Cloudflare成功拦截11.5 Tbps创纪录DDoS攻击
发布时间 2025-09-041. Cloudflare成功拦截11.5 Tbps创纪录DDoS攻击
9月2日,Cloudflare近日宣布成功拦截了一场峰值达11.5 Tbps的史上最大规模分布式拒绝服务(DDoS)攻击,此次攻击以UDP洪水攻击为主,主要源自谷歌云平台,并成为持续数周的攻击浪潮中的最高潮。据Cloudflare披露,其防御系统在过去数周内已自动拦截数百次超大规模DDoS攻击,其中最新破纪录的攻击持续约35秒,峰值数据包速率高达每秒51亿个,远超今年6月该公司报告的7.3 Tbps攻击,规模增长12%,甚至比网络安全记者布莱恩·克雷布斯记录的此前最高峰值高出1 Tbps。此次11.5 Tbps的UDP洪水攻击针对单一IP地址,平均每秒冲击21,925个端口,峰值时端口分布扩展至34,517个,攻击向量以UDP洪水为主(占比99.996%),辅以QOTD、Echo、NTP、Mirai、Portmap及RIPv1等混合攻击手段。尽管攻击流量巨大,Cloudflare的自动化防御系统仍有效识别并过滤了恶意流量,未对客户网络造成实质影响。
https://securityaffairs.com/181829/cyber-crime/cloudflare-blocked-a-record-11-5-tbps-ddos-attack.html
2. 圣达菲县政府网站源代码遭窃事件被证实为旧数据泄露
9月2日,一则声称窃取美国新墨西哥州圣达菲县政府网站源代码的帖子在黑客论坛引发关注,但经Cybernews研究团队深入调查,该事件实际为攻击者利用过时信息进行"概念验证"的炒作行为。圣达菲县作为人口超15万的行政区域,其官方网站是政府与民众交互的重要平台,此次事件虽未造成实际风险,却暴露了网络攻击者通过发布旧数据博取关注的新型手法。攻击者在论坛中宣称已获取圣达菲县网站的源代码,并附上了管理员用户名、哈希密码、数据库模型及PHP版本等数据。然而,Cybernews团队分析发现,攻击者提供的数据库模型仅更新至2017年,PHP版本更是2010年发布且已于2011年停止支持的陈旧版本。更关键的是,对比当前网站实时流量架构,其技术栈与泄露数据中的配置存在显著差异,证明攻击者上传的实为网站2010年代旧版本代码,对现有系统无实质性威胁。
https://cybernews.com/security/santa-fe-county-hack-likely-outdated/
3. 俄罗斯APT28利用“NotDoor”恶意软件攻击Microsoft Outlook
9月3日,西班牙网络安全供应商S2 Grupo的威胁情报实验室LAB52于2025年9月3日发布报告,披露由俄罗斯支持的网络威胁组织APT28开发的新型Outlook后门“NotDoor”。该恶意软件基于Visual Basic for Applications(VBA)构建,通过Outlook事件驱动触发器(如启动时Application_MAPILogonComplete和接收新邮件时Application_NewMailEx)激活,实现数据窃取、文件上传及任意命令执行功能。NotDoor采用代码混淆技术,包括随机化变量名和自定义Base64编码(附加垃圾字符模拟加密),并伪装成合法宏规避检测。其通过签名的微软二进制文件OneDrive.exe进行DLL侧加载,加载恶意SSPICLI.dll部署后门,同时修改Outlook注册表设置禁用安全警告、启用宏并抑制对话框提示,确保持久化静默运行。该后门通过将受害者数据外泄至攻击者控制的邮箱,并利用webhook.site进行DNS和HTTP回调验证,建立隐蔽通信。其模块化设计支持动态更新触发器和命令,增强检测难度。
https://www.infosecurity-magazine.com/news/russia-apt28-notdoor-outlook/
4. 全球最大非法体育直播平台Streameast遭多国联合打击
9月3日,由创意与娱乐联盟(ACE)与埃及当局联合开展的专项行动成功捣毁全球最大非法体育直播流媒体网络Streameast,并逮捕两名关联人员。该平台自2018年起运营,依托广告支持的免费模式,提供高清盗播内容,覆盖全球80个域名,月访问量峰值达1.36亿次,过去一年总访问量突破16亿次,用户主要集中于美国、加拿大、英国、菲律宾及德国。Streameast的核心侵权行为包括未经授权直播欧洲五大足球联赛(英超、西甲、德甲等)、国际足联世界杯、欧洲杯等国家队赛事,以及NFL、NBA、F1等美国主流体育赛事。其技术架构通过多域名跳转规避封锁,六天前首次出现运营中断迹象,用户反馈网站无法访问或流媒体加载异常。埃及吉萨省谢赫扎伊德市警方在行动中查获笔记本电脑、智能手机、现金及多张信用卡。调查显示,该平台与阿联酋一家空壳公司存在关联,涉嫌自2010年起通过广告收入洗钱620万美元及20万美元加密货币。目前,原属于Streameast的80个域名已大部分重定向至ACE的“合法观看”网站,但部分域名仍可访问,暗示可能存在未查封域名或新域名注册。
https://www.bleepingcomputer.com/news/security/streameast-the-largest-pirated-sports-platform-disrupted-by-police/
5. SaaS巨头Workiva在Salesforce攻击后披露数据泄露
9月3日,Workiva作为领先的云SaaS服务商,专注财务报告、合规及审计数据管理,服务6305家客户,2024年预计营收7.39亿美元。近日,该公司通报客户称,攻击者通过第三方CRM系统Salesforce非法获取部分客户数据,包括姓名、邮箱、电话及支持票证内容,但Workiva平台核心数据未受波及。此次事件与ShinyHunters勒索集团近期针对Salesforce生态的攻击高度关联。该集团自年初起通过语音钓鱼(vishing)及OAuth令牌滥用,渗透多家企业Salesforce实例,窃取敏感信息。值得注意的是,本次攻击路径与近期多起大型机构数据泄露模式相似。Workiva强调,其CRM供应商通过关联第三方应用暴露访问权限,凸显供应链安全风险。公司已提醒受影响客户警惕鱼叉式钓鱼攻击,并重申官方沟通渠道的唯一性,绝不通过短信或电话索要安全信息。
https://www.bleepingcomputer.com/news/security/saas-giant-workiva-discloses-data-breach-after-salesforce-attack/
6. 黑客利用新的HexStrike-AI工具快速利用n-day漏洞
9月3日,黑客正大规模利用名为HexStrike-AI的新型人工智能攻击框架,加速新披露n-day漏洞的武器化进程。CheckPoint Research报告显示,该框架与暗网中针对Citrix漏洞(如CVE-2025-7775、CVE-2025-7776)的快速利用活动密切相关。截至2025年9月2日,仍有近8000个端点易受CVE-2025-7775攻击,较前一周减少2万个,但漏洞披露与大规模利用的时间窗口已急剧缩短至数小时。HexStrike-AI由网络安全研究员Muhammad Osama开发,原为合法红队工具,通过集成AI代理可自主运行150余种网络安全工具,实现渗透测试与漏洞发现的自动化。其客户端具备重试逻辑与恢复处理能力,可自动调整配置直至操作成功。该工具开源后迅速走红,GitHub获1800星标与超400次fork,却也引发黑客关注。据CheckPoint披露,黑客论坛已出现该工具的部署讨论,攻击者利用其针对Citrix NetScaler ADC及Gateway零日漏洞,实现未经身份验证的远程代码执行,并在受感染设备植入Webshell,甚至公开出售受控实例。
https://www.bleepingcomputer.com/news/security/hackers-use-new-hexstrike-ai-tool-to-rapidly-exploit-n-day-flaws/
京公网安备11010802024551号