.

安全資訊報告

Microsoft Azure抵禦迄今為止規模最大的DDoS攻擊

分散式拒絕服務(DDoS)攻擊發生得越來越頻繁，而且規模越來越大。微軟剛剛成功防禦歐洲Azure雲使用者的DDoS攻擊速度為2.4TB/秒(Tbps)，這可能是迄今為止DDoS攻擊規模最大的一次。

我們可以肯定的是，這是針對Azure雲客戶的最大DDoS攻擊。它2020年的Azure1Tbps攻擊，微軟報告稱其“高於之前在Azure上檢測到的任何網路容量事件”。

攻擊本身來自70,000多個來源，攻擊向量是使用者資料包協議(UDP)反射攻擊。攻擊持續了10多分鐘，爆發時間很短。這些爆發中的每一個都在幾秒鐘內上升到TB級。微軟總共看到了三個主要峰值，第一個為2.4Tbps，第二個為0.55Tbps，第三個為1.7Tbps。

新聞來源： 

https://www.zdnet.com/article/microsoft-azure-fends-off-huge-ddos-attack/

美國召集來自30個國家的盟友和合作夥伴，共同打擊影響全球的勒索軟體組織

反勒索軟體倡議會議是為了應對持續的攻擊，包括對美國ColonialPipeline、JBSFoods和Kaseya的勒索軟體攻擊，這些攻擊揭示了全球關鍵基礎設施的重大漏洞。

一位高階政府官員在背景媒體中對記者說：“我們我們正在推動一場虛擬會議。來自30多個國家和歐盟的部長和高階官員將加入會議，以加快合作打擊勒索軟體”今天打電話。

“反勒索軟體倡議將舉行為期兩天的會議，參與者將涵蓋從提高國家復原力的努力，到解決濫用虛擬貨幣來洗錢支付的經驗，我們各自為擾亂和起訴勒索軟體犯罪分子所做的努力，以及作為一種對抗勒索軟體的工具。”

本週會議將涵蓋的領域（國家復原力、打擊非法金融、破壞和外交）與拜登政府的反勒索軟體努力一致，這些努力按照四個不同的方向組織：

1.破壞勒索軟體基礎設施和參與者。

2.增強抵禦勒索軟體攻擊的彈性。

3.解決濫用虛擬貨幣進行贖金支付的問題。

4.和利用國際合作破壞勒索軟體生態系統並解決勒索軟體犯罪分子的安全港問題。

作為持續打擊勒索軟體網路犯罪團伙的一部分，總統拜登還發布了一份美國安全備忘錄，透過為所有者和運營商設定基線效能目標來加強關鍵基礎設施網路安全。

新聞來源：

https://www.bleepingcomputer.com/news/security/russia-and-china-left-out-of-global-anti-ransomware-meetings/

安全漏洞威脅

微軟警告針對Office 365客戶的密碼攻擊

微軟表示，美國和以色列國防技術領域的250名Office 365客戶已成為“密碼噴射”攻擊的目標，攻擊者試圖使用常用密碼訪問許多帳戶。該技術依賴於使用常見密碼的使用者。

密碼攻擊的重點是在波斯灣運營的關鍵基礎設施公司，由微軟跟蹤的DEV-0343組織實施。

微軟威脅情報中心(MSTIC)表示，它已經觀察到DEV-0343“對超過250個Office365租戶進行了廣泛的密碼噴灑，重點是美國和以色列國防技術公司、波斯灣入境口岸或全球海運公司在中東有業務存在。”微軟表示，目前不到20個目標租戶被成功入侵。

新聞來源：

https://www.zdnet.com/article/microsoft-warns-over-password-attacks-against-250-office-365-customers/

詐騙者濫用Apple開發者計劃

Sophos本週釋出了一份關於約會應用程式騙局的新報告，該騙局導致Tinder、Bumble、Grindr、FacebookDating和類似應用程式上的人們竊取了數百萬美元。

在獲得對這些約會應用程式的信任後，詐騙者說服受害者下載虛假的加密應用程式，然後在凍結賬戶之前欺騙他們進行投資。

研究人員說，這個名為“CryptoRom”的騙局已導致美國和歐盟的受害者至少被盜140萬美元。兩人在他們的報告中說，攻擊者不再是追捕亞洲的受害者，而是現在瞄準歐洲和美國的人。

Sophos的研究人員甚至設法找到了一個被攻擊者控制的比特幣錢包，這要歸功於一名受害者，他分享了他在被拒之門外之前最初將錢匯到的地址。

Chandraiah表示，CryptoRom騙局幾乎在每個階段都嚴重依賴社會工程。

新聞來源：

https://www.zdnet.com/article/scammers-abusing-apple-developer-program-stealing-millions-from-victims-on-tinder-bumble-grindr-facebook-dating/

每15個組織中就有1個執行著已被利用的SolarWinds版本

網路安全公司Randori的一份新報告對攻擊者可能追蹤和利用的最誘人的網際網路暴露資產進行了分類，發現每15個組織中就有一個目前執行著已知會被積極利用的SolarWinds版本。

在2021年Randori攻擊面報告中，研究人員為每項資產分配了一個“誘惑分數”——實際上是攻擊者追蹤它的可能性。任何得分超過30的暴露資產都被認為是高分，目前在其語料庫中排名最高的資產的攻擊者誘惑得分為55。被積極利用的SolarWinds版本的平均誘惑得分為40。

該報告發現，超過25%的組織將RDP暴露在Internet上，而15%的組織仍在執行過時的IIS6版本，微軟已經六年不支援該版本了。Randori給IIS6的誘惑評分為37。

近40%的組織使用思科的自適應安全裝置(ASA)防火牆，該防火牆有公開漏洞的歷史，誘惑分數為37。幾乎一半的組織都執行CitrixNetScaler，其分數為33並且存在多個公開漏洞。只有 3% 的組織仍在執行 Microsoft Outlook Web Access 的版本。

新聞來源：

https://www.zdnet.com/article/1-in-15-organizations-runs-actively-exploited-version-of-solarwinds-report/

MysterySnail使用Windows零日攻擊

2021年8月下旬和9月上旬，卡巴斯基技術檢測到在多個Microsoft Windows伺服器上使用特權提升漏洞的攻擊。該漏洞利用中有許多來自舊的、眾所周知的漏洞CVE-2016-3309漏洞利用的除錯字串，但更仔細的分析表明這是一個零日漏洞。

研究人員發現它在Win32k驅動程式中使用了一個以前未知的漏洞，並且利用在很大程度上依賴於洩漏核心模組基地址的技術。漏洞利用鏈的資訊披露部分被識別為未繞過安全邊界，因此未修復。Microsoft分配了CVE-2021-40449Win32k核心驅動程式中的釋放後使用漏洞，並於2021年10月12日修補，作為10月補丁星期二的一部分。

除了在野外發現零日漏洞之外，研究人員還分析了與零日漏洞利用一起使用的惡意軟體有效載荷，並發現在針對IT公司、軍事/國防承包商和外交實體的廣泛間諜活動中檢測到了惡意軟體的變體。

研究人員稱這個活動叢集為MysterySnail。其程式碼相似性和C2基礎設施的重用，將這些攻擊可以與2012年的IronHusky和APT活動聯絡起來。

新聞來源：

https://securelist.com/mysterysnail-attacks-with-windows-zero-day/104509/