微软抵御至今最强DDoS攻击、美国联合30余个国家打击全球勒索组织

安全资讯报告

Microsoft Azure抵御迄今为止规模最大的DDoS攻击

分布式拒绝服务(DDoS)攻击发生得越来越频繁，而且规模越来越大。微软刚刚成功防御欧洲Azure云用户的DDoS攻击速度为2.4TB/秒(Tbps)，这可能是迄今为止DDoS攻击规模最大的一次。

我们可以肯定的是，这是针对Azure云客户的最大DDoS攻击。它2020年的Azure1Tbps攻击，微软报告称其“高于之前在Azure上检测到的任何网络容量事件”。

攻击本身来自70,000多个来源，攻击向量是用户数据报协议(UDP)反射攻击。攻击持续了10多分钟，爆发时间很短。这些爆发中的每一个都在几秒钟内上升到TB级。微软总共看到了三个主要峰值，第一个为2.4Tbps，第二个为0.55Tbps，第三个为1.7Tbps。

新闻来源：

https://www.zdnet.com/article/microsoft-azure-fends-off-huge-ddos-attack/

美国召集来自30个国家的盟友和合作伙伴，共同打击影响全球的勒索软件组织

反勒索软件倡议会议是为了应对持续的攻击，包括对美国ColonialPipeline、JBSFoods和Kaseya的勒索软件攻击，这些攻击揭示了全球关键基础设施的重大漏洞。

一位高级政府官员在背景媒体中对记者说：“我们我们正在推动一场虚拟会议。来自30多个国家和欧盟的部长和高级官员将加入会议，以加快合作打击勒索软件”今天打电话。

“反勒索软件倡议将举行为期两天的会议，参与者将涵盖从提高国家复原力的努力，到解决滥用虚拟货币来洗钱支付的经验，我们各自为扰乱和起诉勒索软件犯罪分子所做的努力，以及作为一种对抗勒索软件的工具。”

本周会议将涵盖的领域（国家复原力、打击非法金融、破坏和外交）与拜登政府的反勒索软件努力一致，这些努力按照四个不同的方向组织：

1.破坏勒索软件基础设施和参与者。

2.增强抵御勒索软件攻击的弹性。

3.解决滥用虚拟货币进行赎金支付的问题。

4.和利用国际合作破坏勒索软件生态系统并解决勒索软件犯罪分子的安全港问题。

作为持续打击勒索软件网络犯罪团伙的一部分，总统拜登还发布了一份美国安全备忘录，通过为所有者和运营商设定基线性能目标来加强关键基础设施网络安全。

新闻来源：

https://www.bleepingcomputer.com/news/security/russia-and-china-left-out-of-global-anti-ransomware-meetings/

安全漏洞威胁

微软警告针对Office 365客户的密码攻击

微软表示，美国和以色列国防技术领域的250名Office 365客户已成为“密码喷射”攻击的目标，攻击者试图使用常用密码访问许多帐户。该技术依赖于使用常见密码的用户。

密码攻击的重点是在波斯湾运营的关键基础设施公司，由微软跟踪的DEV-0343组织实施。

微软威胁情报中心(MSTIC)表示，它已经观察到DEV-0343“对超过250个Office365租户进行了广泛的密码喷洒，重点是美国和以色列国防技术公司、波斯湾入境口岸或全球海运公司在中东有业务存在。”微软表示，目前不到20个目标租户被成功入侵。

新闻来源：

https://www.zdnet.com/article/microsoft-warns-over-password-attacks-against-250-office-365-customers/

诈骗者滥用Apple开发者计划

Sophos本周发布了一份关于约会应用程序骗局的新报告，该骗局导致Tinder、Bumble、Grindr、FacebookDating和类似应用程序上的人们窃取了数百万美元。

在获得对这些约会应用程序的信任后，诈骗者说服受害者下载虚假的加密应用程序，然后在冻结账户之前欺骗他们进行投资。

研究人员说，这个名为“CryptoRom”的骗局已导致美国和欧盟的受害者至少被盗140万美元。两人在他们的报告中说，攻击者不再是追捕亚洲的受害者，而是现在瞄准欧洲和美国的人。

Sophos的研究人员甚至设法找到了一个被攻击者控制的比特币钱包，这要归功于一名受害者，他分享了他在被拒之门外之前最初将钱汇到的地址。

Chandraiah表示，CryptoRom骗局几乎在每个阶段都严重依赖社会工程。

新闻来源：

https://www.zdnet.com/article/scammers-abusing-apple-developer-program-stealing-millions-from-victims-on-tinder-bumble-grindr-facebook-dating/

每15个组织中就有1个运行着已被利用的SolarWinds版本

网络安全公司Randori的一份新报告对攻击者可能追踪和利用的最诱人的互联网暴露资产进行了分类，发现每15个组织中就有一个目前运行着已知会被积极利用的SolarWinds版本。

在2021年Randori攻击面报告中，研究人员为每项资产分配了一个“诱惑分数”——实际上是攻击者追踪它的可能性。任何得分超过30的暴露资产都被认为是高分，目前在其语料库中排名最高的资产的攻击者诱惑得分为55。被积极利用的SolarWinds版本的平均诱惑得分为40。

该报告发现，超过25%的组织将RDP暴露在Internet上，而15%的组织仍在运行过时的IIS6版本，微软已经六年不支持该版本了。Randori给IIS6的诱惑评分为37。

近40%的组织使用思科的自适应安全设备(ASA)防火墙，该防火墙有公开漏洞的历史，诱惑分数为37。几乎一半的组织都运行CitrixNetScaler，其分数为33并且存在多个公开漏洞。只有 3% 的组织仍在运行 Microsoft Outlook Web Access 的版本。

新闻来源：

https://www.zdnet.com/article/1-in-15-organizations-runs-actively-exploited-version-of-solarwinds-report/

MysterySnail使用Windows零日攻击

2021年8月下旬和9月上旬，卡巴斯基技术检测到在多个Microsoft Windows服务器上使用特权提升漏洞的攻击。该漏洞利用中有许多来自旧的、众所周知的漏洞CVE-2016-3309漏洞利用的调试字符串，但更仔细的分析表明这是一个零日漏洞。

研究人员发现它在Win32k驱动程序中使用了一个以前未知的漏洞，并且利用在很大程度上依赖于泄漏内核模块基地址的技术。漏洞利用链的信息披露部分被识别为未绕过安全边界，因此未修复。Microsoft分配了CVE-2021-40449Win32k内核驱动程序中的释放后使用漏洞，并于2021年10月12日修补，作为10月补丁星期二的一部分。

除了在野外发现零日漏洞之外，研究人员还分析了与零日漏洞利用一起使用的恶意软件有效载荷，并发现在针对IT公司、军事/国防承包商和外交实体的广泛间谍活动中检测到了恶意软件的变体。

研究人员称这个活动集群为MysterySnail。其代码相似性和C2基础设施的重用，将这些攻击可以与2012年的IronHusky和APT活动联系起来。

新闻来源：

https://securelist.com/mysterysnail-attacks-with-windows-zero-day/104509/