首页
论坛
课程
招聘
[推荐]【每日资讯】 | 这个荷兰版的“反诈中心”,从勒索病毒手上救下了不少人。 | 2022年8月10日 星期三
2022-8-1 10:31 1627

[推荐]【每日资讯】 | 这个荷兰版的“反诈中心”,从勒索病毒手上救下了不少人。 | 2022年8月10日 星期三

2022-8-1 10:31
1627

2022年8月10日 星期三

今日资讯速览:

1、这个荷兰版的“反诈中心”,从勒索病毒手上救下了不少人。 


2、国家网信办集中整治涉虚拟货币炒作乱象


3、丹麦7-Eleven便利店受网络攻击致收银系统瘫痪 目前已暂时停业



1、这个荷兰版的“反诈中心”,从勒索病毒手上救下了不少人。


最近瑞星威胁情报中心发现了一款由国内开发者制作的,非常有想法的勒索病毒 —— SafeSound。


这款病毒可以说把外挂玩家们拿捏的死死的,它会隐藏在《 穿越火线 》、《 绝地求生 》这些游戏的外挂中进行传播。


如果你不小心中招了,勒索者会非常礼貌的给你写一封信,大概意思是: 你的资料已经被我加密,想要恢复这些文件,打钱!

这条新闻,让勒索病毒这个话题又一次回到了大家的讨论中~


所谓的勒索病毒其实很简单,像出现在新闻里的 SafeSound 就是一个典型的勒索病毒。


它把勒索病毒藏在非正常渠道的游戏外挂里,玩家下载完外挂后,它就能把你 电脑磁盘里的文件进行一波 加密。


中了病毒的用户只有给勒索者 打钱,才能 获得一个解密的秘钥解锁这些文件。

这种病毒只会针对文件和文件夹,感染之后通常不影响正常的电脑使用,但是如果你想打开加密的文件,就会收到一个 “ 打钱弹窗 ”。


当然了,除了这种恶心人的加密病毒,还有更加过分的 锁屏勒索病毒。


这种病毒会直接锁住你的电脑屏幕,然后让你打钱。


一旦中了锁屏病毒,你几乎无法在电脑上进行任何操作,这个 “ 打钱界面 ” 会占据你所有视线,不让你在电脑上进行任何操作。

此外还有影响你电脑操作系统启动的病毒,这类病毒会更改电脑的主引导记录,中断电脑的正常启动,让电脑屏幕始终显示勒索信的内容。


还有专门攻击网络服务器对文件加密的病毒、甚至在手机上也有伪装成正常 App 锁住你手机的病毒 。

总之这些五花八门的勒索病毒会用极其恶心人的方式,不让你正常的使用手机和电脑,锁住文件。


如果你乖乖打钱了,他们才会有一定概率给你一个解锁的秘钥。


为什么说是一定概率呢?


聪明的差友应该意识到了,这些人都能做勒索病毒骗钱了,你还指望他们都是 “ 侠盗 ”,等你打钱了就给乖乖给你秘钥?


他们拿完钱跑路了才是大概率会发生的情况, 所以非常不建议各位中了勒索病毒的差友给黑客打钱。

根据深信服发布的《2021年度勒索病毒态势报告》,2021年,全网勒索攻击总次数超过 2234万次!


并且随着类似比特币这些加密货币的使用,追查这些犯罪者变得更加困难了。


为了对付勒索病毒,荷兰国家警察高科技犯罪单位、欧洲刑警欧洲网络犯罪中心,以及卡巴斯基实验室和英特尔安全,一起做了个网站。

这个网站收录了 172 种已知的勒索病毒, 并且针对这些病毒专门做了破解工具。


如果你知道勒索病毒的种类,可以直接在网站的病毒库里搜索名字,然后下载对应的解密器。

如果你不幸中了勒索病毒并且不知道病毒的种类,可以把电脑上被 “ 封印 ” 起来的加密文件上传到网站这个叫做 “ 解码刑警 ” 的工具。

然后这个 “ 解码刑警 ” 会根据你上传文件的信息, 分析出你中的是哪种勒索病毒。

接下来再去网站的工具库中下载对应的病毒工具,这些工具会破解被加密的文件,你就不用给骗子们打钱了。


我们还可以随手进行一个举报,把勒索信件中看到的任何电邮和网站地址上传到 “ 解码刑警”,这些上传的信息会帮助荷兰警方追查黑客的信息。

也算是对荷兰警方进行了一波国际帮助了~

不过世超觉得,等你中了勒索病毒再去想办法多少有些亡羊补牢的意思了。


其实在大家上网冲浪的时候做好必要的防范才是最重要的,对于各位差友来说,只要做好这几点很大程度上就能避免被勒索病毒找上门。

首先是定期备份储存计算机上的数据。


毕竟勒索病毒 “ 绑架 ” 的是你电脑里重要的文件,如果中了勒索病毒直接重装系统就完事了。

然后是不要点击垃圾邮件、不知名的可疑电子邮件链接,远离外挂。


上网冲浪的时候同样也是,不要点乱七八糟的链接、弹出窗口和对话框;只从官方网站或者可以信赖的网站下载软件。

总之就是一句话: 上网有风险,同志需谨慎。


最好是安装一些靠谱的安全软件,比如火绒安全,他们会提醒你哪些链接存在安全隐患,不想安装第三方安全软件的差友,可以在系统中开启本地防火墙。

以上就是一些针对个人用户预防勒索病毒的一些小建议。


最后把这个拒绝勒索软件的官网链接分享给大家,有需要的可以自取:

网站链接: https : //www.nomoreransom.org/zh/index.html

【阅读原文】



2、国家网信办集中整治涉虚拟货币炒作乱象


       随着虚拟货币的兴起,与之相关的投机、炒作、诈骗等活动愈演愈烈,一些网民受投资虚拟货币可获高额回报等虚假宣传迷惑,盲目参与到相关交易活动中,给自身财产带来较大损失。今年以来,国家网信办贯彻落实党中央决策部署,高度重视网民举报线索,多举措、出重拳清理处置一批宣传炒作虚拟货币的违法违规信息、账号和网站。


  按照《关于进一步防范和处置虚拟货币交易炒作风险的通知》精神,国家网信办督促指导主要网站平台切实落实主体责任,持续保持对虚拟货币交易炒作高压打击态势,加大对诱导虚拟货币投资等信息内容和账号自查自纠力度。微博、百度等网站平台根据用户协议,关闭@ICE暴雪创始人、@币圈爆爺等1.2万个违规用户账号,清理“投资比特币轻松赚钱”等违规信息5.1万余条。


  国家网信办加强督导检查,对打着“金融创新”“区块链”的旗号,诱导网民进行“虚拟货币”“虚拟资产”“数字资产”投资的@飞哥的故事江湖、@绝对盘感比特币等989个微博、贴吧账号和微信公众号依法予以关闭。此外,指导地方网信部门约谈涉虚拟货币宣传炒作的“链节点”、“创投圈”等经营主体500余家次,要求全面清理宣传炒作虚拟货币交易的信息内容。对专门为虚拟货币营销鼓吹、发布教程讲解跨境炒币、虚拟货币“挖矿”的“币头条”等105家网站平台,国家网信办会同相关部门依法予以关闭。


  下一步,国家网信办将继续会同相关部门,加强对虚拟货币相关非法金融活动的打击力度,依法保护人民群众财产安全。提醒广大网民树立正确投资理念,增强风险防范意识,不参与虚拟货币交易炒作活动,谨防个人财产受损。

【阅读原文】



3、丹麦7-Eleven便利店受网络攻击致收银系统瘫痪 目前已暂时停业


丹麦境内的多家 7-Eleven 便利店由于受到网络安全攻击,导致店内的支付和结账系统出现瘫痪,无奈选择暂时关门歇业。本次攻击发生于当地时间 8 月 8 日上午,7-Eleven 的丹麦官方 Facebook 账号发布了一条如下动态

rmea9btd.webp

翻译过来就是:“非常遗憾,我们今天(2022 年 8 月 8 日)遭到了一次网络攻击。这意味着我们无法使用使用结账和支付系统。在我们确定影响范围之前我们不得不选择临时关闭这些门店。自然的,我们希望尽快让这些门店重新开业”。


在一条已经删除的 Reddit 帖子中,一名自称是 7-Eleven 的丹麦员工确认了遭受网络攻击,在结账系统停止工作之后不得不暂停营业。这位员工写道

我目前在 Strøget 的 7-Eleven 便利店工作,我们的结账系统已经无法工作了。目前丹麦境内所有 7-Eleven 均使用相同的系统,因此所有 7-Eleven 门店现在都关门了。我所在的门店目前已经关门了,给大家提个醒了。

【阅读原文】



2022年8月9日 星期二

今日资讯速览:

1、研究人员锁定伊朗对阿尔巴尼亚政府实施的网络攻击行为


2、GwisinLocker:专门针对韩国的勒索软件


3、美国海军发起“网络龙行动”预计培养数百名网络安全人才



1、研究人员锁定伊朗对阿尔巴尼亚政府实施的网络攻击行为



7月中旬,一场针对阿尔巴尼亚政府的网络攻击使国家网站和公共服务中断了数小时。随着俄罗斯在乌克兰的战争肆虐,克里姆林宫似乎是最可能的嫌疑人。但威胁情报公司Mandiant周四发表的研究报告将这次攻击归咎于伊朗。虽然德黑兰的间谍活动和数字干预已经在世界各地出现,但曼迪安特的研究人员说,来自伊朗对一个北约成员国的破坏性攻击是一个值得注意的行动升级。

阿尔巴尼亚 地拉那


7月17日针对阿尔巴尼亚的数字攻击发生在"自由伊朗世界峰会"之前,该会议定于7月23日和24日在阿尔巴尼亚西部的马涅兹镇召开。该峰会隶属于伊朗反对派组织(通常缩写为MEK、PMOI或MKO)。但会议在预定开始的前一天被推迟,因为据说有未指明的"恐怖主义"威胁。


Mandiant研究人员说,攻击者部署了Roadsweep系列的勒索软件,可能还利用了一个以前未知的后门,被称为Chimneysweep,以及Zeroclear擦除工具的一个新变种。Mandiant发现,过去使用类似的恶意软件,攻击的时间,Roadsweep勒索软件说明中的其他线索,以及在Telegram上声称对攻击负责的行为人的活动都指向伊朗。

Mandiant的情报副总裁John Hultquist说:"这是一个积极的升级步骤,我们必须承认。伊朗的间谍活动在世界各地一直在发生。这里的区别是这不是间谍活动。这些是破坏性的攻击,影响到生活在北约联盟内的阿尔巴尼亚人的日常生活。而且,这基本上是一种胁迫性的攻击,以迫使政府出手。"


伊朗在中东,特别是在以色列进行了广泛的黑客活动,其国家支持的黑客已经渗透和探测了制造、供应和关键基础设施组织。2021年11月,美国和澳大利亚政府警告说,伊朗黑客正在积极努力获取与运输、医疗保健和公共卫生实体等相关的一系列网络。国土安全部网络安全和基础设施安全局当时写道:"这些伊朗政府资助的APT行为者可以利用这种访问进行后续行动,如数据渗出或加密、勒索软件和敲诈。"

不过,德黑兰已经限制了其攻击的范围,在全球范围内主要保持数据渗透和侦察。然而,该国也参与了影响行动、虚假信息活动和干预外国选举的努力,包括针对美国。


Hultquist说:"我们已经习惯于看到伊朗在中东地区咄咄逼人,这种活动从未停止过,但在中东以外的地区,他们一直都很克制。我担心他们可能更愿意在该地区之外利用其能力。而且他们显然对针对北约国家毫无顾忌。"


由于伊朗声称它现在有能力生产核弹头,而且该国代表与美国官员在维也纳就可能恢复两国之间的2015年核协议进行了会晤,任何关于伊朗在与北约打交道时可能的意图和风险容忍度的信号都是重要的。


阅读研究报告以了解更多:

https://www.mandiant.com/resources/likely-iranian-threat-actor-conducts-politically-motivated-disruptive-activity-against?1


【阅读原文】



2、GwisinLocker:专门针对韩国的勒索软件



Hackernews 编译,转载请注明出处:


研究人员警告称,一种名为GwisinLocker的新勒索软件能够对Windows和Linux ESXi服务器进行加密。该勒索软件针对韩国医疗、工业和制药公司,其名称来自作者“Gwisin”(韩语中的幽灵)的名字。


勒索软件通过针对特定组织的定向攻击进行分发。专家们还表示,韩国警方,国家情报局和KISA等韩国实体的名称也出现在勒索信上。

据当地媒体报道,Gwisin黑客在公休日和凌晨攻击了韩国公司。


Windows系统上的攻击链利用MSI安装程序,需要一个特殊值作为参数来运行MSI中包含的DLL文件。


“它类似于Magniber,因为它以MSI安装程序的形式运行。但与针对随机个体的Magniber不同,Gwisin本身不执行恶意行为,它需要为执行参数提供特殊值,该值用作运行MSI中包含的DLL文件的关键信息。”安全公司Ahnlab发布的报告中写道。“文件本身不会在各种沙箱环境的安全产品上执行勒索软件活动,因此很难检测到Gwisin,勒索软件的内部DLL通过注入正常的Windows进程来运行,对于每个受攻击的公司来说,这个过程都是不同的。”


GwisinLocker勒索软件能够在安全模式下运行,它首先将自身复制到ProgramData的某个路径,然后在强制系统重新启动之前注册为服务。

微信截图_20220808100258

Reversinglabs的研究人员分析了勒索软件的Linux版本,他们指出这是一种复杂的恶意软件,具有专门设计用于管理Linux主机和针对VMWare ESXI虚拟机的功能。GwisinLocker将AES对称密钥加密与SHA256哈希相结合,为每个文件生成唯一密钥。


Linux GwisinLocker变体的受害者需要登录到该组织运营的门户网站,才能与黑客取得联系。


“对更大规模的GwisinLocker活动的分析和公开报道表明,勒索软件掌握在复杂的黑客手中,他们在部署勒索软件之前获得了对目标环境的访问和控制权,这包括识别和窃取敏感数据,用于所谓的“双重勒索”活动。”Reversinglabs发布的报告总结道。“该组织勒索信中的细节表明,他们熟悉韩语以及韩国政府和执法部门。因此人们猜测,Gwisin可能是一个与朝鲜有关的高级持续威胁(APT)组织。”

【阅读原文】



3、美国海军发起“网络龙行动”预计培养数百名网络安全人才



马里兰州杰瑟普在米德堡的边境地区,美国海军正在采取串联方式进行网络防御和人才培养。

 

由美国舰队网络司令部授权的首席准尉斯科特布赖森的心血结晶“赛博龙行动”,旨在修复虚拟漏洞一点一点地支撑系统同时培养新一波的网络安全专业知识。“我们这样做是为了继续减轻和加强我们的攻击媒介,并更好地保护我们的网络,”布赖森在7月22日对记者说。

 

据悉,Cyber Dragon于3月启动,目前该计划的第二阶段正在进行中。在目前的形势下,该行动的重点是加强非机密网络并根除常见的、普遍存在的数字弱点:松懈的安全设置、容易猜到的凭据、未打补丁的软件等等。

 

官员们表示,这样做会使黑客更难闯入并造成严重破坏。据海军称,最初在服务网络上发现了大约 14,500 个需要解决的问题。每个都可能成为对手的立足点,尤其是在网络冲突加剧的时候。负责信息战的海军作战部副部长杰弗里·特鲁斯勒(Jeffrey Trussler)在2月份的一份备忘录中警告水手们,“针对企业和美国基础设施的网络攻击的频率和复杂性正在增加。”

 

为了应对如此庞大且不断变化的工作量,需要人力。所以布赖森求助于储备,包括那些不一定能熟练使用网络的人。“我去了第 10 舰队的预备役部队,我想出了一个训练计划。我说,'好吧,如果你给我 X 天的 X 数量的水手,我认为我们可以得到一定百分比的漏洞,修补和扫描。预备队通过人员配备,他们通过空间。“布赖森说。

 

据参与这项工作的官员称,到目前为止,Cyber Dragon 团队已经发现并修复了数千个问题——从几次“高调曝光”到默认用户名和密码 ,再到发现“我们不希望数据存在的数据”。

 

“默认用户名和密码意味着任何人都可以在这些特定机器上登录并执行。现在,它们与国家安全无关。没有直接关系到国家安全的重大问题,”美国第 10 舰队舰队网络司令部副司令、海军少将史蒂夫·唐纳德说。“但在某些情况下,它可能会对个人造成伤害、身份盗窃或类似性质的事情。我们能够关闭它。”

 

团队还关注潜在的欺骗证书、有风险的软件使用和云管理问题。大约50名水手接受了最先进的攻击面管理软件的培训,用于发现、分类和评估组织资产的安全性,预计未来几个月还将有 100 人接受同样的教育。

 

具有网络和技术背景的预备役军人布莱克·布雷兹中尉表示,这次行动提高了他对该领域和海军网络安全的理解。“我留在预备队的最大动机是我想接近战斗,以防我们的一些近乎同行的对手变得有趣,”布拉兹说。“可以这么说,我们并没有直接与敌人接触,但我们正在努力阻止他们进入我们网络的途径。”

【阅读原文】



2022年8月8日 星期一

今日资讯速览:

1、卡巴斯基发布《2022年第二季度的DDoS攻击》报告


2、Twitter 证实,零日漏洞致540万账户数据泄露


3、以色列警方Pegasus间谍软件原型被曝光



1、卡巴斯基发布《2022年第二季度的DDoS攻击》报告



近日,卡巴斯基发布《2022年第二季度的DDoS攻击》报告,与上一季度相同出于政治动机的网络攻击在2022 年第二季度主导了DDoS 领域,俄罗斯网站仍然是第二季度DDoS攻击的目标。攻击地域没有显著变化,但值得注意的是,与并发地缘政治事件相关的攻击,可能会利用僵尸网络统计数据中未考虑的特殊创建的资源


季度趋势


2022年第二季度延续了上一季度的趋势:超长攻击次数增加。这些攻击持续时间长,造成网站持续处于高压之下。与上一季度相比,DDoS攻击逐渐淡出公众视野,业余黑客攻击基本停止。也就是说,并未造成重大损失,从DDoS防御的角度来看,攻击停止的影响很小。

2021年第二季度、2022年第一季度和第二季度的DDoS攻击数量对比(2021年第二季度的数据取为100%)

本季度,卡巴斯基DDoS保护组击退的攻击同比增加了约2.5倍。虽然攻击的绝对数量减少了,但整体的DDoS情况可能已经恶化。如上所述,造成上一季度激增的黑客活动逐渐减少。这些攻击中的绝大多数既没有专业的管理,持续时间较短,除了计入统计数据外,并未产生其他特别影响。在第二季度处于观察期的攻击,其性质有些不同。它们持续数天,甚至数周,本季度的记录是41441分钟。遭受攻击最多的资源几乎一直处于高压状态。

DDoS攻击持续时间,2021年第二季度,2022年第一季度和第二季度(2021年第二季度的数据取为100%)

第二季度DDoS攻击的平均持续时间约为3000分钟。与2021年第二季度的平均30分钟相比:这个数字指数级增长。维持长时间的攻击的成本十分高昂,尤其是被网络安全系统阻挡的无效攻击。持续的僵尸活动增加了僵尸网络主机磨损或被检测的风险,甚至C2中心本身也会被追踪。

就DDoS攻击的质量而言,趋势更为复杂。2022年第二季度,智能攻击占比高达50%,接近历史记录。历史记录出现在四年前DDoS市场处于谷底时。

2021年第二季度、2022年第一季度和第二季度智能攻击的份额

更有趣的是,2022年第二季度出现了大量的高级定向攻击,这些攻击针对特定的网站设计的,并考虑到其特点和漏洞。攻击复杂且成本高昂,需要攻击方和防守方都拥有高超的经验和能力。一般这些攻击是以个位数发生的,在第二季度,有两次该类型攻击,这一趋势十分令人震惊。

第二季度的另一个极其重要的趋势是加密货币崩盘,它以Terra(Luna)的瞬间崩溃开始,此后态势一直在加剧。DDoS市场对加密货币市场的波动高度敏感,在加密货币下跌时不可避免地增长,从各种迹象来看,这种状态将持续下去:例如,矿工已经开始向游戏玩家出售农场。俄罗斯的DDoS情况已经十分紧张,该地区很难捕捉到任何变化。在全球范围内,DDoS活动很有可能会加剧。


DDoS攻击统计


1 方法


在本报告中,只有在僵尸网络活动时间间隔不超过24小时的情况下,事件才被算作一次DDoS攻击。例如,如果同一资源在间隔24小时或更长时间后被同一僵尸网络攻击,则会被计算为两次攻击。源自不同僵尸网络但针对一个资源的僵尸请求也算作单独的攻击。

DDoS攻击受害者和用于发送命令的C2服务器的地理位置由其各自的IP地址决定。本报告中的DDoS攻击的独特目标数量是由季度统计中的独特IP地址数量来计算的。

DDoS情报统计数据仅限于卡巴斯基检测和分析的僵尸网络。请注意,僵尸网络只是用于DDoS攻击的工具之一,本节并不涵盖审查期间发生的每一次DDoS攻击


2 季度总结

  • 在2022年第二季度。

  • DDoS情报系统记录了78,558次DDoS攻击。

  • 25%的目标位于美国,占所有攻击的45.95%。

  • 6月20日和21日是最疯狂的日子,分别有1815和1735次攻击,而4月10日和11日以及5月17日是最平静的日子,分别有335、294和267次攻击。

  • 短时攻击占总数的95.42%。

  • 17%的僵尸网络C2服务器位于美国。

  • UDP攻击占比62.53%


3 DDoS攻击的地理分布


美国仍然是DDoS攻击数量的领导者,占比从第一季度的44.34%略微上升到45.95%;德国紧随其后,占6.47%,增长了1.41个百分点。

2022年第一季度和第二季度按国家和地区划分的DDoS攻击分布

法国和加拿大涨幅极小,分别为4.60%和3.57%,位列第四和第五位。英国以3.51%降至第六位,其次是巴西的3.2%和荷兰的2.91%。新加坡紧随其后,排名第九,是前十名中除美国和德国外唯一一个攻击率增长超过一个百分点的国家,从1.86%增至2.9%。新加坡的目标份额(3.22%)增长更为明显,比2022年第一季度增长了一倍总的来说,TOP10的构成与按攻击次数排名的传统相似。

2022年第一季度和第二季度按国家和地区划分的独特目标分布


4 DDoS攻击数量的动态变化


2022年第二季度,DDoS攻击与上一报告期相比下降了13.72%(至78558次)。整个季度的活动稳步增加:从4月的平均每天731次攻击到5月的845次,到6月的1195次。事实证明,6月20日和21日攻击最为频繁,分别有1815次和1735次攻击,而4月10日和11日最为平静,卡巴斯基DDoS情报系统分别记录了335次和294次攻击;5月17日,只捕捉到267次攻击。

2022年第二季度DDoS攻击数量的动态变化

每周DDoS 攻击的分布略高于2022 年第一季度。周五(13.33%)增长了0.56个百分点,周日的占比从16.35%下降到15.81%。

2022年第二季度DDoS攻击按星期的分布情况

周二(14.06%)和周六(15.59%)均有所增长,周一(14.22%)有所下降。因此,周六和周日的DDoS活动水平最高。


5 DDoS攻击的持续时间和类型


2022年第二季度,长时间(20小时及以上)的攻击在整个DDoS持续时间中的占比明显减少,从第一季度的近20%降至略高于7%。从数量上看,这些攻击仅占总数的0.3%,其中0.24%是持续20-49小时的攻击。

持续时间不超过4小时的短时DDoS攻击占总时间的74.12%,占总数的95.24%。持续5-19小时的攻击比例几乎没有变化(占总数的4.28%,2022年第一季度为4.32%),但比例略微转向持续5-9小时的攻击。

本季度最长的攻击持续了423和403小时(约17.5和17天),比第一季度创纪录的549小时(近23天)的攻击缩短了126小时。平均攻击时间从近两小时下降到约1小时45分钟。

2022年第一季度和第二季度DDoS攻击的持续时间分布

UDPflood攻击仍是僵尸网络采用的主要技术,其份额在2022年第二季度再次上升到62.53%。SYNflood仍然排在第二位,占比20.25%。TCPflood的占比缩减到以前的一半,为11.40%。HTTPflood的份额(2.43%)保持不变,而GREflood上升到3.39%,上升到第四位。

2022年第二季度DDoS攻击的类型分布


6 僵尸网络的地理分布


位于美国的僵尸网络控制服务器的占比46.17%,比2022年第一季度下降了9.3%,但仍位列前茅。其次是荷兰(14.49%),其次是德国(9.11%),两个国家的排名互换。之前排名第四的捷克共和国几乎跌出了前十名,与加拿大和克罗地亚(1.24%)分列第九、第十和第十一位。俄罗斯(4.76%)和法国(3.52%)的排名因此分别上升了一位。

2022年第二季度僵尸网络C2服务器在各国的分布情况

新加坡(2.69%)和越南(2.48%)分别排在第六和第七位,其份额与上一报告期相比翻了两番。英国(2.07%)下降到第八位。


7 对物联网蜜罐的攻击


美国(13.52%)SSH蜜罐攻击的数量排名第二,德国(5.64%)和巴西(5.43%)也分别保持第三和第四位,而新加坡(4.71%)将香港(4.35%)挤出第五位,并被印度(4.70%)紧随其后。韩国(4.21%)排名第八,俄罗斯(3.41%)排名第九,英国(3.33%)位列前十。

按攻击次数计算,来自俄罗斯的攻击领先于其他国家和地区,占54.93%。美国以对SSH蜜罐的攻击数量和与之相关的机器人数量位居第二,占7.82%。越南(6.74%)位居第三:位于该国的机器人在2022年第二季度对蜜罐发起了超过150万次攻击。

2022年第二季度试图攻击卡巴斯基SSH蜜罐的设备的地理分布

2022年第二季度,攻击卡巴斯基Telnet蜜罐的设备也大多位于中国(其中39.41%)。这些设备也是所有攻击的一半以上(58.89%)的原因。印度按僵尸数量排名第二(6.90%),但在僵尸活动方面仅排名第七(2.5%)。荷兰的僵尸活动水平第二高(8.11%)。俄罗斯在这两份名单上都排在第三位,拥有5.83%的机器人,在蜜罐上发起了7.48%的攻击。

2022年第二季度试图攻击卡巴斯基Telnet蜜罐的设备的地理分布


总结


在DDoS攻击方面,第二季度比第一季度略显平缓。夏季临近时,活动量下降是常规趋势。然而,本季度内攻击数量的变化并不符合这一趋势:僵尸网络活动在4月至6月期间稳步增长,而上一季度末则出现下滑。这与加密货币的崩盘相一致,这一事件通常会助长DDoS攻击。与过去的报告期相比,攻击地域没有明显变化,但值得注意的是,与并发地缘政治事件有关的攻击可能会利用专门创建的资源,而不计入僵尸网络统计数据中。

现在预测,只要政治议程保持不变,俄罗斯的情况不太可能很快改变。该国的DDoS活动已经达到了某种程度的高峰。预计2022年第三季度俄罗斯的数据与第二季度类似。考虑到加密货币的情况,预计DDoS市场将在全球范围内增长。这可能会对俄罗斯产生间接影响:僵尸网络租赁的价格可能会下降,使DDoS作为一种服务更加实惠,这意味着以前成本太高无法进行攻击资源现在将成为可获得的目标。特别是,人们可以预测对教育网站的攻击会增加。无论如何,DDoS攻击的数量不会减少。任何地方都没有降低威胁程度的先决条件,而增长因素却很多。

【阅读原文】



2、Twitter 证实,零日漏洞致540万账户数据泄露



Twitter 证实,最近泄露 540 万个账户数据的数据泄露事件是由利用零日漏洞造成的。7月底,一名威胁参与者泄露了 540 万个 Twitter 账户的数据,这些账户是通过利用Twitter 平台中现已修复的漏洞获得的。


威胁行为者在流行的黑客论坛 Breached Forums 上出售被盗数据。早在一月份,Hacker 上发布的一份报告声称发现了一个漏洞,攻击者可以利用该漏洞通过相关的电话号码/电子邮件找到 Twitter 账户,即使用户已选择在隐私选项中阻止这种情况。


“该漏洞允许任何未经任何身份验证的一方 通过提交电话号码/电子邮件来获取任何用户的Twitter ID(这几乎等于获取账户的用户名),即使用户已在隐私设置中禁止此操作。由于 Twitter 的 Android 客户端中使用的授权过程,特别是在检查 Twitter 账户重复的过程中,存在该错误。”zhirinovskiy 提交的报告中指出:“通过漏洞赏金平台 HackerOne,这是一个严重的威胁,因为人们不仅可以找到限制通过电子邮件/电话号码找到能力的用户,而且任何具有脚本/编码基本知识的攻击者都可以列举出大量无法使用的 Twitter 用户群枚举之前(创建一个带有电话/电子邮件到用户名连接的数据库)。此类基地可以出售给恶意方用于广告目的,或用于在不同的恶意活动中对名人进行攻击。”


卖家声称该数据库包含从名人到公司的用户数据(即电子邮件、电话号码)。卖家还以 csv 文件的形式分享了一份数据样本。

图片


在帖子发布几个小时后,Breach Forums 的所有者验证了泄漏的真实性,并指出它是通过上述 HackerOne 报告中的漏洞提取的。


“我们下载了样本数据库进行验证和分析。它包括来自世界各地的人,拥有公开的个人资料信息以及与该账户一起使用的 Twitter 用户的电子邮件或电话号码。”


卖家告诉 RestorePrivacy,他要求为整个数据库至少支付 30,000 美元。


现在 Twitter 确认数据泄露是由 zhirinovskiy 通过漏洞赏金平台 HackerOne 提交的现已修补的零日漏洞造成的。


Twitter 确认了此漏洞的存在,并授予了 zhirinovskiy 5,040美元的奖金。


“我们想让你知道一个漏洞,该漏洞允许某人在登录流程中输入电话号码或电子邮件地址,以试图了解该信息是否与现有的 Twitter 账户相关联,如果是,哪个特定账户。” Twitter 的公告。“在 2022 年 1 月,我们通过我们的漏洞赏金计划收到了一份漏洞报告,该漏洞允许某人识别与账户关联的电子邮件或电话号码,或者,如果他们知道某人的电子邮件或电话号码,他们可以识别他们的 Twitter 账户,如果存在的话,”这家社交媒体公司继续说道。


“这个错误是由 2021 年 6 月我们的代码更新造成的。当我们了解到这一点时,我们立即进行了调查并修复了它。当时,我们没有证据表明有人利用了这个漏洞。”


该公司正在通知受影响的用户,它还补充说,它知道安全漏洞对那些使用假名 Twitter 账户以保护其隐私的用户造成的风险。没有泄露密码,但鼓励其用户 使用身份验证应用程序或硬件安全密钥启用 2 因素身份 验证,以保护其账户免受未经授权的登录。


BleepingComputer报告说,两个不同的威胁参与者以低于原始售价的价格购买了这些数据。这意味着威胁行为者将来可以使用这些数据来攻击 Twitter 账户。

【阅读原文】



3、以色列警方Pegasus间谍软件原型被曝光



2014年为以色列警方设计的Pegasus间谍软件原型细节和截图显示了该系统的工具和深远的能力,该系统计划在日常警务工作中部署。


这套间谍软件工具本应提交给由当时的总理本雅明-内塔尼亚胡领导的安全内阁,其中包括警方寻求的各种功能,从监听被感染手机上的任何电话,阅读短信,到在手机主人不知情的情况下远程打开麦克风和摄像头。


该间谍软件提交给内阁的报告是由当时新任命的信号情报部门负责人约阿夫-哈桑准将准备的,他曾是以色列国防军精英8200网络情报单位的成员。在他的领导下,并在摩萨德特工协助下,该单位发展成为一个准独立的、分工明确的小组。


该部门从更广泛的情报单位中分离出来,并向当时的调查部门负责人、警察少将马尼-伊扎基报告。这是一支警察部队中的警察部队,没有人知道那里发生了什么,其中没有监管,没有监督,他们手中的工具非常具有侵略性,需要受到严格的监管。在现实中,这并没有发生。


为了回应以色列经济日报《Calcalist》在年初震撼全国一篇调查报道,一个由副总检察长阿米特-梅拉里领导的调查委员会试图审查警方使用攻击性间谍软件,特别是PegASUS,它周一发表了一份报告,调查了那里发生的情况。梅拉里小组的结论是,早在2016年,当阿尔谢赫还是局长的时候,就已经在操作上部署了间谍软件,使用的技术超出了其法律授权。收集的电话数据超过了法院命令所允许的合法范围,该组织仍在其网络部门的数据库中持有这些信息。


调查报告当中提到的Pegasus间谍软件另一项能力是拦截来往电话。除了这种在情报监视领域似乎比较常规的能力外,还有一种在专业术语中被称为"音量监听"的能力,被认为更具侵入性。简单地说,它意味着通过远程激活设备的麦克风对设备的周围进行实时窃听。这种类型的窃听需要地区法院院长或其副手的命令。


警方打算列出的功能清单超出了窃听的范围,包括远程操作"受感染"设备上的摄像头,这种行为很可能是非法的,因为法律没有明确允许植入隐蔽的摄像头,当然也不允许通过入侵嫌疑人的移动设备远程控制摄像头。通过间谍软件,警方可以完全访问存储在手机上的所有文件,包括那些经过端到端加密的文件。


这种加密技术可以防止通过手机天线或其他基础设施访问设备的内容。即使一个文件被截获,也无法解码。然而,在一个已经感染了间谍软件的设备上,所有的文件都变得可见。然而,悉现Pegasus间谍软件的消息人士说,调查报告当中描述的Pegasus间谍软件是大约八年前计划的版本,显然是当前软件的早期版本或演示版本。

【阅读原文】



2022年8月5日 星期五

今日资讯速览:

1、台湾四大网站遭到DDoS攻击


2、Cloudflare推出密码学实验 以防范被未来的量子计算机破解


3、湖人老板推特账户被盗 黑客用其进行PS5义卖诈骗



1、台湾四大网站遭到DDoS攻击


【阅读原文】



2、Cloudflare推出密码学实验 以防范被未来的量子计算机破解


有人说,目前的加密技术在未来可能会被量子计算机破解。为了对此做好准备,Cloudflare正在推出一项后量子实验,以增加对两种混合后量子密钥协议(X25519Kyber512Draft00和X25519Kyber768Draft00)的支持,所有网站所有者都可以报名参加。这些密钥协议将与现有的加密方案一起工作,以确保兼容性。

image2-4.png

目前在网站上添加这些密钥协议不会有什么作用,因为还没有网络浏览器支持它们。浏览器遇到这些加密方案时将退回到现有的方式,因此自然也不具有抗量子性。Cloudflare表示,互联网将在未来几年内向量子加密技术发展,并希望这个测试版能给其客户一个尝试的先机。


Cloudflare正在使用的后量子密码学被称为Kyber。上个月,美国国家标准与技术研究所(NIST)决定对Kyber进行标准化,最终规范将于2024年出台。通过启动这项试验,Cloudflare希望能推动后量子密码学的采用。

Crypto-rev1.png

就特点而言,Kyber使用更大的密钥和使用更多的内存。Cloudflare认为,如果Kyber单独使用,对网站的连接可能会更快,但在这次试验中,使用的是混合模式,所以连接速度会慢一些。


如果你想在你的一个域名上进行测试,请查看Cloudflare控制后台的综合步骤来设置它。请注意,Kyber将在未来几个月接受向后兼容的变化,Cloudflare的实施将改变,以与其他早期采用者兼容。此外,如果社区发现任何问题,那么将在Cloudflare的实施中加入解决方法。由于变化的速度很快,Cloudflare不能保证长期稳定或持续支持。


访问以了解更多细节:

https://blog.cloudflare.com/experiment-with-pq/


【阅读原文】



3、湖人老板推特账户被盗 黑客用其进行PS5义卖诈骗


Hackernews 编译,转载请注明出处:


Google修补了Android操作系统中的一个关键漏洞,跟踪为CVE-2022-20345,可利用该漏洞通过蓝牙实现远程代码执行。


Google没有透露有关该漏洞的其他细节。


“本节中最严重的漏洞可能导致通过蓝牙远程执行代码,而不需要额外的执行权限。”Google发布的安全公告中写道。


Google通过发布安全补丁级别“2022-08-01”和“2022.08-05”解决了这个问题。


CVE-2022-20345漏洞是Google本月唯一被评为“严重”的漏洞。其他所有漏洞都被评为“高危”。这些漏洞影响了框架、媒体框架、系统、内核、想象技术、联发科技、Unisoc和高通组件。


Google还修补了Google Pixel设备中的数十个安全漏洞,包括四个关键的远程代码执行漏洞,跟踪如下:

CVEREFERENCESTYPESEVERITYCOMPONENT
CVE-2022-20237A-229621649 *RCECriticalModem
CVE-2022-20400A-225178325*RCECriticalModem
CVE-2022-20402A-218701042 *RCECriticalModem
CVE-2022-20403A-207975764 *RCECriticalModem

【阅读原文】



2022年8月4日 星期四

今日资讯速览:

1、2.88亿条印度养老基金持有人的身份数据被暴露在互联网


2、币圈提款机:Solana钱包出现未知安全漏洞 大量用户数字资产被盗


3、湖人老板推特账户被盗 黑客用其进行PS5义卖诈骗



1、2.88亿条印度养老基金持有人的身份数据被暴露在互联网



一个包含印度养老基金持有人全名、银行账户号码等信息的巨大数据缓存已在网上浮出水面。安全研究员Bob Diachenko发现两个独立的IP地址存储了超过2.88亿条记录--其中一个IP地址下有约2.8亿条记录,约840万条是第二个IP地址的一部分。该研究人员说,这两个IP地址都公开向互联网暴露数据,但没有密码保护。

图片.png

这些记录是名为"UAN"的集群指数的一部分,这显然是指该国国有雇员公积金组织(EPFO)分配给养老基金持有人的通用账户号码。


Diachenko表示:"据我所知,数据库中的信息可能被用来拼凑出一个印度公民的完整档案,使他们成为网络钓鱼或诈骗攻击的目标。"


每条记录都包括详细的个人信息,包括他们的婚姻状况、性别和出生日期。还有一些细节主要与他们的养老基金账户有关,包括UAN、银行账户号码和就业状况。


除了泄露持有养老基金账户的个人身份信息(PII)外,这些记录还暴露了其办理人的详细信息。这些信息包括他们的全名和与账户持有人的关系。


Diachenko本周早些时候发现了泄露敏感数据的IP地址。他在Twitter上发布了一张截图,显示了周三暴露个人信息的数据字段,同时提醒了印度计算机应急响应小组(CERT-In)。在发布他的推文后不到一天,这两个有问题的IP地址已经无法访问。


但Diachenko说,目前还不清楚谁应该对网上出现的曝光数据负责。目前也不清楚除了他之外,是否还有其他人也发现了这些曝光的数据。


印度养老金的IT系统出现安全问题已经不是第一次,2018年,印度中央公积金专员通知技术支持部门,黑客能够从EPFO网站的Aadhaar播种门户窃取数据。这一事件使约2700万养老基金成员的信息处于危险之中。然而,该养老基金机构后来在记录上声称,其方面没有数据泄漏,但没有提供证据。

【阅读原文】



2、币圈提款机:Solana钱包出现未知安全漏洞 大量用户数字资产被盗



据网上流传的消息,加密货币Solana(代币:SOL)钱包出现未知的高危安全漏洞,黑客通过漏洞获取到用户钱包的私钥或者助记词,然后直接将钱包资产清空。 目前具体问题还不清楚,但如果用户使用SOL代币钱包请立即将所有资产转移到中心化的交易所进行过渡,防止资产被盗。


当前被盗的钱包数量还在增长、用户损失的资金量也在继续飙升,目前已经被盗的加密货币预估超过了1000万美元,涉及的SOL钱包包括Phantom和Slope等,这俩都是热钱包。


如果用户有硬件钱包的话也可以将资产转入到硬件钱包,这样安全性应该也可以提升不少。

区块链安全公司派盾发布的消息是上述钱包可能由于供应链问题,Phantom钱包则表示不相信这是他们特有的问题,但无论如何用户被盗的资金也不会找回来,钱包方面是不可能因为这类黑客攻击而赔偿用户的。


另外有专注于区块链诈骗的追踪者从钱包方面获取到部分蛛丝马迹,黑客将被盗资产转入的主钱包似乎是7个月前通过币安资助的。即这个钱包在之前有过交易记录,黑客通过币安交易所提币到这个钱包,这和交易所倒是没什么关系,但币安应该可以通过提币者信息来追踪黑客。


币安创始人赵长鹏也对该问题发布警告提醒用户尽快转移资产,不过目前还是没有确定黑客身份以及漏洞情况。


对Solana这个加密货币蓝点网此前就表示用户应该远离,之前Solana试图通过投票强行接管巨鲸账号,尽管后来投票被撤销但这种行为已经违背去中心化理念。

另外Solana这个加密货币存在非常明显的高度控盘问题,不排除是其团队和早期投资者高度控盘割韭菜。上述情况与此次安全问题虽然没有关联但也值得用户警惕,如果你在上次投票过后就跑路了那至少此次不会被这个黑客攻击事件所影响。

【阅读原文】



3、湖人老板推特账户被盗 黑客用其进行PS5义卖诈骗



据Kotaku报道,近日,NBA洛杉矶湖人队老板珍妮·巴斯的推特账户被黑客盗取,并在其推特账号上发布有关于PS5的骗局广告。黑客在盗取珍妮·巴斯的账户后,用其账号发文称,作为全球知名球队的拥有者,她将为了慈善事业,把自己手中的三台PS5进行义卖。


珍妮·巴斯在推特上有43万的粉丝,有些人发现了这条推文端倪,其并未明确的说明合作慈善机构的具体信息,提供的汇款账户也存在异常。珍妮·巴斯在发现账户被盗后,通过湖人队的官方账号说明了此事。目前她已经重新登陆账号,并删除了这条诈骗推文。

【阅读原文】



2022年8月3日 星期三

今日资讯速览:

1、黑客组织“匿名者”通过六种方式对俄罗斯发动网络战


2、诈骗团伙斥巨资在某搜索平台投广告诈骗5亿元 广告费花费超过2亿元


3、QQ 音乐已在用户主页、信息发布页等位置展示 IP 属地信息



1、黑客组织“匿名者”通过六种方式对俄罗斯发动网络战



编者按


美国网络安全专家总结黑客组织“匿名者”对俄罗斯开展网络攻击的六种方式,并对其攻击效果进行评析。

“匿名者”对俄罗斯网络攻击活动主要分为六类:一是侵入数据库,发布遭攻击实体或人员信息,或篡改和删除被黑文件;二是攻击继续在俄罗斯开展业务的公司,包括屏蔽网站、泄露公司数据等,从而增加公司继续在俄罗斯运营的财务风险;三是通过分布式拒绝服务攻击致瘫网站,导致关键应用程序无法使用甚至运营和生产完全停止;四是培训低级别人员开展基本任务,让技能熟练黑客发起更高级的攻击,同时向乌克兰提供网络安全援助;五是劫持媒体和流媒体服务以发布遭审查的图像和消息;六是直接对俄罗斯人员开展宣传,包括入侵打印机以打印反战和亲乌克兰信息、向俄罗斯社交网站VK用户发送消息以及拨打电话、发送电子邮件和短信等。

网络安全专家称,“匿名者”的持续活动揭开了俄罗斯网络安全能力的“神秘面纱”,让俄罗斯政府及其网络安全技术“处境尴尬”;“匿名者”对俄罗斯网络攻击方式不仅具有高度的破坏性和有效性,而且还改写了如何开展众包现代网络战的规则;“匿名者”泄露的大量信息可能促发更多网络渗透,使得系统“像多米诺骨牌一样倒下”。

奇安网情局编译有关情况,供读者参考。

黑客组织“匿名者”的持续活动正在让俄罗斯及其网络安全技术“处境尴尬”。


美国网络安全公司Security Discovery联合创始人耶利米·福勒表示,自从“匿名者”宣布对俄罗斯发动“网络战争”以来,他一直在关注该黑客组织。

福勒表示,“匿名者使俄罗斯的政府和民间网络防御显得很脆弱。该组织揭开了俄罗斯网络能力的神秘面纱,并成功地让俄罗斯公司、政府机构、能源公司和其他公司感到尴尬。”福勒称,“这个国家可能是‘铁幕’,但以黑客军队在线攻击的规模,它似乎更像是一个‘纸幕’。”


“ 匿名者 ” 声明分类排名


福勒表示,尽管导弹袭击近日占据头条新闻,但“匿名者”及其附属组织并没有失去动力。福勒总结了该组织针对俄罗斯的许多声明,并按照有效性排序分为六类:


01 侵入数据库


声明:


● 发布有关俄罗斯军方成员、俄罗斯中央银行、俄罗斯联邦航天局、石油和天然气公司(Gazregion、Gazprom、Technotec)、物业管理公司Sawatzky、广播公司VGTRK、IT公司NPO VS、律师事务所等的泄露信息

● 篡改和删除被黑文件


福勒表示,“匿名者”声称已经入侵了2500多个俄罗斯和白俄罗斯网站。他说,在某些情况下,被盗数据在网上泄露,数量大到需要数年时间才能审查完毕。福勒称,“最大的发展将是获取、加密或在线泄露的大量记录。”



威胁情报公司Cyberint的安全研究员什穆尔·吉洪同样认为泄露的数据量是“巨大的”。他称,“我们目前甚至不知道如何处理所有这些信息,因为我们没想到会在这么短的时间内获得这些信息。”


02 攻击继续在俄罗斯开展业务的公司


声明:


● 屏蔽被认定为继续在俄罗斯开展业务公司的网站

● 泄露属于瑞士食品公司雀巢的10GB电子邮件、密码和其他数据。雀巢表示,这些说法“没有根据”。


3月下旬,一个名为@YourAnonTV的Twitter账户开始发布据称仍在俄罗斯开展业务的公司的徽标,其中一个帖子发出要求在48小时内撤出俄罗斯的最后通牒,并威胁称“否则你将成为我们的攻击目标。”

通过攻击这些公司,黑客活动分子正在增加继续在俄罗斯运营的财务风险。福勒称,“通过追踪他们的数据或对他们的业务造成干扰,公司所面临的风险远不止销售损失和一些负面公关。”


03 屏蔽网站


声明:


● 封锁俄罗斯和白俄罗斯网站

● 在圣彼得堡国际经济论坛上中断互联网连接,导致俄罗斯总统普京的主题演讲延迟了约100分钟


分布式拒绝服务(DDoS)攻击的工作原理是用足够的流量淹没网站以使其脱机。防御此类攻击的一种基本方法是对外国IP地址进行“地理定位阻止”。福勒表示,通过入侵俄罗斯服务器,“匿名者”据称绕过了这些防御机制。



福勒表示,“被黑服务器的所有者通常不知道他们的资源被用来对其他服务器和网站发起攻击”,与流行的观点相反,DDoS攻击不仅仅是造成轻微不便。他称,“在攻击期间,关键应用程序变得无法使用,运营和生产完全停止。当政府和公众所依赖的服务无法使用时,就会对财务和运营产生影响。”


04 培训新人


声明:


● 培训人们如何发起DDoS攻击并掩盖其身份

● 向乌克兰提供网络安全援助


福勒表示,培训新成员使“匿名者”能够扩大其影响范围、品牌名称和能力。他表示,人们想参与其中,但不知道如何参与,匿名者通过培训低级别行为者完成基本任务来填补这一空白。

这使得技能熟练的黑客可以发起更高级的攻击,例如NB65的攻击。NB65是一个隶属于“匿名者”的黑客组织,该组织7月在Twitter上声称使用“俄罗斯勒索软件”控制了由俄罗斯电力公司Leningradsky Metallichesky Zavod运营的一家制造厂的网域、电子邮件服务器和工作站。

福勒称,“就像在体育运动中一样,职业选手参加世界杯,而业余选手则在较小的场地,但每个人都参加比赛。”


05 劫持媒体和流媒体服务


声明:


● 在俄罗斯24、第一频道、莫斯科24、Wink和Ivi等电视广播中显示遭审查的图像和消息

● 针对国定假日的攻击加剧,包括在俄罗斯“胜利日”(5月9日)入侵俄罗斯视频平台RuTube和智能电视频道列表以及在乌克兰“宪法日”(6月28日)入侵俄罗斯房地产联邦机构Rosreestr


这种策略旨在直接破坏俄罗斯对战争的审查制度,但福勒表示这些信息只会引起“那些想听到它的人”的共鸣。那些俄罗斯公民可能已经在使用VPN绕过俄罗斯审查;其他人员已被监禁或选择离开俄罗斯。


06 直接接触俄罗斯人


声明:


● 侵入打印机并更改杂货店收据以打印反战和亲乌克兰信息

● 向俄罗斯公民发送数以百万计的电话、电子邮件和短信

● 在俄罗斯社交网站VK上向用户发送消息


福勒表示,在所有策略中,“这个最有创意”,但这些活动正在逐渐结束。福勒称,到目前为止,他的研究还没有发现任何怀疑“匿名者”说法的理由。


“匿名者”的效果如何?


福勒称,“匿名者对俄罗斯使用的方法不仅具有高度的破坏性和有效性,而且还改写了如何开展众包现代网络战的规则。”他表示,从数据库泄露中收集的信息可能会显示犯罪活动以及“谁在牵线搭桥以及资金流向”。

然而,安全研究员什穆尔·吉洪表示,大部分信息都是俄语的,网络专家、政府、黑客活动家和日常爱好者可能会仔细研究这些数据,但不会像人们想象的那样多。

吉洪还表示,他认为不太可能发生刑事诉讼。他称,“遭入侵的很多人员都是由俄罗斯政府赞助的,我不认为这些人会很快被捕。”然而,吉洪称,信息泄露确实是相辅相成的。

福勒回应了这种观点,称一旦网络被渗透,系统就会“像多米诺骨牌一样倒下”。黑客也经常也依托其他人的泄密信息,吉洪将这种情况称之为他们工作方式的“谋生之计”。他称,“这可能是稍后会出现的大规模活动的开始。”

福勒和吉洪一致认为,黑客攻击的更直接结果是,俄罗斯的网络安全防御已被揭露为远比以前想象的要弱。然而,吉洪补充称,俄罗斯的进攻性网络能力很强。吉洪称,“我们预计俄罗斯政府会表现出更大的实力,至少在他们的战略资产方面,例如银行和电视频道,尤其是政府实体。”

福勒称,“匿名者”揭开了俄罗斯网络安全实践的面纱,这“让克里姆林宫感到尴尬和沮丧”。

【阅读原文】



2、诈骗团伙斥巨资在某搜索平台投广告诈骗5亿元 广告费花费超过2亿元



据央视财经频道报道,江苏丹阳警方日前成功破坏某特大诈骗团伙 ,该诈骗团伙成功骗取的资金高达5亿元。

警方介绍称诈骗团伙主攻手机定位等功能,通过在某搜索引擎平台投放广告吸引用户上钩再以各种理由要钱。

极其夸张的是诈骗团伙在某搜索引擎花费的广告费高达2亿余元,也就是诈骗团伙骗到的钱有 2/5 用来推广。

诈骗团伙如此舍得花钱是因为他们认为只有得到有效的推广才能吸引更多用户,最终才能骗到更多用户的钱。

诈骗团伙斥巨资在某搜索平台投广告诈骗5亿元 广告费花费超过2亿元


大家鉴定下这是哪家搜索:


央视财经频道报道时也没具体说是哪家搜索平台,从视频里看也比较模糊,放大后大家鉴定下这是哪家搜索。

诈骗团伙斥巨资在某搜索平台投广告诈骗5亿元 广告费花费超过2亿元


李某等67人被抓:


从报道来看此次被抓获的李某等人应该是该搜索引擎的广告渠道代理商,主要吸引客户在平台投放搜索广告。

据李某介绍其从事互联网推广业务多年,即便客户没有相应资质他们也可以帮忙搞定,然后在搜索平台推广。

由于案件还在办理中警方尚未透露诈骗团伙的相关信息,但李某及搜索平台应该只是整个诈骗活动中的一环。

李某被抓后也交待称他们帮忙投放的广告曾引起多起消费者投诉,但由于利益驱使他们并没有进行任何处理。

而搜索平台方面也没有对已经上架的广告进行任何巡查,基本是初次审核通过后放任诈骗团伙从事非法活动。

这家搜索平台此前也因类似问题被报道过,每次都是甩锅二次跳转问题,对自己应承担的巡查责任避而不谈。

所谓二跳指的是广告审核上线后广告主修改网页跳转到其他网站,不过平台方日常巡查不可能无法发现问题。

所以说到底平台和李某这种代理商一样,都是在利益驱使下明知很多广告存在问题也基本睁一只眼闭一只眼。

诈骗团伙斥巨资在某搜索平台投广告诈骗5亿元 广告费花费超过2亿元

诈骗团伙斥巨资在某搜索平台投广告诈骗5亿元 广告费花费超过2亿元

【阅读原文】



3、QQ 音乐已在用户主页、信息发布页等位置展示 IP 属地信息



IT之家 8 月 2 日消息,在微博、微信等各大互联网平台相继展示 IP 属地信息后,QQ 音乐现已开始展示用户 IP 属地信息。

QQ音乐已在用户主页、信息发布页等位置展示IP属地信息

目前,QQ 音乐安卓与 iOS 最新正式版均已开始展示用户 IP 属地信息,包括个人主页、歌曲评论等页面。


IT之家了解到,根据 QQ 音乐的公告信息,7 月 31 日起,QQ 音乐已在用户个人主页、信息发布页等位置展示 IP 属地,具体展示信息以网络运营商提供信息为准,用户暂时无法主动开启或关闭相关展示。

QQ 音乐

2022 年度第一季度财报显示,腾讯收费增值服务付费会员数达 2.39 亿,同比增长 6%。腾讯视频拥有 1.24 亿付费会员。在音乐方面,付费会员数增长至 8000 万。

【阅读原文】



2022年8月2日 星期二

今日资讯速览:

1、黑客称已入侵欧洲制造商 MBDA


2、最新关键 Atlassian Confluence 漏洞已被广泛利用


3、多年考量后NIST公布后量子加密和签名算法的首推名单



1、黑客称已入侵欧洲制造商 MBDA


【阅读原文】



2、最新关键 Atlassian Confluence 漏洞已被广泛利用


Hackernews 编译,转载请注明出处:

Atlassian-Confluence

一周前,Atlassian为Confluence Server和Confluence Data Center的Confluence应用程序发布了补丁,其中包含一个关键漏洞,现在这个漏洞已经被广泛利用。


该漏洞追踪为CVE-2022-26138,它涉及在应用程序中使用硬编码密码,未经验证的远程攻击者可能会利用该密码获得对Confluence中所有页面的无限制访问权。


在Twitter上发布硬编码凭据之后,这家澳大利亚软件公司开始优先考虑补丁,以缓解针对该漏洞的潜在威胁。

app

值得注意的是,这个漏洞只在Confluence应用程序启用时才存在。也就是说,卸载Confluence应用程序并不能修复漏洞,因为在卸载应用程序后,创建的帐户不会自动删除。


建议受影响产品的用户尽快将其本地实例更新到最新版本(2.7.38和3.0.5),或采取措施禁用/删除该帐户。


Palo Alto Networks在其2022年Unit 42事件响应报告中发现,黑客在公开披露新的安全漏洞后15分钟内,会扫描易受攻击的端点。

【阅读原文】



3、多年考量后NIST公布后量子加密和签名算法的首推名单


美国国家标准技术研究所(NIST)近日宣布已持续数年的后量子加密和签名算法竞赛已落下阶段性帷幕,首批获胜者名单已经出炉。在后量子加密上,NIST 首推 CRYSTALS-Kyber 算法,但后期可能会根据表现有所调整。在签名算法上,NIST 首推 CRYSTALS-Dilithium,以及两款同样优秀的备选算法:Falcon 和 SPHINCS+。

vx4w3hgb.webp

NIST 耗费了很长时间才选定这些获胜者,期间更是经历了多次延期。其中一个重要原因是,未来的量子计算机可能会破坏当前所使用的几乎所有公钥加密。像 RSA 等其他基于椭圆曲线的算法在未来都可以使用强大的量子计算机进行破解。尽管当前这样的量子计算机还未诞生,但是科学家在这方面的研究已经有了进展。


因此,研究人员开始探索即便是量子计算机也无法破解的算法,也就是我们上文所说的是后量子加密学(post-quantum cryptography)。在 2016 年,NIST 宣布希望标准化后量子加密学并寻求建议。


这项竞赛已阶段性结束,不过 NIST 也表示计划未来对其他算法进行调查,再从中确认可以成为标准的算法。而且对于签名算法,NIST 希望能够推动多种加密方式,从而实现算法的多样性。


自然,这也会给获胜者带来巨大的好处。在 NIST 公开的细节中,NIST 提到,它正在与几个潜在相关专利持有人签订专利协议:“如果协议在 2022 年年底前无法执行,那么 NIST 可能考虑使用 NTRU 来替代 Kyber”。NTRU 也是一种比较热门的算法,其专利影响目前已经过期。Kyber 和 NTRU 都是基于 Lattice 的加密算法。


在签名算法方面,该机构选择了 3 款算法,表明了该机构对该领域的犹豫。选中的这 3 款算法都能对像 TLS 这样每天都在使用的协议进行安全替代。其中 Falcon 和 Dilithium 是基于 Lattice 的,而 SPHINCS+ 是基于 hash 的。


Falcon 是三款中体积最小的签名算法,但这在其他方面做出了牺牲:Falcon 需要恒定的浮点算术。如果无法正确计算,那么可能会导致 side-channel 攻击,从而曝光私钥。


SPHINCS+ 是三款中安全性最高的。这项基于 hash 的算法主要依赖基础哈希函数。哈希函数是一个非常知名的加密结构,不过在签名尺寸上存在挑战:基于版本和安全等级,可以达到 8-50 kilobytes。

【阅读原文】



2022年8月1日 星期一

今日资讯速览:

1、澳大利亚一男子因自15岁起向数万名网络犯罪分子销售间谍软件而被捕


2、涉嫌超范围采集个人隐私信息,17 款移动 App 被点名


3、西班牙一核安全系统遭黑客攻击,部分地区服务中断数月



1、澳大利亚一男子因自15岁起向数万名网络犯罪分子销售间谍软件而被捕


据Techspot报道,一名澳大利亚男子因涉嫌创建并向全球数以万计的网络犯罪分子销售黑客工具而被捕。这名24岁的黑客被指控创建并销售一种远程访问木马,旨在窃取个人信息并监视毫无戒心的目标。该病毒创造者通过销售该工具赚取了30多万美元,其中大部分似乎从其15岁起就被用在了外卖和快递项目上。

3051.webp

24岁的Jacob Wayne John Keen因涉嫌向来自128个不同国家的网络犯罪分子、家庭暴力实施者等人出售名为Imminent Monitor的木马病毒而被捕。该工具允许用户以毫无戒心的受害者为目标,窃取他们的个人数据,跟踪输入文件的信息,并利用目标的网络摄像头和麦克风对他们进行监视。


这次逮捕是在2017年启动的全球刺探行动之后进行的。这项名为"Cephus行动"的全球努力是在澳大利亚联邦警察(AFP)从美国联邦调查局和Palo Alto Networks获得可疑信息后开始的。


据称,Keen在15岁时创建并开始以每个用户35美元的价格出售该工具,当时他住在母亲的出租房里。该工具的收益总额在30万至40万美元之间,直到它在2019年最终被关闭。关闭是在执行几项由 AFP领导的搜查令之后执行的,这些搜查令扣押了被发现包含指向 RAT开发证据的硬件和资产。Keen最近的逮捕是基于世界各地的参与执法机构向AFP提供的额外证据。


根据 AFP的报告,该工具被用来监视全球数以万计的受害者,而该工具的买家中至少有200人直接来自澳大利亚。在这些来自澳大利亚的嫌疑人中,有很多人被发现参与了以前的家庭暴力电话,这种关联性在一定程度上说明了什么样的犯罪分子利用了这种邪恶的工具。对可能使用该工具的其他行为者的调查仍在进行中。


当局分析的证据显示,在Keen9年多的参与过程中,黑客工具的大部分收益被用来购买外卖食品。本月早些时候,他遭到了六项指控,并计划在8月的某个时候出庭。Keen的母亲似乎也知道这些犯罪活动并从中受益。她还被指控从事侵入性工具的销售并从中获益。

【阅读原文】



2、涉嫌超范围采集个人隐私信息,17 款移动 App 被点名


IT之家 7 月 29 日消息,近期,国家计算机病毒应急处理中心监测发现 17 款移动 App 存在隐私不合规行为,违反《网络安全法》《个人信息保护法》相关规定,涉嫌超范围采集个人隐私信息。


1、未向用户告知个人信息处理者的名称或者姓名和联系方式,或处理的个人信息种类、保存期限,涉嫌隐私不合规。涉及 4 款 App 如下:

  • 《杜绍斐 DUSHAOFEI》(版本 3.1.1,应用宝)

  • 《觅上》(版本 3.5.1,豌豆荚)

  • 《乐业天空》(版本 2.9.20,360 手机助手)

  • 《海豚家》(版本 2.9.7,百度手机助手)

2、未向用户明示申请的全部隐私权限,涉嫌隐私不合规。涉及 15 款 App 如下:

  • 《货车帮司机》(版本 8.27.4,应用宝)

  • 《运满满货主》(版本 7.27.4.0,应用宝)

  • 《杜绍斐 DUSHAOFEI》(版本 3.1.1,应用宝)

  • 《重装战姬》(版本 1.34.0,TapTap)

  • 《魔法纪录 魔法少女小圆外传》(版本 2.1.10,TapTap)

  • 《滑雪大冒险》(版本 2.3.8.14,豌豆荚)

  • 《觅上》(版本 3.5.1,豌豆荚)

  • 《粉萌日记》(版本 2.3.8,豌豆荚)

  • 《麦田数学》(版本 3.5.9,豌豆荚)

  • 《CC 直播》(版本 3.9.16,安智市场)

  • 《横店电影城》(版本 6.5.2,360 手机助手)

  • 《酷安》(版本 12.3.2,360 手机助手)

  • 《苏小团》(版本 3.7.3,360 手机助手)

  • 《乐业天空》(版本 2.9.20,360 手机助手)

  • 《海豚家》(版本 2.9.7,百度手机助手)

3、向其他个人信息处理者提供其处理的个人信息的,未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,涉嫌隐私不合规。涉及 6 款 App 如下:

  • 《滑雪大冒险》(版本 2.3.8.14,豌豆荚)

  • 《杜绍斐 DUSHAOFEI》(版本 3.1.1,应用宝)

  • 《横店电影城》(版本 6.5.2,360 手机助手)

  • 《觅上》(版本 3.5.1,豌豆荚)

  • 《乐业天空》(版本 2.9.20,360 手机助手)

  • 《海豚家》(版本 2.9.7,百度手机助手)

4、App 在征得用户同意前就开始收集个人信息,涉嫌隐私不合规。涉及 1 款 App 如下:

  • 《觅上》(版本 3.5.1,豌豆荚)

5、未提供有效的更正、删除个人信息及注销用户账号功能,或注销用户账号设置不合理条件,涉嫌隐私不合规。涉及 4 款 App 如下:

  • 《天气通》(版本 7.68,360 手机助手)

  • 《滑雪大冒险》(版本 2.3.8.14,豌豆荚)

  • 《觅上》(版本 3.5.1,豌豆荚)

  • 《苏小团》(版本 3.7.3,360 手机助手)

6、通过自动化决策方式向个人进行信息推送、商业营销,未提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式,涉嫌隐私不合规。涉及 2 款 App 如下:

  • 《横店电影城》(版本 6.5.2,360 手机助手)

  • 《粉萌日记》(版本 2.3.8,豌豆荚)

7、处理敏感个人信息未取得个人的单独同意,涉嫌隐私不合规。涉及 7 款 App 如下:

  • 《新浪金融》(版本 3.9.34,豌豆荚)

  • 《货车帮司机》(版本 8.27.4,应用宝)

  • 《运满满货主》(版本 7.27.4.0,应用宝)

  • 《重装战姬》(版本 1.34.0,TapTap)

  • 《魔法纪录 魔法少女小圆外传》(版本 2.1.10,TapTap)

  • 《CC 直播》(版本 3.9.16,安智市场)

  • 《乐业天空》(版本 2.9.20,360 手机助手)

8、处理不满十四周岁未成年人个人信息的,未制定专门的个人信息处理规则,涉嫌隐私不合规。涉及 2 款 App 如下:

  • 《新浪金融》(版本 3.9.34,豌豆荚)

  • 《乐业天空》(版本 2.9.20,360 手机助手)

IT之家了解到,国家计算机病毒应急处理中心提醒广大手机用户首先谨慎下载使用以上违法、违规移动 App,同时要注意认真阅读其用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。

【阅读原文】



3、西班牙一核安全系统遭黑客攻击,部分地区服务中断数月


安全内参7月28日消息,西班牙警方宣布,已逮捕两名黑客。据悉,二人应对2021年3月至6月期间针对辐射警报网络(RAR)的攻击行为负责。


两名被捕者是外包商前员工,曾负责按合同为西班牙民防和紧急情况总部(DGPGE)提供辐射警报网络系统维护服务。正因如此,二人对该系统的运作原理及如何实施针对性网络攻击有着深入了解。


两名被捕人员曾非法访问紧急情况总部网络,并试图删除控制中心内的辐射警报网络管理Web应用程序。


与此同时,二人还对传感器发起单独攻击,断开了它们与控制中心间的连接,破坏了数据交换,导致分布在西班牙全国的800个传感器中的300个停止工作。

当局发现这一违规行为,并在国家警察网络犯罪部门的协助下立即开展调查后,针对辐射警报网络的破坏活动于2021年6月停止。最终,在追踪黑客行迹一年之后,警方终于发现了这起网络攻击的责任人。

“经过对被破坏传感器的所有通信内容,以及与被入侵计算机系统相关的数据进行长达一年的调查与详细技术刑侦分析,最终发现数据源头可能来自马德里市中心一家知名酒店的公共网络,网络攻击的幕后黑手也由此被确定。”

- 西班牙国家警察总局

警方在公告中指出,“根据马德里第39号调查法院发布的两项命令,警方在马德里和圣奥古斯丁德瓜达利克斯展开协同行动,对两所房屋和一家公司进行了搜查,发现了大量与案件相关的计算机和通信设备。”

图:西班牙警察从没收的设备中收集证据。


攻击引发严重核安全风险


西班牙在卡塞雷斯、塔拉戈纳、瓦伦西亚、瓜达拉哈拉、萨拉曼卡和科尔多瓦的六座发电厂中运营有七处核反应堆,支撑着全国约五分之一的电力需求。


辐射警报网络系统的作用是:检测辐射水平的异常上升并发出警报,以帮助政府当局采取保护措施、检测问题并施以补救。


辐射警报网络系统共在西班牙全国各特定位置部署有800个伽马辐射传感器,每个传感器都通过电话线路接入紧急情况总部总部的控制中心。


此次网络攻击导致其中300个传感器无法将计数传输回控制中心,使得西班牙面临严重风险,无法立即对辐射激增事件做出响应。


警方并未在公告中提供进一步细节,因此尚不清楚嫌疑人发动攻击的具体原因。

【阅读原文】


[2022夏季班]《安卓高级研修班(网课)》月薪三万班招生中~

最后于 21小时前 被Editor编辑 ,原因:
收藏
点赞0
打赏
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回