleeping Computer 查看禁飞名单列表的一部分，这些列表以两个名为 “NOFLY（禁飞名单）”和“SELECTEE”的 CSV 文件的形式列出了一些飞往美国时在机场接受二级安检（SSSS）的乘客。黑客论坛上公布的禁飞名单包含 1566062 条记录（部分重复），SELECTEE 名单包括 251169 条记录，重复和别名意味着暴露的姓名总数少于 150 万。 值得一提的是，两个列表都包含用户的名、姓、潜在的别名和出生日期。据黑客称，这些名单是 2019 年的。据 Daily Dot 观察，列表名单提到了俄罗斯军火商维克托·布特及其 16 个潜在化名。 禁飞名单无疑是国家机密，据悉，美国联邦调查局 TSC（恐怖分子筛查中心）是多个联邦机构用来管理和共享反恐综合信息，该机构就有一个名为“恐怖分子筛查数据库”的观察名单，有时也称为“禁飞名单” ，考虑到这些数据库在协助国家安全和执法任务方面发挥着至关重要的作用，因此绝对保密，即使不是“机密”信息，也被视为敏感的资料。 因此，禁飞名单通常不为公众所知，但是私营航空公司和国务院、国防部、运输安全局（TSA）、海关和边境保护局（CBP）等多个机构都会参考这份名单，以检查乘客是否被允许飞行，是否能够进入美国。 包括鲍勃·迪亚琴科（Bob Diachenko）在内的研究人员此前就已发现互联网上暴露的秘密恐怖分子监视名单，但这些信息早在主流新闻报道之前就被修补好了。然而，此次“禁飞名单”是第一次在公众可访问的网站上共享。 有趣的是，与此次黑客论坛上发布的名单相比，迪亚琴科在 2021 发现的名单相当详细，其中姓名、性别、护照号码，甚至护照签发国、观察名单 ID 等字段都包含。 美国政府正在调查“禁飞名单”泄露事件 尽管此次安全漏洞源于一家航空公司的 AWS 服务器，但这种行为足够使美国政府机构感到震惊。目前，美国政府官员和立法者都在调查此事。 1 月 27 日，美国运输安全管理局向机场和航空公司发布了安全指令，旨在强化处理敏感安全信息和个人身份信息的现有要求，以保护系统和网络免受网络攻击。 除此之外，据一位知情人士透漏，没有任何 TSA 信息系统被破坏，联邦机构已向所有航空公司发布了行业安全意识信息，以审查其系统并立即采取行动确保其文件受到保护。 CommuteAir 表示，截至目前没有客户数据被泄露，公司也向网络安全和基础设施安全局报告了数据暴露情况，并通知其员工。 1 月 26 日，美国国土安全委员会成员在信中强调，黑客声称其可能已经能够利用服务器，取消或推迟航班，甚至换掉机组成员，如果情况属实，会严重影响国家安全。 注：黑客 maia arson crimew，此前使用 deletescape、antiproprietary 和 Tillie Kottmann 等别名，曾被美国以共谋、电信欺诈和严重的身份盗窃（PDF）起诉。     转自 Freebuf，原文链接：https://www.freebuf.com/news/356083.html 封面来源于网络，如有侵权请联系删除

最近，一种新的活动跟踪应用程序在 Android 的官方应用程序商店 Google Play 上取得了巨大收获，其下载量已经超过2000万次。 这些应用程序将自己包装为健康、计步器和养成良好习惯的应用程序，承诺为用户在日常生活中保持活跃、达到距离目标等提供随机奖励。 不过，根据 Dr.Web 杀毒软件的一份报告，奖励可能无法兑现，或者在强迫用户观看大量广告后只能部分兑现。 Dr. Web 报告中列出的三个值得注意的例子是： Lucky Step – Walking Tracker– 1000 万次下载 WalkingJoy——500万次下载 幸运习惯：健康追踪器——500万次下载 Dr. Web 表示，这三个应用程序都与同一个远程服务器地址通信，表明是一个共同的操作员/开发人员。在撰写本文时，这三款产品均在 Google Play 上可用。 这家防病毒公司表示，在用户积累大量奖励之前，这些应用程序不允许提款。而且，他们要求用户观看十几个广告视频后才能解锁“收入”。 即使在观看了一轮广告后，这些应用程序仍会推送更多广告，理由是为了加快提现过程。 除了这些标志外，Dr. Web 还报告说，早期版本的“Lucky Step – Walking Tracker”提供了将应用内奖励转换为礼品卡的选项，用户可以使用礼品卡在在线商店购买商品。 然而，在最新版本的应用程序中，此功能已从选项中删除，因此不清楚奖励可以转换成什么。 Google Play 上的一些用户留下评论称“Lucky Step – Waling Tracker”充当广告软件，在屏幕解锁时加载全屏广告，甚至覆盖活动窗口。 另一个在 Google Play 上仍然可用的类似的应用程序是“Wonder Time”，这是一款奖励应用程序，已积累了 500,000 次下载。 该应用程序承诺为完成各种任务（如安装其他应用程序和游戏）奖励真钱。 然而，与开发者设定的最低收入提款门槛相比，用户每次操作获得的代币微不足道。 钓鱼游戏 在同一份报告中，Web 博士警告说，在 Google Play 上发现了伪装成投资应用程序和游戏的网络钓鱼应用程序，下载量超过 450,000 次。 这些应用程序在启动时连接到远程服务器，并接收一个配置来指导它们做什么。通常，这些网络钓鱼页面涉及要求用户输入敏感详细信息。 Dr.Web 观察到的恶意游戏应用如下： Golden Hunt– 100,000 次下载 Reflector– 100,000 次下载 七金狼二十一点– 100,000 次下载（仍在 Google Play 上） 无限得分– 50,000 次下载 重大决策——50,000 次下载 宝石海– 10,000 次下载 Lux Fruits Game– 10,000 次下载 幸运四叶草– 10,000 次下载 King Blitz– 5,000 次下载 幸运锤– 1,000 次下载 如果您的 Android 设备上安装了上述任何网络钓鱼应用程序，您应该立即卸载它们，然后运行杀毒扫描以找到并删除残留物。     转自 Freebuf，原文链接：https://www.freebuf.com/articles/356010.html 封面来源于网络，如有侵权请联系删除