【Hacker news weekly】亲俄组织 KillNet 声称对 14 起美国机场 DDoS 攻击负责

全球周资讯

亲俄组织KillNet声称对4起美国机场DDos攻击负责

2022 年 10 月 10 日星期一，由于大规模的分布式拒绝服务 (DDoS) 攻击活动，美国多个机场的网站中断，其中服务器被网络流量淹没，导致网站脱机。

受害者包括洛杉矶国际机场 (LAX)、哈茨菲尔德-杰克逊亚特兰大国际机场 (ATL)、芝加哥奥黑尔国际机场 (ORD)，以及佛罗里达州、科罗拉多州、亚利桑那州、肯塔基州、密西西比州和夏威夷的其他机场。

DDoS 攻击意味着这些机场面向公众的网站要么离线几个小时，要么断断续续，要么响应缓慢。它们对机场运营没有任何直接影响。

一些机场当局，如洛杉矶国际机场，已将这一事件通知了运输安全管理局和联邦调查局。

当天晚些时候，亲俄罗斯黑客组织“KillNet”声称发动了这次攻击，并在 Telegram 频道上列出了 14 个目标域。

这不是 KillNet 第一次使用这种类型的攻击。据联邦网络安全咨询公司称，2022 年 3 月，他们关闭了美国机场的网站，以报复美国对乌克兰的支持。

然而，几位安全研究人员批评了美国媒体在消息传出时的一些头条新闻，其中一些没有提及这次袭击只影响了机场的网站，而另一些则提到该组织“与俄罗斯联邦有关”。

“机场袭击，就像他们之前的州政府袭击一样，是我们对它们的看法。DDoS 通常是肤浅的、短暂的，但也很明显。他们的有限目标是操纵我们的看法。这些并不是让我们保持清醒的严重影响，”Mandiant威胁情报副总裁 John Hultquist在 Twitter 上说。

“提醒媒体，KillNet 是一群孩子，而不是俄罗斯国家的网络能力，”安全专家凯文博蒙特说。“你应该像对待乌克兰 IT 军队一样给予报道，他们整天在俄罗斯非常成功地以 DDoS 为目标，并且已经这样做了几个月。”

“起来，加入我们！”：伊朗国家电视台被反政府抗议者入侵

伊朗国营电视台在直播期间遭到抗议者的黑客攻击，在全国持续动荡的情况下扰乱了报道以显示反政府信息。

在周六晚间新闻公报中，伊朗伊斯兰共和国的广播节目被切断为显示面具的黑屏，然后转为枪击最高领袖阿里·哈梅内伊（Ali Khamenei）脸上的目标，火焰围绕着他。

在他下方是四名伊朗妇女的照片，伊朗警方被指控杀害她们，其中包括和.

背景音乐响起，抗议者在骚乱期间高呼非官方的库尔德反政府口号：“jin, jiyan, azadi”——意思是“女人、生命、自由”。

伴随图形的是波斯语写的信息：“我们青年的鲜血正在从你的手中滴落”。它还呼吁观众“站起来和我们一起走上街头”。

激进组织 Edaalate Ali（阿里的正义）声称对此负责，称这次黑客攻击是一个“甜蜜的时刻”，并鼓励 Twitter 用户发送他们对黑客攻击的最佳表情包。

中断持续了大约 12 秒，然后广播切换到新闻主持人，后者在继续广播之前显得慌张了片刻。

抗议持续第三周

在 22 岁的库尔德妇女 Mahsa Amini 去世后，抗议活动继续加剧，引发了全国各地妇女的愤怒浪潮，她们对政府对她们施加的限制感到愤怒。

人权组织 Hengaw 周六发布的视频显示，当围观者尖叫时，一辆汽车的司机头部流血，一些人高喊“besharaf（无礼）”——抗议运动的口号。

Hengaw 说，安全部队在 Sanandaj 市向汽车开火并杀死了司机。

阿米尼女士在被该国的政策逮捕后在拘留期间死亡

根据周五公布的验尸官报告，阿米尼女士——她的家人和权利团体普遍相信这一指控。

她的死在全世界引发了女性的愤怒，她们要求解散以哈梅内伊为首的极端保守政府。

从那时起，前所未有的抗议活动震撼了该国三周，妇女们在街头焚烧头巾和剪头发，以蔑视伊斯兰共和国。

自阿米尼女士去世以来，伊朗人面临严重的互联网中断和社交媒体停电。

总部位于奥斯陆的人权组织伊朗人权声称，在政府对抗议者的血腥镇压中，已有 95 人丧生。

伦敦劳合社调查涉嫌网络攻击

伦敦劳合社周三在其网络上检测到异常活动后，对可能的网络攻击展开调查。

Lloyd's of London 在本周检测到不寻常的网络活动后正在调查一起网络攻击。为了应对所谓的入侵，它重置了 IT 基础设施并关闭了任何外部连接。

“劳合社在其网络上发现了异常活动，我们正在调查这个问题，”一位发言人告诉媒体。“作为预防措施，我们正在重置劳埃德的网络和系统。所有外部连接都已关闭，包括 Lloyd 的授权平台。”

该事件发生在整个保险业因俄罗斯和乌克兰之间持续的冲突而受到网络攻击的警报之后。保险市场的公司谴责俄罗斯入侵乌克兰，并支持对莫斯科实施制裁。英国和欧盟都禁止为运送俄罗斯石油的船只投保。

8 月，伦敦劳合社 (Lloyd's) 告诉其保险集团，它将不承担由民族国家行为者进行的网络攻击以及与持续冲突相关的恶意活动所造成的损失。

“重要的是，劳合社可以确信辛迪加正在管理他们因战争和国家支持的网络攻击而产生的负债风险。”阅读发送给辛迪加的公告。

“至少，国家支持的网络攻击排除必须：

如果保单没有
单独的战争除外条款，则不包括因战争（无论是否宣布）造成的损失。

（受 3 限制）不包括由国家支持的网络攻击造成的损失，这些攻击
(a) 严重损害国家运作的能力或 (b) 严重损害
国家的安全能力。

明确承保范围是否不包括位于以上述 2(a) 和 (b) 中概述的方式受到国家
支持的网络攻击影响的任何国家以外的计算机系统。

为各方就如何将任何国家支持的网络攻击归因于一个或多个国家达成一致意见提供了坚实的基础。

黑客可以使用铬浏览器中的“应用程序模式”进行隐形网络钓鱼攻击

在一种新的网络钓鱼技术中，已经证明基于Chromium的Web浏览器中的应用程序模式功能可以被滥用来创建“逼真的桌面网络钓鱼应用程序”。

应用程序模式旨在提供类似本机的体验，使网站在单独的浏览器窗口中启动，同时还显示网站的图标并隐藏地址栏。

根据安全研究人员mr.d0x的说法 - 他还在今年早些时候设计了浏览器中的浏览器（BitB）攻击方法 - 不良行为者可以利用这种行为来诉诸一些HTML / CSS欺骗并在窗口顶部显示虚假地址栏，并欺骗用户放弃他们在流氓登录表单上的凭据。

“虽然这种技术更多地用于内部网络钓鱼，但从技术上讲，您仍然可以在外部网络钓鱼场景中使用它，”mr.d0x说。“您可以将这些伪造的应用程序作为文件独立交付。

这是通过设置顶部带有假地址栏的网络钓鱼页面，并将--app 参数配置为指向托管该页面的网络钓鱼站点来实现的。

最重要的是，攻击者控制的网络钓鱼站点可以利用JavaScript执行更多操作，例如在用户输入凭据后立即关闭窗口，或者调整其大小和定位以达到所需的效果。

值得注意的是，该机制适用于其他操作系统，如macOS和Linux，使其成为潜在的跨平台威胁。但是，攻击的成功取决于攻击者已经有权访问目标计算机的事实。

也就是说，谷歌正在逐步淘汰对Chrome应用程序的支持，转而支持渐进式网络应用程序（PWA）和网络标准技术，并且该功能预计将在Chrome 109或更高版本的Windows，macOS和Linux上完全停止使用。

这些发现是新的发现 Trustwave SpiderLabs显示，HTML走私攻击很常见，.HTML（11.39%）和.HTM（2.7%）文件占垃圾邮件附件类型的第二多，仅次于.JPG图像（25.29%）。

Budworm间谍组织卷土重来，瞄准美国州会议

被称为 Budworm 的高级持续性威胁 (APT) 参与者六年来首次被发现以美国实体为目标，以及其他国际目标。

该消息来自赛门铁克安全研究人员，他们在发布前与Infosecurity分享了有关攻击的咨询。

根据新数据，Budworm 在过去六个月中对几个具有重要战略意义的目标进行了攻击，包括中东国家政府、跨国电子制造商、东南亚一家医院和美国州议会。

“虽然 6 到 8 年前经常有关于 Budworm 针对美国组织的报道，但近年来，该组织的活动似乎主要集中在亚洲、中东和欧洲，”该咨询报告中写道。

在最近的攻击中，Budworm 利用Log4j 漏洞（CVE-2021-44228 和 CVE-2021-45105）破坏服务器上的 Apache Tomcat 服务以安装 Web Shell。据报道，攻击者使用托管在 Vultr 和 Telstra 上的虚拟专用服务器 (VPS) 作为命令和控制 (C&C) 服务器。

赛门铁克还解释说，Budworm 继续依赖HyperBro恶意软件系列作为其主要负载，通常使用动态链接库(DLL) 侧载技术交付。

“在最近的攻击中，Budworm 使用端点权限管理软件 CyberArk Viewfinity 来执行侧载，”安全研究人员在公告中写道。

“具有默认名称 vf_host.exe 的二进制文件通常被攻击者重命名，以便伪装成一个更无害的文件。”

然而，在某些情况下，HyperBro 后门会加载其自己的 HyperBro 加载程序，该加载程序也旨在加载恶意 DLL 并加密有效负载。

“这是近几个月来第二次 Budworm 与针对美国目标的攻击有关，”赛门铁克写道，并警告公司注意 APT 可能改变策略。

“最近 CISA关于多个 APT 组织攻击一个国防部门组织的报告提到了 Budworm 的工具集。恢复对美国目标的攻击可能表明该组织的重点发生了变化。”

扫描上方二维码关注我们

----------------------------------------------------------------------------

往期回顾：