安全快讯Top News

过去一年里,游戏行业的网络攻击爆增 167%

根据网络安全公司Akamai的一份最新的报告,过去一年,针对游戏行业的网络攻击增加了 167%。Akamai本次名为Gaming Respawned针对游戏行业的研究发现美国是攻击者的主要目标,其次是瑞士、印度、日本、英国等欧洲和亚洲国家。 根据Akamai的数据,游戏行业是全球遭受分布式拒绝服务(DDoS)攻击最多的行业,占全球所有DDoS攻击的35%,对此,Akamai 媒体和娱乐行业高级策略师 Jonathan Singer说,“随着游戏活动的增加和演变,通过网络攻击破坏游戏活动的价值也在增加。网络犯罪分子通常会破坏实时服务并使用凭证来窃取游戏资产。此外,随着该行业向云游戏领域的扩张,新的威胁面已经为攻击者打开了大门,新玩家数量的增加更是成为了威胁行为者的主要目标。” Akamai表示,自上次发布关于游戏行业威胁的报告以来,他们已经观察到了一些趋势。首先,游戏行业没有受COVID-19的封锁和社交距离的影响。其次,网络犯罪分子继续对游戏玩家和游戏平台进行攻击,Web 应用程序攻击在过去一年中增加了一倍以上。在这方面,攻击包括三个关键攻击向量:LFI、SQLi 和 XSS。据Akamai称,DDoS和勒索软件仍然是主要威胁。 此外,云游戏虽然在持续增长,但游戏行业的整体攻击面也在不断增长,游戏行业其他有利可图方面的增长将是吸引威胁行为者发起攻击的诱因之一。例如,微交易对网络犯罪分子具有巨大吸引力,他们可以利用游戏玩家的消费能力和虚拟资产的可替代性。“网络犯罪分子清楚游戏的价值,他们将继续寻找获取它或利用虚拟资金流动的方法。” 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341114.html 封面来源于网络,如有侵权请联系删除

印度政府宣布撤回本国数据保护法案

在经历了来自科技行业和隐私倡导者长期的抗议和批评之后,8月3日,印度电子和信息技术国务部长Rajeev Chandrasekhar宣布,于2019年颁布的《数据保护法案》已正式撤回。 Chandrasekhar表示,这部法案的一些规定超出了数据保护范围,一些复杂性措施也增加了中小企业的合规负担,比如对跨境数据流动进行严格监管、强制要求共享部分“非个人”数据等。 据悉,印度是受数据泄露影响最严重的国家之一,而且该国的网络犯罪也有显著增加。为了扭转这一局面,莫迪政府一直在寻求强有力的法案支撑。但此次撤回的《数据保护法案》在实施时,就造成莫迪政府与大型科技公司之间的关系变得紧张,科技公司反对法案中的一些条款,包括将施加甚至严格的数据本地化要求、对跨境数据流动进行严格限制等。 隐私倡导者也批评该提案赋予了政府机构向公司索取用户数据的权力,Access Now的亚太区政策顾问Namrata Maheshwari表示,印度未能通过一个联邦隐私和数据保护框架,体现了政府本末倒置的做法——授权增加收集和利用个人数据,而不首先确保人们的信息将是安全和可靠的。 此次法案的撤回被不少人认为是科技公司的胜利,安库拉咨询集团的高级董事总经理Amit Jaju表示,这是一个值得欢迎的消息,因为现有的草案变得不切实际,不符合全球基准。但同时,2022年的印度公司已经成为大规模数据泄露的受害者,在没有数据保护法的情况下,个人数据将几乎得不到任何保护。 至于接下来的措施,莫迪政府表示接下来会推出一个包括隐私在内的科技监管 “综合框架”,有望在2023年初获得批准。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341137.html 封面来源于网络,如有侵权请联系删除

Solana 被盗 500 万美元,具体原因尚不明确

攻击者从区块链平台Solana窃取了超过500万美元,具体的失窃原因仍在进一步调查中调查中。 总部位于旧金山的去中心化区块链平台Solana,昨天上午在官方Twitter上确认了这一事件,Solana声称此次攻击有7767个钱包受到影响,其中包括了Slope和Phantom用户,并要求受影响的用户填写一份在线调查,以帮助其工程师查清事情的真相。 Solana声称他们的工程师们目前正在与多个安全研究人员和生态系统团队合作,以确定该漏洞的根本原因,现在虽然没有直接证据表明硬件钱包受到了影响。但还是强烈建议用户使用硬件钱包并且不要在硬件钱包上重复使用的种子短语,而应该创建使用独立的种子短语。被排出的钱包应被用户视为受到损害的状态,并要及时放弃。 Solana将自己宣传为 “世界上最快的区块链 “和 “加密货币中增长最快的生态系统”,拥有成千上万的项目,涉及DeFi、NFTs、Web3和其他领域。 Pixel Privacy消费者隐私的Chris Hauk对外界解释道,Solana攻击只是最近一系列对加密货币的攻击中的最新一次。面对这些攻击,用户普遍希望撤销他们钱包上的任何第三方权限,直到Solana和其他被攻击的交易所完全修复产生这些攻击问题的漏洞。投资者也应该把他们的加密货币从热钱包转移到冷钱包。” 这一事件是一连串针对加密货币公司漏洞事件的衍生,其中包括有史以来最大的一次加密货币盗窃案,当时朝鲜黑客从以太坊侧链Ronin Network盗窃了近6.2亿美元,这超过了去年8月在Poly Network发生的6.1亿美元的攻击案。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341112.html 封面来源于网络,如有侵权请联系删除

严重的 RCE 漏洞可能让黑客远程接管 DrayTek Vigor 路由器

Hackernews 编译,转载请注明出处: DrayTek公司已发现多达29种不同型号的路由器受到一个新的关键、未经身份验证的远程代码执行漏洞的影响,如果成功利用该漏洞,可能导致设备完全受损,并未经授权访问更广泛的网络。 Trellix研究员Philippe Laulheret说:“如果设备的管理界面面向互联网,则可以在没有用户交互的情况下进行攻击。在默认设备配置下,也可以从局域网内执行一键攻击。” 根据CVE-2022-32548,该漏洞在CVSS评分系统上的严重等级为10.0,因为它能够让攻击者完全控制路由器。 其核心缺陷是Web管理界面(“/cgi-bin/wlogin.cgi”)中存在缓冲区溢出漏洞,黑客可以通过提供特制的输入来将其武器化。 据称,这家台湾制造商生产的20多万台设备在互联网上暴露了易受攻击的服务,不需要用户交互即可被利用。 破坏Vigor 3910等网络设备不仅会使网络容易受到恶意操作,如凭证和知识产权盗窃、僵尸网络活动或勒索软件攻击,还会导致拒绝服务(DoS)情况。 一个多月前,华硕、思科、DrayTek和NETGEAR的路由器受到了针对北美和欧洲网络的新型恶意软件ZuoRAT的攻击。 虽然到目前为止还没有迹象表明该漏洞在野外被利用,但建议尽快应用固件补丁,以防范潜在威胁。 Laulheret指出:“边缘设备,如Vigor 3910路由器,位于内部和外部网络之间的边界上,因此,他们是网络犯罪分子和黑客的首要目标。远程破坏边缘设备可能会导致企业内部网络完全受损。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

台湾四大网站遭到 DDoS 攻击

据悉,蔡英文办公室网站和台湾政府运营的几个网站遭到分布式拒绝服务 (DDoS) 攻击。据美国全国广播公司新闻报道,共袭击了四个网站,分别是蔡英文办公室网站、台防部网站、外交部网站和台湾最大的机场台湾桃园国际机场网站。美国东部时间周二下午可以访问台防部网站和外交部的网站,但台湾桃园国际机场的网站仍然没有响应。 对网站的 DDoS 攻击 黑客指挥大量计算机同时访问网站,使网站不堪重负最终导致无法访问。DDoS 类型的攻击难以检测,但需要最少的技能或基础设施来进行攻击。专家说,这些类型的攻击不会造成任何永久性损害。 蔡英文的一位发言人在 Facebook 上表示,蔡英文办公室官网遭受境外分布式拒绝服务攻击(DDoS),攻击流量为平日的200倍,导致官网一度无法显示。经处置后,已恢复正常运作。监控网站流量的公司 Kentik 的互联网分析主管 Doug Madory 表示,他可以在那些间歇性无法访问的网站上看到“DDoS 攻击的证据”。 当局表示,网站经抢修后已于20分钟内恢复正常运作,强调会持续加强监控,以维护信息通讯安全,以及各关键基础设施稳定运作。然而至晚上9时,有关网站再次无法登入,页面空白仅显示“NOT ALLOW”字眼。 “大到足以有效但不是破纪录,”马多里在一条短信中说。 网络安全公司 Mandiant 情报分析副总裁 John Hultquist 表示:“虽然这些黑客有时会进行 DDoS 攻击,但此类攻击通常也是黑客活动家的名片”。 目前仍不确定是谁发动了袭击。 转自 E安全 ,原文链接:https://mp.weixin.qq.com/s/Cto3gxLoau2g-cYniR2TMA 封面来源于网络,如有侵权请联系删除

Cloudflare 推出密码学实验 以防范被未来的量子计算机破解

有人说,目前的加密技术在未来可能会被量子计算机破解。为了对此做好准备,Cloudflare正在推出一项后量子实验,以增加对两种混合后量子密钥协议(X25519Kyber512Draft00和X25519Kyber768Draft00)的支持,所有网站所有者都可以报名参加。这些密钥协议将与现有的加密方案一起工作,以确保兼容性。 目前在网站上添加这些密钥协议不会有什么作用,因为还没有网络浏览器支持它们。浏览器遇到这些加密方案时将退回到现有的方式,因此自然也不具有抗量子性。Cloudflare表示,互联网将在未来几年内向量子加密技术发展,并希望这个测试版能给其客户一个尝试的先机。 Cloudflare正在使用的后量子密码学被称为Kyber。上个月,美国国家标准与技术研究所(NIST)决定对Kyber进行标准化,最终规范将于2024年出台。通过启动这项试验,Cloudflare希望能推动后量子密码学的采用。 就特点而言,Kyber使用更大的密钥和使用更多的内存。Cloudflare认为,如果Kyber单独使用,对网站的连接可能会更快,但在这次试验中,使用的是混合模式,所以连接速度会慢一些。 如果你想在你的一个域名上进行测试,请查看Cloudflare控制后台的综合步骤来设置它。请注意,Kyber将在未来几个月接受向后兼容的变化,Cloudflare的实施将改变,以与其他早期采用者兼容。此外,如果社区发现任何问题,那么将在Cloudflare的实施中加入解决方法。由于变化的速度很快,Cloudflare不能保证长期稳定或持续支持。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1300849.htm 封面来源于网络,如有侵权请联系删除

VirusTotal 揭露恶意软件攻击中的假冒软件

Hackernews 编译,转载请注明出处: 越来越多黑客模拟Skype、Adobe Reader和VLC Player等合法应用程序,以此作为滥用信任关系的手段,并增加社会工程攻击成功的可能性。 VirusTotal的分析显示,其他被模拟最多的合法应用程序包括7-Zip,TeamViewer,CCleaner,Microsoft Edge,Steam,Zoom和WhatsApp。 黑客通过欺骗不知情的用户下载和运行看似无害的可执行文件,从而采取各种方法来损害端点,这并不奇怪。 这主要是通过利用真实域来实现的,以绕过基于IP的防火墙防御。一些被滥用的顶级域名是discordapp[.]com、squarespace[.]com、amazonaws[.]com、mediafire[.]com和qq[.]com。 Alexa排名前1000的网站共有101个域名,其中至少有250万个可疑文件被检测到。 另一种常用的技术是,用从其他软件制造商那里窃取的有效证书对恶意软件进行签名。该恶意软件扫描服务表示,自2021年1月以来,它发现了100多万个恶意样本,其中87%在首次上传到其数据库时具有合法签名。 VirusTotal表示,自2020年1月以来,它还发现了1816个样本,这些样本伪装成合法软件,将恶意软件打包到其他流行软件的安装程序中,如Google Chrome、Malwarebytes、Zoom、Brave、Mozilla Firefox和Proton VPN。 当黑客设法侵入合法软件的更新服务器或未经授权访问源代码时,这种分发方法还可能导致供应链攻击,从而以特洛伊木马二进制文件的形式潜入恶意软件。 或者,合法的安装程序与恶意软件一起打包在压缩文件中,其中包括合法的Proton VPN安装程序和安装Jigsaw勒索软件的恶意软件。 第三种方法虽然更复杂,但需要将合法安装程序作为可移植的可执行资源合并到恶意样本中,以便在恶意软件运行时也执行安装程序,从而产生软件按预期工作的假象。 研究人员说:“当把这些技术作为一个整体考虑时,可以得出结论,攻击者在短期和中期滥用(如被盗证书)既有机会主义因素,也有常规(最有可能)自动化程序,攻击者旨在以不同的方式直观复制应用程序。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Atomic wallet 遭山寨,假网站散播恶意软件

知名去中心化钱包和加密货币交换门户网站Atomic wallet近期被假冒,山寨的Atomic wallet网站实际上正在散播 Mars Stealer 信息窃取恶意软件的副本。 近期一位名为 Dee 的恶意软件研究人员披露了该虚假网站,当真假网站并列显示,可以发现山寨网站并非真实网站的完全复制品,但使用了高度相似的官方徽标、主题、营销图像和结构。该假网站甚至还设有联系表格、电子邮件地址和常见问题解答部分。对于那些不熟悉正规 Atomic wallet网站的人来说,很容易就会相信山寨网站是真实的网站。 正版网站左,假网站右 社交媒体上的恶意广告、各种平台上的直接消息、SEO 中毒或垃圾邮件均有可能将用户导向这一非法山寨网站。尝试在山寨网站上下载该软件的用户会看到 Windows、iOS 和 Android 版本的三个按钮。 假网站上的下载页面 单击 iOS 不会执行任何操作,单击 Google Play 按钮会重定向到 Play 商店中真正的 Atomic Wallet 应用程序。但是,单击 Windows 按钮将下载一个名为“Atomic Wallet.zip”的 ZIP 文件,其中包含安装 Mars Stealer 感染的恶意代码。 Mars Stealer 是最近出现的信息窃取器,它针对存储在 Web 浏览器、加密货币扩展和钱包以及双因素身份验证插件上的帐户凭据。 逃避检测 根据Cyble昨天发布的一份技术报告,正在进行的 Mars Stealer 活动的交付机制的特点是逃避检测的显著努力。ZIP 包含一个批处理文件 (AtomicWallet-Setup.bat),该文件调用 PowerShell 命令以提升其在主机上的权限。接下来,bat文件复制目录中的PowerShell可执行文件(powershell.exe),重命名并隐藏,最终使用它来执行base64编码的PowerShell内容。 包含的 bat 文件的内容 (Cyble) 此代码解密 AES 加密和 GZip 压缩的 Base64 编码代码,该代码执行充当恶意软件加载程序的最终 PowerShell 代码。 解密解压代码 (Cyble) 加载程序从 Discord 服务器下载 Mars Stealer 的副本并将其放在主机上的 %LOCALAPPDATA% 上。安装后,恶意软件启动并开始从现在受感染的设备中窃取数据。 从 Discord (Cyble)下载 Mars Stealer 如何保持安全 用户下载加密货币钱包时,务必确保使用的是官方下载门户,并且永远不要信任社交媒体或即时消息平台上提供的链接。此外,请注意 SEO 中毒和恶意 Google Ads 活动,它们会使恶意网站在 Google 搜索结果中的排名高于官方网站,因此建议用户跳过所有标记为广告的搜索结果。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341012.html 封面来源于网络,如有侵权请联系删除

针对微软企业电子邮件服务,大规模网络钓鱼攻击来袭

近期,来自ThreatLabz的安全研究人员发现了一批大规模的网络钓鱼活动,该活动使用中间人攻击 (AiTM) 技术以及多种规避策略。据该公司本周二发布的一份公告,上个月微软遭遇的一次网络钓鱼攻击中似乎也使用了这种中间人攻击技术。ThreatLabz还透露,从Zscaler 云收集的情报分析,6月的大规模网络攻击中使用高级网络钓鱼工具包的情况有所增加,而使用这项新攻击技术的钓鱼活动也在增加。 据分析,这些网络钓鱼活动和微软发现的活动如出一辙,它们不但使用AiTM绕过多因素身份验证 (MFA),还在攻击的各个阶段使用了多种规避技术,旨在绕过典型的电子邮件安全和网络安全解决方案。ThreatLabz认为该活动是专门为使用微软电子邮件服务的企业而设计的。 “商业电子邮件泄露 (BEC) 对企业来说仍是一个威胁,此次活动进一步强调了防范此类攻击的必要性。” ThreatLabz表示,这些网络钓鱼攻击第一步就是向受害者发送带有恶意链接的电子邮件,威胁参与者几乎每天都在注册新的网络钓鱼域名,并且大多数目标企业是金融科技、贷款、金融、保险、会计、能源和联邦信用合作社行业等行业。而且多数目标企业位于美国、英国、新西兰和澳大利亚。 虽然多因素身份认证在大部分的时间可以保障安全,但也不能完全信任其带来的安全性。毕竟通过使用中间人攻击(AiTM)和巧妙的规避技术,威胁参与者还是可以绕过传统和高级安全解决方案。作为额外的预防措施,ThreatLabz 表示用户不应打开附件或单击来自不受信任或未知来源的电子邮件中的链接。作为最佳实践,用户应在输入任何凭据之前验证浏览器地址栏中的 URL。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341011.html 封面来源于网络,如有侵权请联系删除

思科修复了 VPN 路由器中关键远程代码执行漏洞

近日,思科修复了一组影响小型企业 VPN 路由器的关键漏洞,该组漏洞允许未经身份验证的攻击者在易受攻击设备上执行任意代码或指令。 安全研究人员在基于 Web 管理界面和 Web 过滤器的数据库更新功能中发现了这组安全漏洞(分别追踪为 CVE-2022-20842 、 CVE-2022-20827 ),经过分析后发现,该组漏洞均是由输入验证不足引起的。 这些漏洞影响的路由器主要包括 Small Business RV160、RV260、RV340和 RV345 系列 VPN 路由器(CVE-2022-20842 仅影响最后两个)。 受漏洞影响的路由器系列 攻击者利用漏洞能够执行任意命令 安全研究人员披露,攻击者可以利用 CVE-2022-20842 配合精心制作的 HTTP 输入,在底层操作系统上以“root”身份执行任意代码或重新加载设备,从而导致 DoS 条件。 对于 CVE-2022-20827,攻击者能够利用该漏洞向 Web 过滤器数据库更新功能提交精心设计的输入指令,以“ root”权限在底层操作系统上执行任意命令。 上述漏洞由 IoT Inspector 研究实验室、Chaitin 安全研究实验室和 CLP 团队的安全研究人员发现。目前,思科已经发布了软件更新来解决这两个漏洞,但强调没有解决方法能够消除攻击向量。 其它漏洞也已修复 值得一提的是,思科近日修补了 RV160、RV260、RV340 和 RV345 系列路由器开放即插即用 (PnP) 模块中的高严重性漏洞 (CVE-2022-20841)。如果用户不及时更新补丁,攻击者可以利用该漏洞向未打补丁的设备发送恶意指令,在底层 Linux 操作系统上执行任意操作。 上月,思科还解决了 Cisco Nexus Dashboard 数据中心管理解决方案中的另一组严重安全漏洞,这些漏洞允许未经身份验证的攻击者使用 root 或管理员权限远程执行任意命令和操作。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341009.html 封面来源于网络,如有侵权请联系删除