进入 2024 年，Gcore 发布了最新的2023 年第三、四季度（Q3-Q4） DDoS 攻击趋势报告，指出 DDoS 攻击的规模和复杂性都有了惊人增长。 Gcore发现，过去三年，DDoS 峰值攻击流量每年的增幅都超过了100%，2021年DDoS攻击峰值流量为300Gbps，2022 年增至650 Gbps，2023 年 Q1-Q2 季度再次增至800 Gbps，2023 年Q3-Q4季度增至1600 Gbps (1.6 Tbps)。 2021-2023年度DDoS峰值攻击流量趋势（Gcore） 值得注意的是，2023 年下半年的跳跃意味着网络安全行业正在以新单位 Terabit（TB） 来衡量 DDoS 攻击。这说明 DDoS 攻击的潜在损害正在显着且持续升级，Gcore预计这一趋势将在 2024 年持续下去。 主要结果概览 攻击持续时间 研究报告发现，DDoS攻击时长从三分钟到九小时不等，平均约为一小时。通常，短时间的攻击更难检测，这是由于数据稀缺，无法进行适当的流量分析，而且由于更难识别，因此也更难缓解。更长时间的攻击需要更多的资源来对抗，需要强大的缓解响应，否则存在服务器长时间不可用的风险。 Gcore记录的最长DDoS攻击持续了9个小时（Gcore） 主要攻击类型 在主要攻击类型中，UDP flood继续占据主导地位，占 DDoS 攻击的 62%。TCP flood和 ICMP 攻击也仍然很流行，分别占总数的 16% 和 12%。所有其他 DDoS 攻击类型，包括 SYN、SYN+ACK Flood 和 RST Flood，合计仅占 10%。虽然一些攻击者可能会使用这些更复杂的方法，但大多数攻击者仍然专注于提供大量数据包来摧毁服务器。 2023 年下半年主要攻击类型占比（Gcore） 主要攻击源分布 攻击源的全球传播表明了网络威胁的无国界性质，攻击者可以跨越国界进行操作。Gcore 在 2023 年下半年发现了多个攻击来源，其中美国位居第一，占 24%。印度尼西亚（17%）、荷兰（12%）、泰国（10%）、哥伦比亚（8%）、俄罗斯（8%）、乌克兰（5%）、墨西哥（3%）、德国（2%）和巴西（2%）位列前十，这说明全球面临着广泛的威胁。 攻击源地理位置占比（Gcore） DDoS 攻击源的地理分布为制定有针对性的防御策略和制定旨在打击网络犯罪的国际政策提供了重要信息。然而，由于使用 IP 欺骗等技术以及分布式僵尸网络的参与，确定攻击者的位置具有一定难度。 目标行业 游戏行业仍然是受影响最严重的行业，遭受了 46% 的攻击。银行和博彩服务在内的金融行业位居第二，占 22%。电信（18%）、基础设施服务行业（7%）和计算机软件公司（3%）也成为重点目标。 受影响行业占比分布（Gcore） 这些行业分布与Gcore的上一份报告大致相同，攻击者对游戏和金融领域特别感兴趣，这些行业一般具有较好的经济收益和用户基础，同时凸显了在受打击最严重的行业中需要有针对性的网络安全策略的必要性。 分析及结论 2023 年下半年的数据显示了 DDoS 攻击令人担忧的趋势。尤其是峰值攻击增加到了令人震惊的 1.6 Tbps，这标志着组织必须做好准备应对不断高升的威胁水位。相比之下，即使是“不起眼的”300 Gbps 攻击也能够禁用未受保护的服务器。结合攻击源的地理分布，DDoS 威胁是一个严重的全球性问题，需要国际合作和情报共享，以有效减轻潜在的破坏性攻击。 攻击持续时间的范围表明攻击者变得更具战略性，针对特定的目标和目标调整他们的方法。例如在游戏领域，攻击的威力和持续时间相对较低，但更为频繁，会对特定服务器造成反复破坏，目的是破坏玩家体验，迫使他们切换到竞争对手的服务器。对于经济影响更为直接的金融和电信行业来说，攻击的数量往往较多，且长度变化很大。 游戏、金融行业、电信和基础设施服务行业的持续攻击反映了攻击者的战略选择，因为攻击导致的业务中断都会对其经济和运营产生重大影响。 Gcore的报告及时提醒人们要积极应对不断变化的网络威胁。跨部门的组织必须投资全面且适应性强的网络安全措施，以确保其能力领先于 DDoS 威胁，同时还能够敏锐地了解网络攻击者不断变化的模式和策略。   转自Freebuf，原文链接：https://www.freebuf.com/news/390469.html 封面来源于网络，如有侵权请联系删除

最近几天，黑客正在利用多个新的高风险漏洞，这引起了安全专家的警惕，担心这些漏洞将被网络犯罪分子和专业黑客组织利用。 上周，网络安全专家和网络安全和基础设施安全局 (CISA) 等政府机构都强调了影响Apple、VMware、Atlassian、Fortra、Apache等科技巨头的安全漏洞。 周二，CISA回应了Apple 的警告，称 CVE-2024-23222（影响多个版本 iPhone 和 iPad 的漏洞）正被网络犯罪分子利用。 该漏洞是苹果公司在 2024 年宣布的第一个0day漏洞——该公司去年修复了 20 个0day漏洞。该漏洞允许黑客在受害者的设备上执行代码。 “处理恶意制作的网页内容可能会导致任意代码执行。苹果公司已获悉有关该问题可能已被利用的报告.”苹果公司周二表示。 CISA 命令所有联邦民事机构在 2 月 13 日之前修复该漏洞。 该命令发布的同一天，网络安全研究人员对影响 Fortra 的GoAnywhere 文件传输软件的最新漏洞发出了警报，该软件去年成为网络攻击利用的焦点，当时俄罗斯勒索软件团伙使用该工具的另一个漏洞攻击了数十家公司和多国政府机构。 Fortra 在周一发布的公告中表示，CVE-2024-0204 于 12 月被发现，漏洞允许攻击者通过管理门户创建管理员用户帐户，从而使他们能够广泛访问受害者的系统。 该公司敦促客户修补该漏洞，并指出该漏洞的 CVSS 严重性评分为 9.8，表明这是一个高严重性漏洞。 该公司在一份声明中表示，他们“没有关于此 CVE 的野外活跃利用的报告”。 他们还分享了一封 12 月份发送给客户的信，警告该漏洞，并提供有关客户如何解决该问题的详细指南。 Atlassian 和 Apache 攻击 最近有消息称，黑客正在积极攻击影响 Atlassian 和 Apache 产品的两个漏洞。 Greynoise 的研究人员观察到利用 CVE-2023-22527 的尝试急剧增加，该漏洞是 Atlassian 上周宣布的影响 Confluence 数据中心和 Confluence 服务器的漏洞。 Atlassian 表示，该漏洞的最高严重程度为 10，为最高风险等级，Atlassian敦促客户尽快修补该漏洞。 Shadowserver 的专家表示，他们已经看到超过 600 个不同的 IP 地址试图利用暴露在互联网上的 11,000 多个实例。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/oj-sG_XorIQlE5NjUV62lA 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 超大规模的泄露之母（简称 MOAB）中存储了超260亿条个人信息记录。 发现该事件的研究人员认为：其可能是黑客或某些处理数据服务的工作人员进行的泄露，这种行为非常危险，黑客可以利用聚合数据进行广泛的攻击，包括身份盗窃、网络钓鱼、有针对性的网络攻击以及未经授权访问个人和敏感帐户。 MOAB不仅包括新窃取的数据，而且很可能是多次泄露（COMB）集合。泄露的数据信息不仅仅是凭证，大多数都是敏感信息，这对恶意行为者来说具有极大的价值。   据称，此次数据泄露事件包括来自微博（504M）、MySpace（360M）、Twitter（281M）、Deezer（258M）、LinkedIn（251M）、AdultFriendFinder（220M）、Adobe（153M）、Canva（143M）、VK（101M）、Daily Motion（86M）、Dropbox（69M）、Telegram（41M）以及其他公司和组织的数亿条记录。 泄露内容还涵盖了美国、巴西、德国、菲律宾、土耳其和其他国家政府组织的记录。 该团队表示，MOAB对用户的影响可能是前所未有的，因为许多人重复使用用户名和密码，恶意行为者可能会发起大量凭证填充攻击。 “如果用户在Netflix账户上使用与Gmail账户相同的密码，攻击者可以利用这一点转向其他更敏感的账户。此外，被纳入MOAB的用户可能成为鱼叉式网络钓鱼攻击的受害者，其将收到大量垃圾邮件。”研究人员表示。 目前尚不确定此次泄露的规模。2021年，Cybernews报告了一个包32 亿条记录的 COMB ，仅仅是2024年MOAB的12%。 此次泄露事件完整列表可点击下方消息来源进行搜索。   消息来源：cybernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

安全公司 Trellix 发现了 一种新型、复杂的基于 Java 的信息盗窃工具，该工具使用 Discord 机器人从受感染的主机窃取敏感数据。 该恶意软件名为 NS-STEALER，通过 ZIP 存档分发，伪装成破解软件。ZIP 文件包含一个恶意 Windows 快捷方式文件（“Loader GAYve”），充当部署恶意 JAR 文件的管道。该文件首先创建一个名为“NS-<11-digit_random_number>”的文件夹来存储收集的数据。 存档内容 在创建的文件夹中，恶意软件随后存储从 20 多个网络浏览器中窃取的屏幕截图、cookie、凭据和自动填充数据、系统信息、已安装程序列表、Discord 令牌、Steam 和 Telegram 会话数据。然后，收集到的信息会传输到机器人的 Discord 频道。 感染链 研究人员指出，恶意软件利用复杂的功能来收集敏感信息，并且通过使用支持身份验证的 X509Certificate 功能，在J ava 运行时快速从受害者系统中窃取信息。使用 Discord 机器人通道作为事件监听器来接收过滤后的数据在活动中也很有效。   转自安全客，原文链接：https://www.anquanke.com/post/id/292819 封面来源于网络，如有侵权请联系删除

周五，微软宣布了遭遇了一次网络攻击。此次攻击据称是由 APT 组织 Midnight Blizzard 发起的，渗透了微软的多个电子邮件帐户，包括“负责网络安全、法律和其他职能的高级管理层和员工”的电子邮件帐户。 有趣的是，黑客的目标并不是客户数据或传统的公司信息。据微软称，这次攻击的目标是获取有关他们自己的信息——即找出微软对 Midnight Blizzard 组织的了解。 微软表示，黑客使用了“密码喷射攻击”技术，使他们能够访问一小部分公司电子邮件。该公司没有透露有多少账户被黑客入侵，也没有透露黑客可以获得哪些信息。 此次攻击并非由微软产品或服务中的漏洞引起。目前没有证据表明黑客已获得对客户环境、生产系统、源代码或人工智能系统的访问权限。微软承诺在需要采取任何行动时会通知客户。 针对这一事件，微软强调需要加快努力提高安全性。该公司表示，打算立即将当前的安全标准应用于微软系统和内部业务流程，即使这可能导致现有流程中断。 微软建议采取多种预防措施，包括使用防网络钓鱼的身份验证方法以及遵循 Microsoft Teams 的安全最佳实践。 公司强烈提醒用户警惕社会工程和凭证盗窃攻击，包括不要在未经请求的消息中输入 MFA 代码。   转自安全客，原文链接：https://www.anquanke.com/post/id/292779 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 堪萨斯州立大学（Kansas State University，简称 K-State）遭遇了一起网络安全事件，导致其部分网络和服务受到影响。 2023 年 1 月 16 日，K-State 大学宣布其某些网络系统出现故障，包括 VPN、K-State Today 邮件以及 Canvas 和 Mediasite 上的视频。 该大学立即对此事件展开调查。 “我们能够确认，这些中断是最近一次网络安全事件的结果，因此，我们希望您知道这些受影响的系统已经被下线，并将在调查继续的过程中保持下线。”大学在其网站上发布的消息中写道。“这还包括一些共享驱动器和打印机，以及大学的列表服务器。” 堪萨斯州立大学（Kansas State University，简称KSU、Kansas State或K-State）是一所位于堪萨斯州曼哈顿市的公立土地授予研究型大学。该大学被分类为“R1：博士大学 – 非常高的研究活动”。 堪萨斯州立大学的学术课程由九个学院管理，包括兽医学院和 Salina 的技术与航空学院。提供的研究生学位包括 65 个硕士学位项目和 45 个博士学位项目。 目前，堪萨斯州立大学拥有 20,000 名学生，并有超过 1,400 名学术教职工成员。 KSU 建议其工作人员和学生报告任何可疑活动。 2023 年 1 月 17 日，大学宣布电子邮件将于 1 月 18 日（星期四）以临时格式恢复。 2023 年 1 月 18 日，KSU Wireless 仍然不可用，大学建议在此期间使用 KSU Guest 进行无线连接。 截至目前，堪萨斯州立大学尚未提供有关安全漏洞的详细信息。   消息来源：securityaffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 由一系列配置错误和安全漏洞导致研究人员能够访问存储在 Toyota Tsusho Insurance Broker India (TTIBI) 的电子邮件帐户中的客户信息。 美国研究人员 Eaton Zveare 解释说，之所以能未经授权访问客户信息，是因为 TTIBI 站点具有专用的 Eicher Motors 子域，其中包含一个高级计算器。 TTIBI 是日本 Toyota Tsusho Insurance Management Corporation 旗下的一家保险经纪公司，似乎与 Eicher Motors 密切合作，这是一家印度汽车公司，生产摩托车和商用车辆。 据 Zveare 称，他发现 Eicher Android 应用程序包含一个指向 ttibi.co.in 上的高级计算器的链接，通过这个链接获得了对 noreplyeicher@ttibi.co.in 电子邮件地址的访问权限。该链接在页面源代码中暴露了一个客户端的邮件发送机制。 研究人员创建了一个 API 请求来检查是否需要身份验证，并成功发送了一封电子邮件，但也收到了一个服务器错误，其中包括“noreply”电子邮件帐户的 base64 编码密码。 “noreply 帐户可能是组织中最重要的帐户，因为它可能记录了他们向客户发送的所有内容。在 TTIBI 这个事例中，情况确实如此，而且所揭示的信息量是巨大的，” Zveare指出。 在电子邮件帐户中，研究人员找到了发送给客户的所有的消息记录，其中包括客户信息、密码重置链接、一次性密码（OTP）和保险单文件。 此外，对电子邮件帐户的访问还提供了对 TTIBI 的 Microsoft 云帐户的访问权限，包括对企业目录以及 SharePoint 和 Teams 服务的访问权限。 Zveare 指出，扩展的访问级别是由五个安全问题和配置错误引起的，分别是：客户端的邮件发送机制、缺乏 API 身份验证、API 响应泄漏信息、缺乏双因素身份验证以及保留了从该帐户发送和接收的所有电子邮件。 据 Zveare 称，TTIBI 花了两个月的时间将 Eicher 子域下线，并要求对暴露的 API 进行身份验证。然而，研究人员在 1 月 17 日验证访问权限时，’noreply’电子邮件帐户的密码仍然相同。   消息来源：securityweek，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Rapid SCADA 开源工业自动化平台受到多个漏洞的影响，这些漏洞可能允许黑客访问敏感的工业系统，但这些漏洞仍未修补。 美国网络安全机构 CISA 上周发布了一份公告，向工业组织通报 Claroty 研究人员在 Rapid SCADA 中发现的 7 个漏洞。 Rapid SCADA 被宣传为开发监控和控制系统的理想选择，特别是工业自动化和 IIoT 系统、能源核算系统和过程控制系统。 该产品受到 7 种类型的漏洞影响，根据 CISA 的通报，这些漏洞可用于读取敏感文件、远程执行任意代码、通过网络钓鱼攻击访问敏感系统、提升权限、获取管理员密码以及访问与应用程序内部代码相关的敏感数据。 其中一个漏洞被归类为“严重”，另外两个漏洞被归类为“高严重性”，尽管开发人员已于 2023 年 7 月上旬收到通知，但截至目前尚未发布相应的补丁。 CISA 和 Claroty 表示，他们试图与 Rapid SCADA 的开发人员联系，但未能成功。该开发商还未回应《SecurityWeek》的置评请求。 Claroty 的漏洞研究员 Noam Moshe 告诉《SecurityWeek》，由于其免费和开源的特性，Rapid SCADA 已在现代运营技术（OT）生态系统的许多不同领域得到广泛应用，对于中小型公司来说是一个不错的选择。 Moshe 指出，未经身份验证的黑客可以利用其中一些漏洞进行远程代码执行，并且有几十个可直接从互联网访问的 Rapid SCADA 实例，使组织容易受到攻击。 研究人员解释说：“我们发现的漏洞使黑客能够快速在 SCADA 服务器上实现远程代码执行，这意味着黑客可以完全控制这些服务器。” “成功利用漏洞后，黑客可以修改Rapid SCADA 服务器控制的服务行为，并在受害者网络内进行横向移动等操作。”   转自安全客，原文链接：https://www.anquanke.com/post/id/292767 封面来源于网络，如有侵权请联系删除

据报道，攻击者向卡尔维亚市政府索要 1000 万欧元赎金，该市市长称绝对不会支付，此前西班牙加入了《反勒索软件倡议》。 1 月 17 日，西班牙马略卡岛卡尔维亚市议会宣布，该市于上周六遭受勒索软件攻击，市政服务受到影响。 卡尔维亚坐落于马略卡岛，历史悠久，拥有 5 万人口。卡尔维亚是该岛的旅游热点，年接待游客约 160 万人次。 市政在线服务瘫痪，议会成立危机委员会 上周末，卡尔维亚市各大系统遭受网络攻击，市议会被迫成立危机委员会，负责评估攻击造成的损害，并制定影响缓解计划。 卡尔维亚市发布声明，“上周六凌晨，本市遭受了一次勒索软件网络攻击，攻击者试图勒索市议会。市议会正在努力尽快恢复正常。” 该市市长 Juan Antonio Amengual 表示，一组 IT 专家正在进行取证分析，以估计未经授权访问的程度、恢复受影响的系统和服务。 由于 IT 故障，市政府将指控、申请等所有行政服务的受理截止日期，推迟到 2024 年 1 月 31 日。 如市民急需提交注册文件，仍可以通过西班牙国家综合行政门户网站办理业务。 与此同时，市政府已向警方网络犯罪部门通报这一事件、提交初步取证分析信息，并提出了必要的投诉。 声明末尾，市政府对给市民带来的不便致歉，提醒市民服务热点仍在运营。 声明还表示：“市议会对这种情况可能造成的不便深感遗憾，再次保证将坚定不移地以最有序、快速、高效的方式解决当前情况。” “至少，电话沟通和当面沟通都保持正常。” 攻击者索要 1000 万欧元赎金遭拒 截至本文撰写之时，主要勒索软件团体均未宣布对卡尔维亚市攻击事件负责，因此肇事者身份仍然未知。 不过，当地一家媒体获悉，网络犯罪分子设定了 1000 万欧元的赎金，约合 1100 万美元。 市长告诉当地媒体，市政府在任何情况下都不会支付赎金。 勒索软件对包括小城镇在内的各种规模的实体构成重大风险，这是当今数字领域的一大隐忧。 勒索软件攻击可能使关键的市政服务陷入混乱，严重干扰日常运营和公共服务。如果在旅游旺季发生此类攻击，后果将不堪设想。   转自安全内参，原文链接：https://www.secrss.com/articles/62902 封面来源于网络，如有侵权请联系删除

被称为 ChatGPT 开发商的 OpenAI 近日在达沃斯世界经济论坛上宣布为美国军方开发网络安全技术，并加大对美国选举安全的工作力度。 该公告是在公司政策发生变化之后发布的，该政策此前禁止生成式人工智能模型用于军事目的和创建恶意软件。这些限制现已从 OpenAI 的文件中消失，但该公司强调其技术仍不应用于暴力、破坏或通信间谍活动。 OpenAI 全球事务副总裁 Anna Makanju 在论坛接受采访时提到了与五角大楼在开发开源网络安全软件方面的合作，这次合作必将在该公司的关键产品上留下深远影响。 尽管取消了对 ChatGPT 军事和政治应用的限制，Makanju 确认仍继续禁止使用模型进行武器开发。与此同时，OpenAI 首席执行官 Sam Altman 宣布了一系列措施，以防止生成式 AI 工具被用于传播与选举有关的虚假信息。 值得注意的是，此类声明是在 OpenAI 最大投资者微软做出类似努力的背景下做出的。11 月，雷德蒙德官员宣布了一项保护美国和其他国家选举的五步战略。 根据世界经济论坛的《2024 年全球风险》报告显示，“错误信息和虚假信息”是短期内主要的全球风险。同时，有 56% 的高管认为，生成式人工智能将在未来两年内使攻击者比 IT 防御者更具优势。 然而，我们有理由相信，网络安全领域的共同努力将有助于改善这一状况。那些致力于开发先进人工智能技术的公司已经采取了具体措施，以最大程度地减少潜在的风险。通过全体利益相关者的积极响应，新的发展将显著强化对网络威胁和错误信息传播的保护。   转自安全客，原文链接：https://www.anquanke.com/post/id/292715 封面来源于网络，如有侵权请联系删除