ISHACK AI BOT

Ultralytics YOLO11 AI 模型在供应链攻击中受到损害，该攻击在运行 Python 包索引 (PyPI) 8.3.41 和 8.3.42 版本的设备上部署加密货币挖矿程序。 Ultralytics 工具是开源的，被跨广泛行业和应用的众多项目所使用。该库在 GitHub 上已被加注 33,600 次，分叉 6,500 次，在过去 24 小时内，仅 PyPI 的下载量就超过 260,000 次。 Ultralytics YOLO11 受损 Ultralytics 8.3.41 和 8.3.42 已发布到 PyPi，直接安装受感染版本或作为依赖项安装的用户发现部署了加密货币挖矿程序。 对于 Google Colab 帐户，所有者因“滥用行为”而被标记并禁止。 Ultralytics 是 SwarmUI 和 ComfyUI 的依赖项，它们都确认其库的全新安装将导致矿工的安装。 来源：@GozukaraFurkan 安装后，受感染的库会在“/tmp/ultralytics_runner”处安装并启动 XMRig Miner，以连接到“connect.consrensys[.]com:8080”处的 minin 池。 运行 XMRig Miner 进程 Ultralytics 创始人兼首席执行官 Glenn Jocher 证实，该问题仅影响这两个受损版本，这些版本已被撤下并替换为干净的 8.3.43 版本。 Jocher 在 GitHub 上发帖称：“我们确认 Ultralytics 版本 8.3.41 和 8.3.42 受到针对加密货币挖掘的恶意代码注入的影响。这两个版本均已立即从 PyPI 中删除。” Glenn Jocher 在 GitHub 上的评论 开发人员目前正在调查根本原因以及 Ultralytics 构建环境中的潜在漏洞，以确定其被破坏的方式。然而，该漏洞似乎源自两个恶意 PR [1, 2]，其中在香港用户提交的分支名称中注入了代码。 目前尚不清楚恶意代码是否仅执行加密货币挖掘或泄露的私人用户数据，有关社区仍在等待此次泄露的正式咨询，该咨询将对所有细节进行澄清。出于谨慎考虑，下载恶意版本 Ultralytics 的用户应执行完整的系统扫描。 根据最新消息，有用户报告 PyPI 上有新的木马版本，因此攻击似乎会持续到新的软件包版本 8.345 和 8.3.46。

生成式人工智能日渐成为推动进步的强大工具，但也使其成为网络领域的重大威胁。恶意分子使用生成人工智能的情况越来越普遍，这使他们能够进行广泛的网络攻击。 从生成深度伪造品到增强网络钓鱼活动，生成人工智能正在演变成大规模网络犯罪的工具。人工智能因其跨行业的变革潜力而引起了研究人员和投资者的关注。不幸的是，恶意分子的滥用正在改变网络威胁格局。 生成人工智能最令人担忧的应用之一是创建深度造假和虚假信息活动，这些活动已被证明是有效和危险的。 Deepfakes 是使用生成人工智能创建的媒体内容（例如视频、图像或音频），可以真实地操纵面部、声音甚至整个事件。这些技术的日益复杂使得区分真实内容和虚假内容变得比以往任何时候都更加困难。这使得深度造假成为从事虚假信息活动、欺诈或侵犯隐私的攻击者的有力武器。 麻省理工学院在 2019 年发布的一项研究表明，人工智能生成的深度造假欺骗人类的概率高达 60%。鉴于人工智能的进步，这一比例很可能有所增加，从而使深度造假成为更加重大的威胁。攻击者可以利用它们来捏造事件、冒充有影响力的人物或创造操纵公众舆论的场景。在虚假信息活动中使用生成人工智能也不再是假设。 生成人工智能对于寻求经济利益的攻击者来说也有很多可用之处。通过自动创建网络钓鱼电子邮件，恶意分子可以扩大其活动规模，生成高度个性化且令人信服的消息，更有可能欺骗受害者。 这种滥用的一个例子是使用生成人工智能创建欺诈性社交媒体资料。 2022 年，联邦调查局称，旨在从受害者身上获取经济利益的虚假个人资料有所增加。 生成人工智能不仅允许攻击者生成真实的文本，还可以生成照片、视频和音频，使这些个人资料显得真实。此外，2023 年中期推出的 FraudGPT 和 WormGPT 等平台提供了专门针对网络钓鱼和商业电子邮件泄露 (BEC) 攻击而设计的工具。只需支付月费，攻击者就可以访问复杂的服务，自动创建欺诈性电子邮件，从而提高诈骗效率。 另一个值得关注的领域是使用生成人工智能开发恶意代码。通过自动生成恶意软件变体，攻击者可以逃避主要反恶意软件引擎采用的检测机制。这使得他们更容易以最小的努力进行大规模攻击。 生成人工智能最令人担忧的方面之一是其自动化复杂攻击过程的潜力。这包括创建用于攻击目的的工具，例如旨在利用漏洞的恶意软件或脚本。生成人工智能模型可以改进这些工具以绕过安全防御，使攻击更加复杂且更难以检测。虽然生成人工智能的恶意使用仍处于早期阶段，但它正在受到网络犯罪分子和国家支持的行为者的关注。通过“即服务”模式提高生成人工智能的可及性只会加速其采用。这些服务允许具有最少技术专业知识的攻击者执行高级攻击，从而使网络犯罪民主化。 例如，在虚假信息活动中，生成人工智能的影响已经显而易见。在网络钓鱼和金融欺诈中，FraudGPT 等工具的使用展示了攻击者如何扩大其运营规模。恶意软件开发的自动化是另一个令人担忧的趋势，因为它降低了网络犯罪的进入门槛。安全公司以及 OpenAI、Google 和 Microsoft 等主要生成人工智能提供商正在积极开发解决方案来缓解这些新兴威胁，努力包括开发强大的深度伪造检测机制、增强反网络钓鱼工具以及创建保障措施以防止滥用生成人工智能平台。然而，技术进步的快速步伐意味着攻击者总是领先一步。随着生成人工智能变得更加复杂和易于使用，防御者面临的挑战将呈指数级增长。 生成人工智能是一把双刃剑。虽然它为创新和进步提供了巨大的机会，但当被恶意分子利用时，它也会带来巨大的风险。 创建真实和个性化内容的能力已经改变了网络威胁格局，开启了从深度伪造到大规模网络钓鱼活动等各种攻击的新时代。随着技术的发展，其滥用也会随之发展。政府、企业和个人必须认识到生成人工智能的潜在危险并采取积极措施应对。通过协作和创新，我们可以利用生成人工智能的优势，同时降低其风险，确保这一强大的工具为人类服务而不是伤害人类。

近日，安全研究员 Greg Lesnewich 发现了一个名为 SpectralBlur 的后门，该后门针对的是 Apple macOS。 该后门与恶意软件家族 KANDYKORN（又名 SockRacket）有相似之处，后者归因于与朝鲜有关的 Lazarus 子组织 BlueNoroff（又名 TA444）。 KandyKorn 是一种先进的植入物，具有多种监控、交互和避免检测的功能。它利用反射加载，这是一种可以绕过检测的直接内存执行形式。 SpectralBlur 不是复杂的恶意软件，它支持普通的后门功能，包括根据 C2 发出的命令上传/下载文件、运行 shell、更新其配置、删除文件、休眠或休眠。 TA444 在这些新的 MacOS 恶意软件家族中持续运行，通过寻找类似的字符串，安全研究人员将 SpectralBlur 和 KandyKorn 联系起来，在出现更多样本后，进一步与 TA444 联系起来。 最终，网络钓鱼活动袭击了人们的可见度，导致 KandyKorn 瘫痪。最新发现证实了与朝鲜有关的威胁者对开发 macOS 恶意软件以用于有针对性的攻击的极大兴趣。 2023 年 11 月，Jamf 威胁实验室的研究人员发现了一种名为 ObjCShellz 的新 macOS 恶意软件菌株，并将其归因于与朝鲜有关的 APT BlueNoroff。 专家们注意到 ObjCShellz 恶意软件与 BlueNoroff APT 组织相关的 RustBucket 恶意软件活动有相似之处。 2023 年 7 月，Elastic Security Labs 的研究人员发现了 RustBucket Apple macOS 恶意软件的新变种。今年 4 月，安全公司 Jamf 观察到与朝鲜有关的 BlueNoroff APT 组织使用了一种名为 RustBucket 的新 macOS 恶意软件。

Google Play 上发现了一组新的 15 个 SpyLoan Android 恶意软件应用程序，安装量超过 800 万次，主要针对来自南美洲、东南亚和非洲的用户。 这些应用程序现已从 Android 官方应用程序商店中删除。然而，它们出现在 Google Play 上表明了威胁者的持续存在，因为即使最近针对 SpyLoan 运营商的执法行动也未能遏制这一问题。 Google Play 上一次重大的“SpyLoan 清理”是在 2023 年 12 月，当时删除了十多个累计 1200 万次下载的应用程序。 SpyLoan的作案手法 SpyLoan 应用程序是作为金融工具推广的工具，通过快速审批流程以欺骗性且常常是虚假的条款向用户提供贷款。 一旦受害者安装了这些应用程序，它们就会通过一次性密码 (OTP) 进行验证，以确保它们位于目标区域。然后他们被要求提交敏感的身份证明文件、员工信息和银行账户数据。此外，这些应用程序滥用其在设备上的权限来收集大量敏感数据，包括访问用户的联系人列表、短信、摄像头、通话记录和位置，以用于勒索过程。 McAfee 指出，这些应用程序的侵略性数据收集策略甚至会泄露受害者设备上的所有 SMS 消息，以及 GPS/网络位置、设备信息、操作系统详细信息和传感器数据。 窃取所有短信的代码 一旦用户通过该应用程序获得贷款，他们就必须支付高额利息，并且经常受到运营商利用从他们手机中窃取的数据进行骚扰和勒索。在某些情况下，诈骗者还会给贷款人的家人打电话骚扰他们。 Google Play 上的下载量达到 800 万次 McAfee 的调查发现了 15 个恶意 SpyLoan 应用程序，仅通过 Play 商店就安装了超过 800 万次。以下是八个最受欢迎的列表： ·安全贷款-快捷、安全 - 1,000,000 次下载，主要针对墨西哥 ·快贷-贷易 - 1,000,000 次下载，主要针对哥伦比亚 ·轻松获取泰铢 - 快速贷款 - 1,000,000 次下载，主要针对塞内加尔 ·流动资金 - 1,000,000 次下载，主要针对塞内加尔 ·快乐借钱 – 贷款- 1,000,000 次下载，主要针对泰国 ·快速贷款 –1,000,000 次下载，主要针对泰国 ·货币在线 -500,000 次下载，主要针对印度尼西亚 ·快速资金-小额贷款- 500,000 次下载，主要针对印度尼西亚 Google Play 上的四款 SpyLoan 应用 尽管谷歌的应用程序审查机制可以阻止违反 Play 商店条款的软件，但 SpyLoan 应用程序仍然会被忽视。为了防范这种风险，请下载前仔细阅读用户评论，检查开发人员的资质，限制安装时授予应用程序的权限，并确保 Google Play Protect 在设备上处于活动状态。

代号为“Operation Passionflower”的国际执法行动已经关闭了 MATRIX，这是一个加密消息平台，网络犯罪分子利用该平台协调非法活动，同时逃避警方追捕。 MATRIX 与同名的安全开源、去中心化、实时通信协议是不同的实体，继续使用是完全合法的。该行动在欧洲各地进行，包括法国、荷兰、意大利、立陶宛、西班牙和德国，并由欧洲刑警组织和欧洲司法组织协调。 犯罪推动者 警方在找到一名 2021 年 7 月试图暗杀记者的枪手的手机后，顺藤摸瓜找到了 MATRIX。在分析手机后，他们发现该手机经过定制，可以连接到名为 Matrix 的加密消息服务。 荷兰和法国当局之间的联合调查小组 (JIT) 允许警方监控和拦截通过这些设备发送的 33 种不同语言的 230 万条消息。但是，没有提供有关如何做到这一点的技术细节。 “三个月来，当局能够监控可能犯罪分子的信息，这些信息现在将用于支持其他调查。”欧洲刑警组织发布了一份声明。 在欧洲司法组织和欧洲刑警组织支持的协调行动中，荷兰和法国当局关闭了该消息服务，意大利、立陶宛和西班牙当局采取了后续行动。 MATRIX 遍布欧洲的 40 台服务器促进了至少 8,000 个用户帐户的通信，这些用户帐户支付了 1350 至 1700 美元的加密货币购买基于 Google Pixel 的设备以及手机上安装的服务的六个月订阅。 MATRIX 还以“Mactrix”、“Totalsec”、“X-quantum”和“Q-safe”等名称出售，但它们都使用相同的基础设施。 MATRIX 还提供加密视频通话、跟踪交易和匿名浏览互联网的功能。 扣押和逮捕 本周，执法部门在四个国家同时进行了突袭和搜查，导致法国和德国的 40 台服务器被关闭，西班牙和法国的 5 名嫌疑人被捕。 其中一名被捕者是一名 52 岁的立陶宛男子，他被怀疑是 MATRIX 的所有者和主要运营商。当局还查获了 970 部加密手机、152,500 美元现金、525,000 美元加密货币以及四辆汽车。 MATRIX 网站上张贴的查封横幅警告该服务的用户他们的通信已被暴露，调查将继续进行。 扣押通知 荷兰警方在另一份公告中指出，任何出于隐私和匿名目的而选择该服务且未参与犯罪活动的 MATRIX 用户应发送电子邮件请求豁免调查。尽管 MATRIX 的运营商技术先进，并且相信它优于之前被拆除的加密电话服务，但 MATRIX 仍被拆除。 然而，之前取缔类似加密电话服务（如 Ghost、EncroChat、Exclu 和 Sky ECC）的执法行动表明，一旦执法部门了解其基础设施，他们就可以通过监控截获的消息或通过查获的信息来收集犯罪行为的重要证据。这些证据导致数千名毒贩、武器经销商、有组织犯罪分子、杀人犯和洗钱犯被捕。

Stoli 集团的美国公司在 8 月份遭遇勒索软件攻击后申请破产，俄罗斯当局查封了该公司在该国的剩余酿酒厂。Stoli 集团的两家子公司 Stoli USA 和 Kentucky Owl 的总裁兼全球首席执行官在最近的一份文件中表示，这是因为 8 月份的攻击严重破坏了其 IT 系统（包括企业资源规划 (ERP)）之后发生的。此次网络攻击还迫使整个集团进行手动操作，影响了会计等关键流程，预计要到 2025 年初才能完全恢复。 Caldwell 表示：“2024 年 8 月，Stoli 集团的 IT 基础设施因数据泄露和勒索软件攻击而遭受严重破坏。” 由于 Stoli 集团的企业资源规划 (ERP) 系统被禁用，并且 Stoli 集团的大部分内部流程（包括会计职能）被强制，此次攻击给 Stoli 集团内的所有公司（包括 Stoli USA 和 KO）造成了严重的运营问题。 这一事件还导致 Stoli 美国子公司无法向两家公司拖欠 7800 万美元债务的贷款人提供财务报告。2024 年 7 月，该集团在俄罗斯仅存的最后资产——两家价值 1 亿美元的酿酒厂也因 Stoli 集团及其创始人 Yuri Shefler 被认定为“极端分子”而被没收。 此外，Stoli 集团还花费了数千万美元与俄罗斯国有企业 FKP Sojuzplodoimport 就 Stolichnaya 和 Moskovskaya 伏特加商标权进行了长达 23 年的长期法庭诉讼，涉及多个司法管辖区，其中包括美国。 这场法律斗争源于 2000 年 3 月总统普京的一项行政命令，旨在“恢复和保护国家对伏特加商标的权利”，这些商标的权利在 20 世纪 90 年代被私营公司购买。该公司创始人谢夫勒也因批评普京政权而受到出于政治动机和“捏造”的指控，于 2002 年被迫逃离俄罗斯。

威胁者越来越多地使用可扩展矢量图形 (SVG) 附件来显示网络钓鱼形式或部署恶意软件，同时逃避检测。网络上的大多数图像都是 JPG 或 PNG 文件，它们由称为像素的小方块网格组成。每个像素都有特定的颜色值，这些像素一起形成整个图像。 SVG（即可缩放矢量图形）以不同的方式显示图像，因为图像不是使用像素，而是通过代码中文本数学公式中描述的线条、形状和文本创建。 例如，以下文本将创建一个矩形、一个圆形、一个链接和一些文本： Hello, SVG!在浏览器中打开时，该文件将生成上述文本描述的图形。 生成的 SVG 图像 由于这些是矢量图像，它们会自动调整大小，而不会损失图像质量或形状，这使得它们非常适合在可能具有不同分辨率的浏览器应用程序中使用。 使用 SVG 附件逃避检测 在网络钓鱼活动中使用 SVG 附件并不是什么新鲜事，然而，根据安全研究人员发现，威胁者正在网络钓鱼活动中越来越多地使用 SVG 文件。 SVG 附件的多功能性，使得它们不仅可以显示图形，还可以使用。这使得威胁者可以创建 SVG 附件，这些附件可以创建网络钓鱼表单来窃取凭据。如下所示，最近的 SVG 附件 [VirusTotal] 显示了一个带有内置登录表单的虚假 Excel 电子表格，提交后会将数据发送给受害者。 显示网络钓鱼表单的 SVG 附件 最近活动 [VirusTotal] 中使用的其他 SVG 附件会伪装成官方文档或要求提供更多信息，提示您单击下载按钮，然后从远程站点下载恶意软件。 用于分发恶意软件的 SVG 附件 其他活动利用 SVG 附件和嵌入式 JavaScript 在打开图像时，自动将浏览器重定向到托管网络钓鱼表单的网站。问题在于，由于这些文件大多只是图像的文本表示，因此安全软件往往不会检测到它们。 从上传到VirusTotal的样本来看，最多只有一两次被安全软件检测到。尽管如此，接收 SVG 附件对于合法电子邮件来说并不常见，人们应保持怀疑态度。 除非您是开发人员并希望收到这些类型的附件，否则安全研究人员会建议删除包含它们的任何电子邮件会更安全。

黑客利用新的 GodLoader 恶意软件，广泛使用 Godot 游戏引擎功能，在短短三个月内逃避检测并感染了 17,000 多个系统。 Check Point Research 在调查攻击时发现，威胁者可以使用此恶意软件加载程序来针对所有主要平台（包括 Windows、macOS、Linux、Android 和 iOS）的游戏玩家。它还利用 Godot 的灵活性及其 GDScript 脚本语言功能来执行任意代码，并使用游戏引擎 .pck 文件（打包游戏资产）绕过检测系统来嵌入有害脚本。 一旦加载，恶意制作的文件就会触发受害者设备上的恶意代码，使攻击者能够窃取凭据或下载其他有效负载，包括 XMRig 加密矿工。 该矿工恶意软件的配置托管在 5 月份上传的私人 Pastebin 文件中，该文件在整个活动期间被访问了 206,913 次。 至少自 2024 年 6 月 29 日起，网络犯罪分子一直在利用 Godot Engine 执行精心设计的 GDScript 代码，从而触发恶意命令并传播恶意软件。VirusTotal 上的大多数防病毒工具仍未检测到这种技术，可能仅在短短的时间内就感染了超过 17,000 台计算机。 Godot 拥有一个充满活力且不断发展的开发者社区，他们重视其开源性质和强大的功能。超过 2,700 名开发者为 Godot 游戏引擎做出了贡献，而在 Discord、YouTube 和其他社交媒体平台等平台上，Godot 引擎拥有大约 80,000 名关注者，他们可以随时了解最新消息。 攻击链 攻击者通过 Stargazers Ghost Network 传播 GodLoader 恶意软件，这是一种恶意软件分发即服务 (DaaS)，使用看似合法的 GitHub 存储库掩盖其活动。 2024 年 9 月至 10 月期间，他们使用由超过 225 个 Stargazer Ghost 帐户控制的 200 多个存储库，将恶意软件部署到目标系统，利用潜在受害者对开源平台和看似合法的软件存储库的信任。 在整个活动过程中，Check Point 在 9 月 12 日至 10 月 3 日期间检测到针对开发人员和游戏玩家的四次独立攻击浪潮，诱使他们下载受感染的工具和游戏。 虽然安全研究人员只发现了针对 Windows 系统的 GodLoader 样本，但他们还开发了 GDScript 概念验证漏洞利用代码，展示了恶意软件如何轻松地用于攻击 Linux 和 macOS 系统。 Stargazer Goblin 是这些攻击中使用的 Stargazers Ghost Network DaaS 平台背后的恶意分子，Check Point 于 2023 年 6 月首次观察到在暗网上推广此恶意软件分发服务。但是，它可能至少从 2022 年 8 月起就一直活跃，自这项服务推出以来，收入超过 100,000 美元。 Stargazers Ghost Network 使用 3,000 多个 GitHub“ghost”帐户创建了数百个存储库的网络，这些存储库可用于传播恶意软件（主要是 RedLine、Lumma Stealer、Rhadamanthys、RisePro 和 Atlantida Stealer 等信息窃取程序）以及 star、fork 和订阅这些恶意代码库，将它们推送到 GitHub 的趋势部分并增加其明显的合法性。 随后，Godot Engine 维护者和安全团队成员发送声明说：“该漏洞并非 Godot 特有。 Godot Engine 是一个带有脚本语言的编程系统。例如，它类似于 Python 和 Ruby 运行时，用任何编程语言都可以编写恶意程序。” Godot 不为“.pck”文件注册文件处理程序。这意味着恶意分子始终必须将 Godot 运行时与 .pck 文件一起发送。用户始终必须将运行时与 .pck 一起解压到同一位置，然后执行运行时。除非存在其他操作系统级漏洞，否则恶意分子无法创建“一键漏洞利用”。如果使用这样的操作系统级漏洞，那么由于运行时的大小，Godot 将不是一个特别有吸引力的选择。这类似于用 Python 或 Ruby 编写恶意软件，恶意分子必须将 python.exe 或 ruby.exe 与其恶意程序一起发送。

MITRE 分享了今年最常见和最危险的 25 个软件弱点列表，其中包含 2023 年 6 月至 2024 年 6 月期间披露的 31,000 多个漏洞。 软件弱点是指在软件代码、架构、实现、或设计时，攻击者可以利用它们来破坏运行易受攻击软件的系统，从而获得对受影响设备的控制权并访问敏感数据或触发拒绝服务攻击。 MITRE 表示：“这些漏洞通常很容易发现和利用，但可能会导致可利用的漏洞，使对手能够完全接管系统、窃取数据或阻止应用程序运行。” 揭示这些漏洞的根本原因可以为投资、政策和实践提供强有力的指导，以从一开始就防止这些漏洞的发生，从而使行业和政府利益相关者受益。 为了创建今年的排名，MITRE 在分析了 31,770 个 CVE 记录中的漏洞后，根据其严重性和频率对每个漏洞进行了评分，这些漏洞“将受益于重新映射分析”并在 2023 年和 2024 年报告，重点关注添加到 CISA 已知漏洞的安全漏洞被利用的 KEV 目录。 这份年度清单确定了攻击者经常利用的最关键的软件漏洞来危害系统、窃取敏感数据或破坏基本服务， CISA 强烈鼓励企业审查此列表并使用它来告知其软件安全策略。优先考虑开发和采购流程中的这些弱点有助于防止软件生命周期核心的漏洞。 CISA 还定期发布“设计安全”提醒，重点显示广为人知且已记录的漏洞，尽管有可用且有效的缓解措施，但这些漏洞尚未从软件中消除，其中一些是为了应对持续的恶意活动而发布的。 5 月和 3 月，网络安全机构又发布了两个“设计安全”提醒，敦促技术高管和软件开发人员防止其产品和代码中的路径遍历和 SQL 注入 (SQLi) 漏洞。 上周，FBI、NSA 和网络安全机构发布了去年 15 个经常被利用的安全漏洞清单，表示攻击者主要针对零日漏洞（已披露但尚未修补的安全漏洞） ）。 到 2023 年，大多数最常被利用的漏洞最初都被作为零日漏洞利用，这比 2022 年有所增加，当时只有不到一半的最常被利用的漏洞被作为零日漏洞利用。

一名威胁者声称在黑客论坛上泄露了 44,000 条客户记录，还暗示黑客“IntelBroker”参与了 2024 年 11 月的泄密事件，泄露的福特客户记录中包含有客户信息，包括全名、位置、购买详细信息、经销商信息等。目前福特公司正在调查其遭受数据泄露的指控。 暴露的记录并不是极其敏感，但它们包含个人身份信息，这些信息可能会导致针对暴露个人的网络钓鱼和社会工程攻击。 目前，威胁者并没有试图出售该数据集，而是以 8 个积分（相当于 2 美元多一点）的价格将其提供给黑客论坛的注册会员。 据称福特数据在黑客论坛上泄露 该公司发言人表示福特公司已经意识到并正在积极调查有关福特数据被泄露的指控。 根据威胁者最近的表述，IntelBroker 参与此次泄露事件为威胁者的指控提供了一定的可信度。该黑客最近在思科的 DevHub 门户、诺基亚（通过第三方）、欧洲刑警组织的 EPE 门户网站和 T-Mobile（通过供应商）进行了实质性的违规行为。 威胁者泄露的数据样本中提到的地点来自世界各地，包括美国。为了减轻这种潜在数据泄露带来的风险，请谨慎对待未经请求的通信，并拒绝以任何借口透露更多信息的请求。 福特根据正在进行的调查的新发现确定福特的系统或客户数据没有遭到破坏。此事涉及第三方供应商和一小批公开的经销商的营业地址。目前此事现已得到解决。

LastPass 发现，诈骗者正在为其 Chrome 扩展程序撰写评论，以宣传虚假的客户支持电话号码。 其实电话号码背后是更大的阴谋，旨在诱骗呼叫者让诈骗者可以远程访问他们的计算机。 LastPass 是一款流行的密码管理器，它利用 LastPass Chrome 扩展来生成、保存、管理和自动填充网站密码。威胁者试图通过使用虚假的 LastPass 客户支持号码留下 5 星级评论来瞄准该公司的大量用户群。 这些评论敦促遇到任何应用程序问题的用户拨打相关热线以联系 LastPass 在线客户服务，该服务与供应商无关。 Chrome 网上应用店中的欺诈性评论 相反，接听电话的骗子会冒充 LastPass 并将个人引导至“dghelp[.]top”网站，他们必须在其中输入代码才能下载远程支持程序。 虚假支持网站 拨打虚假支持号码的人会有人询问他们遇到的问题，然后询问他们是否试图通过计算机或移动设备访问 LastPass 以及他们使用的操作系统等一系列问题。然后，他们将被引导至 dghelp[.]top 网站，而威胁者仍保持在线状态，并试图让潜在受害者与该网站互动，从而暴露他们的数据。 研究人员发现，在此页面上输入代码将下载 ConnectWise ScreenConnect 代理 [VirusTotal]，该代理将使诈骗者能够完全访问某人的计算机。 由 ConnectWise 签署的支持代理 从那里，一名威胁者可以让呼叫者继续提问。与此同时，另一个诈骗者利用ScreenConnect在后台安装其他程序进行无人值守的远程访问、窃取数据，或者窃取计算机中的数据。ScreenConnect 客户端将通过 molatorimax[.]icu 和 n9back366[.]stream 与攻击者控制的服务器建立连接。 在隐藏在 Cloudflare 后面之前，这两个网站之前都曾与乌克兰的 IP 地址相关联。提醒 LastPass 用户切勿与任何人（甚至合法的客户支持人员）共享其主密码，因为这将导致对 LastPass 保管库中存储的所有密码和数据的私人访问。 与更大的诈骗活动相关 与虚假 LastPass 支持中心相关的电话号码其实与一场规模大得多的活动有关。该电话号码 805-206-2892 也被发现被宣传为许多其他公司的支持号码，包括 Amazon、Adobe、Facebook、Hulu、YouTube TV、Peakcock TV、Verizon、Netflix、Roku、PayPal、Squarespace、Grammarly、 iCloud、Ticketmaster 和第一资本。 作为 PayPal 和 iCloud 支持号码进行推广 这些虚假的支持号码不仅会发布到 Chrome 扩展程序评论中，还会发布到允许任何人创建内容的网站上，例如公司论坛和 Reddit。虽然其中许多帖子在创建后就被删除了，但其他帖子仍然可用，并且全天都会创建新帖子。

研究人员表明，有恶意分子可以滥用 OpenAI 的 ChatGPT-4o的实时语音 API 来实施从低到中等成功率的金融诈骗。 ChatGPT-4o 是 OpenAI 最新的 AI 模型，带来了新的增强功能，例如集成文本、语音和视觉输入和输出。由于这些新功能，OpenAI 集成了各种保护措施来检测和阻止有害内容，例如复制未经授权的声音。 基于语音诈骗涉及价值数百万美元的问题，而深度伪造技术和人工智能驱动的文本转语音工具的出现只会让情况变得更糟。正如 UIUC 研究人员在他们的论文中所证明的那样，目前不受限制地可用新技术工具没有足够的保护措施来防止网络犯罪和欺诈者的潜在滥用。 这些工具可以通过覆盖语音生成事件的代币成本来设计和实施大规模诈骗操作，而无需人工干预。 研究结果 研究人员的论文探讨了各种诈骗，例如银行转账、礼品卡渗漏、加密货币转账以及社交媒体或 Gmail 帐户的凭据窃取。 执行诈骗的人工智能代理使用支持语音的 ChatGPT-4o 自动化工具来导航页面、输入数据并管理双因素身份验证代码和特定的诈骗相关指令。 由于 GPT-4o 有时会拒绝处理凭据等敏感数据，因此研究人员使用简单的提示越狱技术来绕过这些保护。 研究人员没有展示真实的人，而是展示了他们如何与人工智能代理手动交互，模拟容易上当受骗的受害者的角色，使用美国银行等真实网站来确认成功的交易。 将代理部署在常见诈骗的子集上。通过手动与语音代理交互来模拟诈骗，扮演轻信受害者的角色。为了确定是否成功，需手动确认最终状态是否在真实的应用程序/网站上实现。例如，使用美国银行进行银行转账诈骗，并确认资金确实被转移。 总体而言，成功率范围为 20-60%，每次尝试最多需要 26 个浏览器操作，在最复杂的场景中持续长达 3 分钟。 银行转账和冒充国税局代理，大多数失败是由转录错误或复杂的网站导航要求引起的。然而，Gmail 的凭据盗窃成功率为 60%，而 Instagram 的加密传输和凭据盗窃只有 40% 的成功率。 至于成本，研究人员指出，实施这些骗局的成本相对较低，每个成功案例的平均成本为 0.75 美元。银行转账诈骗更为复杂，费用为 2.51 美元。尽管明显较高，但与此类骗局的潜在利润相比，这仍然非常低。 诈骗类型和成功率 OpenAI 的回应 OpenAI 告诉媒体，其最新模型 o1（目前处于预览版）支持“高级推理”，可以更好地防御此类滥用。 OpenAI 发言人表示：“我们不断地让 ChatGPT 能够更好地阻止故意欺骗它的尝试，同时又不会失去其有用性或创造力。最新的 o1 推理模型是我们迄今为止最有能力、最安全的模型，在抵制故意生成不安全内容的尝试方面明显优于以前的模型。” OpenAI 还指出，UIUC 的此类论文帮助他们使 ChatGPT 更好地阻止恶意使用，并且他们始终研究的是如何提高其稳健性。 目前，GPT-4o 已经纳入了许多防止滥用的措施，包括将语音生成限制为一组预先批准的语音，以防止冒充。 根据 OpenAI 的越狱安全评估，o1-preview 的得分明显更高，该评估衡量模型在应对对抗性提示时抵抗生成不安全内容的能力，得分为 84%，而 GPT-4o 得分为 22%。当使用一组新的、更严格的安全评估进行测试时，o1-preview 分数明显更高，分别为 93% 和 GPT-4o 的 71%。 威胁者使用其他限制较少的语音聊天机器人的风险仍然存在，此类研究正凸显了这些新工具可能造成的巨大损害。

自 2021 年以来，一个名为“fabrice”的恶意 Python 包一直出现在 Python 包索引 (PyPI) 中，从开发人员那里窃取 Amazon Web Services 凭证。 据应用安全公司 Socket 称，该软件包已被下载超过 37,000 次，并执行 Windows 和 Linux 平台特定的脚本。 大量下载是由于fabrice 对合法的SSH 远程服务器管理包“fabric”进行错字造成的，这是一个非常受欢迎的库，下载量超过2 亿次。 该 Fabrice 之所以长期未被检测到，是因为在 PyPI 上首次提交后就部署了先进的扫描工具，而且很少有解决方案进行追溯扫描。 操作系统特定的行为 Fabrice 包旨在根据其运行的操作系统执行操作。在 Linux 上，它在“~/.local/bin/vscode”处设置一个隐藏目录，用于存储分割成多个文件的编码 shell 脚本，这些文件是从外部服务器 (89.44.9[.]227) 检索的。 研究人员解释说，shell 脚本被解码并授予执行权限，让攻击者能够以用户权限执行命令。 在 Windows 上，fabrice 下载编码的有效负载 (base64)，该有效负载是为启动隐藏的 Python 脚本 (d.py) 而创建的 VBScript (p.vbs)。 Python 脚本负责获取恶意可执行文件（“chrome.exe”），该可执行文件被放入受害者的下载文件夹中。 其目的是安排 Windows 任务每 15 分钟执行一次，以确保重新启动后的持久性。 AWS凭证被盗 无论使用哪种操作系统，fabrice 的主要目标都是使用“boto3”（Amazon Web Services 的官方 Python SDK）窃取 AWS 凭证，从而允许与平台进行交互和会话管理。 Boto3 会话初始化后，它会自动从环境、实例元数据或其他配置的源中提取 AWS 凭证。然后，攻击者将窃取的密钥泄露到 VPN 服务器（由巴黎的 M247 运营），这使得追踪目的地变得更加困难。 Python函数窃取AWS凭证 当用户检查从 PyPI 下载的包时，可以降低拼写错误的风险。另一种选择是专门为检测和阻止此类威胁而创建的工具。 在保护 AWS 存储库免遭未经授权的访问方面，管理员应考虑使用 AWS Identity and Access Management (IAM) 来管理资源权限。

国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求，近期通过互联网监测发现13款移动App存在隐私不合规行为，涉及电商等领域。 1、在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则、未声明App运营者的基本情况。涉及8款App如下： 《致题库》（版本5.4.1，小米应用商店）、 《信久久》（版本1.7.1，小米应用商店）、 《吉客赢》（版本5.5.3，应用宝）、 《丛丛脱单相亲交友平台》（版本1.0.8，vivo应用商店）、 《价美丽》（版本1.6.6，vivo应用商店）、 《小羊淘券》（版本1.0.2，vivo应用商店）、 《海豚药药极速版》（版本1.2.0，vivo应用商店）、 《多蒙达司机》（版本2.1.22，应用宝）。 2、隐私政策未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等。涉及7款App如下： 《致题库》（版本5.4.1，小米应用商店）、 《DJ99》（版本1.1.03，应用宝）、 《信久久》（版本1.7.1，小米应用商店）、 《叮咚盲盒》（版本1.5.0，小米应用商店）、 《庆趣供货》（版本3.2.2，vivo应用商店）、 《海豚药药极速版》（版本1.2.0，vivo应用商店）、 《俄界外卖骑手端》（版本1.2.6，vivo应用商店）。 3、个人信息处理者向其他个人信息处理者提供其处理的个人信息的，未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，未取得个人的单独同意。涉及4款App如下： 《DJ99》（版本1.1.03，应用宝）、 《吉客赢》（版本5.5.3，应用宝）、 《丛丛脱单相亲交友平台》（版本1.0.8，vivo应用商店）、 《海豚药药极速版》（版本1.2.0，vivo应用商店）。 4、App未提供有效的更正、删除个人信息及注销用户账号功能；注销用户账号的人工处理（承诺）时限超过15个工作日。涉及2款App如下： 《致题库》（版本5.4.1，小米应用商店）、 《庆趣供货》（版本3.2.2，vivo应用商店）。 5、App未建立并公布个人信息安全投诉、举报渠道，或未在承诺时限内受理并处理。涉及3款App如下： 《致题库》（版本5.4.1，小米应用商店）、 《海豚药药极速版》（版本1.2.0，vivo应用商店）、 《多蒙达司机》（版本2.1.22，应用宝）。 6、基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者未提供便捷的撤回同意的方式；向用户提供撤回同意收集个人信息的途径、方式，未在隐私政策等收集使用规则中予以明确。涉及7款App如下： 《致题库》（版本5.4.1，小米应用商店）、 《DJ99》（版本1.1.03，应用宝）、 《信久久》（版本1.7.1，小米应用商店）、 《叮咚盲盒》（版本1.5.0，小米应用商店）、 《吉客赢》（版本5.5.3，应用宝）、 《玩皮王》（版本2.2.5，360手机助手）、 《海豚药药极速版》（版本1.2.0，vivo应用商店）。 7、处理敏感个人信息未取得个人的单独同意。涉及1款App如下： 《信久久》（版本1.7.1，小米应用商店）。 8、个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则；收集未成年人信息未取得监护人单独同意。涉及7款App如下： 《DJ99》（版本1.1.03，应用宝）、 《信久久》（版本1.7.1，小米应用商店）、 《叮咚盲盒》（版本1.5.0，小米应用商店）、 《丛丛脱单相亲交友平台》（版本1.0.8，vivo应用商店）、 《庆趣供货》（版本3.2.2，vivo应用商店）、 《玩皮王》（版本2.2.5，360手机助手）、 《海豚药药极速版》（版本1.2.0，vivo应用商店）。 针对上述情况，国家计算机病毒应急处理中心提醒广大手机用户首先谨慎下载使用以上违规移动App，同时要注意认真阅读其用户协议和隐私政策说明，不随意开放和同意不必要的隐私权限，不随意输入个人隐私信息，定期维护和清理相关数据，避免个人隐私信息被泄露。 注：文中所列App检测时间为2024年10月8日至10月31日 文章来源自：国家计算机病毒应急处理中心

往期回顾： 2024.10.28—2024.11.3安全动态周回顾 2024.10.21—2024.10.27安全动态周回顾 2024.10.14—2024.10.20安全动态周回顾 2024.10.7—2024.10.13安全动态周回顾 2024.9.23—2024.9.29安全动态周回顾 2024.9.16—2024.9.22安全动态周回顾 2024.9.9—2024.9.15安全动态周回顾

据悉，亚马逊已查获了俄罗斯 APT29 黑客组织用于针对政府和军事组织进行针对性攻击的域名，以使用恶意远程桌面操作连接文件窃取 Windows 凭据和数据。 APT29，也被称为“舒适熊”和“午夜暴雪”，是一个由俄罗斯国家支持的网络间谍组织，与俄罗斯对外情报局 (SVR) 有联系。亚马逊澄清说，尽管 APT29 使用的网络钓鱼页面被伪装成 AWS 域，但亚马逊或其云平台的凭证都不是这些攻击的直接目标。 其公告中写道：“他们使用的一些域名试图欺骗目标，让人们相信这些域是 AWS 域（但事实并非如此），但亚马逊不是目标，该组织也不是目标 AWS 客户凭证。相反，APT29 通过 Microsoft 远程桌面寻找目标的 Windows 凭据。” 威胁者以针对全球政府、智库和研究机构的高度复杂的攻击而闻名，通常使用网络钓鱼和恶意软件来窃取敏感信息。 全球范围内的目标组织 尽管 APT29 最近的活动在乌克兰产生了重大影响，但其范围很广泛，并针对多个被视为俄罗斯对手的国家。 亚马逊指出，在这次特定的活动中，APT29 遵循其典型的“窄目标”策略的相反方法，向比平常更多的目标发送了网络钓鱼电子邮件。乌克兰计算机紧急响应小组 (CERT-UA) 发布了有关这些“流氓 RDP”附件的公告，以警告他们在“UAC-0215”下跟踪的大规模电子邮件活动。 这些消息的主题是解决亚马逊和微软服务的“集成”问题以及实施“零信任”网络安全架构（零信任架构，ZTA）。 这些电子邮件包含 RDP（远程桌面协议）连接文件，其名称如“零信任安全环境合规性检查.rdp”，打开时会自动启动与恶意服务器的连接。 恶意 RDP 配置屏幕 从上面这些 RDP 连接配置文件之一的图像可以看出，它们与攻击者控制的 RDP 服务器共享所有本地资源，包括： ·本地磁盘和文件 ·网络资源 ·打印机 ·COM 端口 ·音频设备 ·剪贴板 此外，UA-CERT 表示，它们还可以用于在受感染的设备上执行未经授权的程序或脚本。 共享驱动器和设备被重定向到攻击者的 RDP 服务器 虽然亚马逊表示，该活动用于窃取 Windows 凭据，但由于目标的本地资源与攻击者的 RDP 服务器共享，因此威胁者也可以直接从共享设备窃取数据。 这包括存储在目标硬盘、Windows 剪贴板和映射网络共享上的所有数据。 CERT-UA 建议应仔细检查其公告 IoC 部分中共享的 IP 地址的网络交互日志，以检测可能的攻击或违规迹象。此外，建议采取以下措施来减少攻击面： 1.在邮件网关处阻止“.rdp”文件。 2.防止用户在不需要时启动任何“.rdp”文件。 3.配置防火墙设置以限制从 mstsc.exe 程序到外部网络资源的 RDP 连接。 4.配置组策略以通过 RDP 禁用资源重定向（“远程桌面服务”->“远程桌面会话主机”->“设备和资源重定向”->“不允许...”）。 目前，APT29 仍然是俄罗斯最强大的网络威胁之一，善于使用间谍软件供应商独有的漏洞。据透露，去年威胁者攻击了 TeamViewer、Microsoft 和 Hewlett Packard Enterprise 等重要软件供应商。 本月早些时候，APT29“集体”就利用 Zimbra 和 JetBrains TeamCity 服务器漏洞破坏全球重要组织。

Pwn2Own Ireland 2024 第四天黑客竞赛结束，这场黑客竞赛旨在让安全研究人员与各种软件和硬件产品进行对抗，试图通过破坏八个类别的目标来赢得“破解大师”的称号，这些目标包括手机、消息应用程序、家庭自动化、智能扬声器、打印机、监控系统、网络附加存储 (NAS) 和 SOHO Smash-up。 本届 Pwn2Own 是白帽黑客连续第四次突破百万美元奖金大关，总共赢得了 1,066,625 美元。 在比赛的最后一天，安全研究人员成功利用了 Lexmark、True NAS 和 QNAP 的设备： ·Team Smoking Barrels 利用了 TrueNAS X 中的两个漏洞。尽管其中一个漏洞之前已在比赛中使用过，但该团队仍然赢得了 20,000 美元和 2 个 Pwn 大师积分。 ·Team Cluck 利用六个漏洞从 QNAP QHora-322 迁移到 Lexmark CX331adwe。其中一个缺陷已被利用，但他们因成功利用而获得了 23,000 美元和 Pwn 大师积分。 ·Viettel Cyber Security 利用两个漏洞使用了 TrueNAS Mini X。他们的链条也依赖于之前在比赛中发现的一个错误，但他们的演示获得了 20,000 美元和 2 个 Pwn 大师积分的奖励。 ·PHP Hooligans / Midnight Blue 利用整数溢出漏洞攻击 Lexmark 打印机，赢得了 10,000 美元和 2 个 Pwn 大师积分。 Viettel Cyber Security 因总共获得 33 个 Pwn 大师积分而荣获“Pwn 大师”奖。他们因 QNAP NAS、Sonos 扬声器和 Lexmark 打印机中出现的缺陷而获得了 205,000 美元的赔偿。 Pwn2Own 爱尔兰 2024 年最终排名 下一次 Pwn2Own 活动定于 2025 年 1 月 22 日在日本东京举行。该活动重点关注汽车行业，分为四个类别供参与者：特斯拉、车载信息娱乐系统 (IVI)、电动汽车充电器和操作系统。零日计划 (ZDI) 已发布有关成功利用的类别和奖金的详细信息。

诺基亚正在调查第三方供应商是否因黑客声称出售该公司被盗的源代码而遭到破坏的事件。该公司称一名未经授权的人称已获取某些第三方承包商数据，甚至可能是诺基亚的数据。诺基亚随后立即展开了调查。 迄今为止，根据调查结果来看尚未发现任何证据表明该司的任何系统或数据受到影响。 此前一个名为 IntelBroker 的恶意分子声称正在出售诺基亚源代码，这些源代码是在破坏第三方供应商的服务器后所获得的，可帮助他们开发一些内部工具。 IntelBroker 出售所谓的诺基亚源代码 IntelBroker 表示，被盗数据包含 SSH 密钥、源代码、RSA 密钥、BitBucket 登录信息、SMTP 帐户、Webhook 和硬编码凭据。 恶意分子表示他们使用默认凭据访问了第三方供应商的 SonarQube 服务器，从而允许他们下载客户的 Python 项目，包括属于诺基亚的项目。 有媒体与诺基亚共享了据称被盗数据的文件树，询问这些数据是否属于他们，但目前尚未收到回复。 此前 IntelBroker 曾入侵 DC Health Link 并在入侵后声名狼藉，与 IntelBroker 相关的其他网络安全事件还包括 Hewlett Packard Enterprise (HPE) 和 Weee 的违规事件。 最近，恶意分子泄露了许多公司的数据，包括 T-Mobile、AMD 和 Apple，这些数据是从第三方 SaaS 供应商处窃取的。

往期回顾： 2024.10.21—2024.10.27安全动态周回顾 2024.10.14—2024.10.20安全动态周回顾 2024.10.7—2024.10.13安全动态周回顾 2024.9.23—2024.9.29安全动态周回顾 2024.9.16—2024.9.22安全动态周回顾 2024.9.9—2024.9.15安全动态周回顾 2024.9.2—2024.9.8安全动态周回顾

近期，研究人员发布了一种工具，可以绕过 Google 新的 App-Bound 加密 cookie 盗窃防御，并从 Chrome 网络浏览器中提取保存的凭据。 该工具名为“Chrome-App-Bound-Encryption-Decryption”，由网络安全研究员 Alexander Hagenah 发现，其他人已经在找出类似的绕过方法。 尽管该工具实现了多个信息窃取者操作已添加到其恶意软件中的功能，但其公开可用性增加了继续在浏览器中存储敏感数据的 Chrome 用户的风险。 Google 的应用程序绑定加密问题 Google 在 7 月份推出了应用程序绑定（App-Bound）加密（Chrome 127）作为一种新的保护机制，该机制使用以 SYSTEM 权限运行的 Windows 服务来加密 cookie。 其目标是保护敏感信息免受 infostealer 恶意软件的侵害，该恶意软件在登录用户的权限下运行，使其无法在没有首先获得系统权限的情况下解密被盗的 cookie，并可能在安全软件中发出警报。 谷歌在 7 月份曾解释：“由于 App-Bound 服务是以系统权限运行的，攻击者需要做的不仅仅是诱骗用户运行恶意应用程序。现在，恶意软件必须获得系统权限，或者将代码注入 Chrome，这是合法软件不应该做的事情。” 然而，到了 9 月份，多个信息窃取者已经找到了绕过新安全功能的方法，并为他们的网络犯罪客户提供了再次窃取和解密 Google Chrome 敏感信息的能力。 信息窃取者开发人员与其工程师之间的“猫捉老鼠”游戏一直是意料之中，谷歌从未认为自己的防御机制会是无懈可击的。相反，随着应用程序绑定加密的引入，他们希望最终能为逐步构建更健全的系统奠定基础。 公开绕过 昨天，Hagenah 在 GitHub 上提供了他的 App-Bound 加密绕过工具，并共享源代码，允许任何人学习和编译该工具。 该工具使用 Chrome 内部基于 COM 的 IElevator 服务，解密存储在 Chrome 本地状态文件中的应用程序绑定加密密钥。提供了一种检索和解密这些密钥的方法，Chrome 通过应用程序绑定加密 (ABE) 来保护这些密钥，以防止未经授权访问 Cookie 等安全数据（以及未来可能的密码和支付信息）。 要使用该工具，用户必须将可执行文件复制到 Google Chrome 目录中，该目录通常位于 C:\Program Files\Google\Chrome\Application。 该文件夹受保护，因此用户必须首先获得管理员权限才能将可执行文件复制到该文件夹。 然而，这通常很容易实现，因为许多 Windows 用户（尤其是消费者）使用具有管理权限的帐户。 就其对 Chrome 安全性的实际影响而言，研究人员 g0njxa 表示，Hagenah 的工具展示了一种大多数信息窃取者现在已经超越的基本方法，可以从所有版本的 Google Chrome 中窃取 cookie。 eSentire 恶意软件分析师也证实，Hagenah 的方法看起来与谷歌首次在 Chrome 中实施应用程序绑定加密时信息窃取者所采用的早期绕过方法类似。 Lumma 也使用了这种方法——通过 COM 实例化 Chrome IElevator 接口来访问 Chrome 的 Elevation Service 来解密 cookie，但这可能会非常嘈杂且易于检测。现在，他们使用间接解密，而不直接与 Chrome 的高程服务交互。 不过，g0njxa 评论称，谷歌仍未赶上，因此使用新工具可以轻松窃取 Chrome 中存储的用户机密。 为了响应该工具的发布，Google 表示此代码 [xaitax] 需要管理员权限，这也表明已经成功提高了实现此类攻击所需的访问量。 虽然确实需要管理员权限，但它似乎并没有影响信息窃取恶意软件操作，这些恶意软件操作在过去六个月中只增加了，通过零日漏洞、对 GitHub 问题的虚假修复，甚至对堆栈溢出。

Redline 和 Meta 都是信息窃取者。作为一种恶意软件，可以从受感染设备上的浏览器窃取存储的信息，包括凭据、身份验证 cookie、浏览历史记录、敏感文档、SSH 密钥和加密货币钱包。这些数据随后被威胁者出售或用于助长大规模网络漏洞，从而导致数据盗窃、勒索软件攻击和网络间谍活动。 近期，荷兰国家警察在“马格努斯行动”中查获了 Redline 和 Meta infostealer 恶意软件操作的网络基础设施，并悉数掌握网络犯罪分子手中的数据。 此次行动在国际执法合作伙伴的帮助下进行，这些合作伙伴包括联邦调查局 (FBI)、海军罪案调查处 (NCIS)、美国司法部、欧洲司法组织 (Eurojust)、国家犯罪局 (NCA) 以及葡萄牙和比利时的警察部队。 目前该组织已经宣布针对 Redline 和 Meta 用户进行“最终更新”，提醒他们现在注意自己的帐户凭据、IP 地址、活动时间戳、注册详细信息等。 这表明调查人员掌握了可用于追踪使用该恶意软件的网络犯罪分子的证据，因此未来很可能会进行逮捕和起诉。 此外，当局声称他们可以访问这两种恶意软件的源代码，包括许可证服务器、REST-API 服务、面板、窃取程序二进制文件和 Telegram 机器人。 Meta 和 Redline 共享相同的基础设施，因此这两个项目背后可能有相同的创建者或运营者。Redline 和 Meta 都是通过 Telegram 上的机器人出售的，这些机器人现已被删除。 NCA 国家网络犯罪部门负责人、副主任 Paul Foster 表示：“这些服务得到了犯罪生态系统的支持，该生态系统包括一系列工具、基础设施、金融服务、市场和论坛，诸如此类的国际合作对于识别和消除该生态系统的各个要素至关重要，并最终使网络犯罪分子更难以实施。” 警方警告黑客 Emotet 僵尸网络遭到破坏后，荷兰警方在黑客论坛上创建了论坛帐户，以警告网络犯罪分子他们正在受到密切监控。 2022年RaidForums论坛被查封后，荷兰警方向RaidForums会员的未成年人发送电子邮件和信件，并亲自进行“制止”电话，警告他们的行为是非法的。 目前，荷兰警方正在采用与“马格努斯行动”相同的策略，创建论坛帐户并发送直接消息，警告威胁者他们正在受到密切监视。 XSS 黑客论坛上的“Operation Magnus”帖子 eSentire 威胁情报研究员还分享了荷兰警方向网络犯罪分子发送的直接消息的屏幕截图，警告他们这一行动。 网络安全的危害 在过去的几年中，信息窃取恶意软件已成为企业面临的一个大问题，因为被盗的凭据通常在暗网上出售或免费发布，以在黑客社区中获得声誉。 涉及信息窃取恶意软件的恶意活动已经变得越来越多，威胁者通过零日漏洞、虚假 VPN、GitHub 问题的虚假修复，甚至 StackOverflow 上来瞄准受害者。 Redline 是攻击中最常见的信息窃取程序之一，它于 2020 年推出，此后导致受害者的密码、身份验证 cookie、加密货币钱包和其他敏感数据广泛被盗。 Meta，又名 MetaStealer，是 2022 年宣布的一个较新的 Windows 信息窃取恶意软件项目，作为 Redline 的改进版本进行销售。从“Operation Magnus”的公告中，我们现在了解到 Meta 很可能是由与 Redline 相同的开发人员创建的。 值得注意的是，被破坏的 Meta 操作与针对 macOS 设备的 MetaStealer 恶意软件不同。 Redline 和 MetaStealer 在 2024 年总共窃取了 2.27 亿个凭证（唯一的电子邮件和密码对）。 记录的未来身份情报收集指标描绘了整个活动的可怕现象，表明 Redline 恶意软件自首次启动以来已窃取了近十亿个凭证。 Specops 和 KrakenLabs 的联合报告还指出，威胁者在短短六个月内就利用 Redline 窃取了超过 1.7 亿个密码。然后，这些被盗的凭据会被使用或出售给其他威胁者，作为网络攻击的一部分，以破坏企业网络。 被盗的凭证已被用来为近期一些最重大的违规行为提供了帮助，包括大规模的 Snowflake 数据盗窃攻击和 Change Healthcare 勒索软件攻击，这些攻击对美国医疗保健系统造成了巨大的破坏。

往期回顾： 2024.10.14—2024.10.20安全动态周回顾 2024.10.7—2024.10.13安全动态周回顾 2024.9.23—2024.9.29安全动态周回顾 2024.9.16—2024.9.22安全动态周回顾 2024.9.9—2024.9.15安全动态周回顾 2024.9.2—2024.9.8安全动态周回顾 2024.8.26—2024.9.1安全动态周回顾

Android 官方商店 Google Play 在一年内传播了 200 多个恶意应用程序，累计下载量接近 800 万次。 这些数据是由 Zscaler 的威胁情报研究人员在 2023 年 6 月至 2024 年 4 月期间收集的，他们识别并分析了 Google Play 和其他分发平台上的恶意软件家族。 研究人员在官方 Android 应用商店中发现的最常见威胁包括： ·Joker (38.2%)：信息窃取者和短信抓取器，为受害者订阅高级服务 ·Adware (35.9%)：消耗互联网带宽和电池来加载侵入性前台广告或后台隐形广告的应用程序，产生欺诈性广告印象 ·Facestealer (14.7%)：在合法社交媒体应用程序之上覆盖网络钓鱼表单的 Facebook 帐户凭据窃取程序 ·Coper (3.7%)：信息窃取程序和 SMS 消息拦截器，还可以执行键盘记录和覆盖网络钓鱼页面 ·Loanly Installer (2.3%) ·Harly ( 1.4%）：为受害者订阅高级服务的木马应用程序 ·Anatsa（0.9%）：Anatsa（或 Teabot）是一种银行木马，针对全球 650 多个银行应用程序 今年 5 月初，这些研究人员在 Google Play 上发现了 90 多个恶意应用程序，下载量为 550 万次。 尽管谷歌拥有检测恶意应用程序的安全机制，但威胁分子仍然有一些技巧来绕过验证过程。在去年的一份报告中，谷歌云安全团队描述了“版本控制”，这是一种通过应用程序更新或从攻击者控制的服务器加载恶意软件来传播恶意软件的方法。 无论使用何种方法通过 Google Play 传播恶意软件，某些活动都会比其他活动更成功。虽然 Zscaler 的报告重点关注更常见的 Android 恶意软件，但其他研究人员发现也有利用 Google Play 向数百万人分发恶意软件的活动。 在一个案例中，仅通过官方商店发布的两款应用程序，Android 版 Necro 恶意软件加载程序就被下载了 1100 万次。 在另一个案例中，Goldoson Android 恶意软件在 60 个合法应用程序中被检测到，这些应用程序的下载量累计达到 1 亿次。 去年，SpyLoan 在 Google Play 上的应用程序中被发现，下载量超过 1200 万次。 Zscaler ThreatLabz 发现的恶意应用程序中有近一半是在 Google Play 上发布的，属于工具、个性化、摄影、生产力和生活方式类别。 Google Play 上的恶意应用类型 就今年阻止的恶意软件而言，Zscaler 报告称，通过阻止交易来衡量，趋势显示整体下降。 ThreatLabz 平均每月记录 170 万个区块，在整个分析期间记录了 2000 万个区块，最常见的威胁是 Vultur、Hydra、Ermac、Anatsa、Coper 和 Nexus。 每月交易区块数 Zscaler 的移动威胁报告还显示，主要由 SpyLoan、SpinOK 和 SpyNote 系列驱动的间谍软件感染显著增加。 去年，该公司登记了 232,000 个间谍软件活动块。去年移动恶意软件攻击最多的国家是印度和美国，其次是加拿大、南非和荷兰。 报告显示，移动恶意软件主要针对教育行业，该行业被阻止的交易量增加了 136.8%。服务业增长40.9%，化工和采矿业增长24%。所有其他行业均出现普遍下滑。 去年移动恶意软件针对的行业 为了最大限度地减少被 Google Play 恶意软件感染的机会，建议用户阅读其他人的评论，了解报告的问题并检查应用程序发布者。 用户还应检查安装时请求的权限，如果应用程序所需的权限不适合其活动，则应中止该过程。 Google 已就 Zscaler 的调查结果发布评论表示，这些已识别的应用程序的恶意版本已不再出现在 Play 上。 Google Play Protect 会自动保护 Android 用户免受本报告中提到的已知恶意软件版本的侵害，该功能在具有 Google Play 服务的 Android 设备上默认处于开启状态。Google Play Protect 可以警告用户或阻止已知表现出恶意行为的应用程序，即使这些应用程序来自 Play 之外的来源。

CISA 表示，已发现威胁分子滥用未加密的持久性 F5 BIG-IP cookie 来识别和瞄准目标网络上的其他内部设备。 通过绘制内部设备图，威胁者可以潜在地识别网络上易受攻击的设备，作为网络攻击规划阶段的一部分。 据 CISA 表述，“恶意分子可以利用从未加密的持久性 cookie 收集的信息来推断或识别其他网络资源，并可能利用网络上其他设备中发现的漏洞。” F5 持久会话 cookie F5 BIG-IP 是一套应用程序交付和流量管理工具，用于负载平衡 Web 应用程序并提供安全性。其核心模块之一是本地流量管理器（LTM）模块，它提供流量管理和负载平衡，以在多个服务器之间分配网络流量。使用此功能，客户可以优化其负载平衡的服务器资源和高可用性。 产品中的本地流量管理器 (LTM) 模块使用持久性 cookie，通过每次将来自客户端（Web 浏览器）的流量引导到同一后端服务器来帮助维护会话一致性，这对于负载平衡至关重要。 “Cookie 持久性使用 HTTP cookie 强制执行持久性”F5 的文档解释道。 与所有持久模式一样，HTTP cookie 确保来自同一客户端的请求在 BIG-IP 系统最初对它们进行负载平衡后被定向到同一池成员。如果同一池成员不可用，系统会进行新的负载权衡决定。 这些 cookie 默认情况下未加密，可能是为了保持旧配置的操作完整性或出于性能考虑。从版本 11.5.0 及更高版本开始，管理员获得了一个新的“必需”选项来对所有 cookie 强制加密。 那些选择不启用它的人会面临安全风险。但是，这些 cookie 包含内部负载平衡服务器的编码 IP 地址、端口号和负载平衡设置。 多年来，网络安全研究人员一直在分享如何滥用未加密的 cookie 来查找以前隐藏的内部服务器或可能未知的暴露服务器，这些服务器可以扫描漏洞并用于破坏内部网络。还发布了一个 Chrome 扩展程序来解码这些 cookie，以帮助 BIG-IP 管理员排除连接故障。 据 CISA 称，威胁者已经在利用宽松的配置进行网络发现，并建议 F5 BIG-IP 管理员查看供应商有关如何加密这些持久 cookie 的说明。 请注意，“首选”配置选项会生成加密的 cookie，但也允许系统接受未加密的 cookie。可以在迁移阶段使用此设置，以允许先前发出的 cookie 在强制执行加密 cookie 之前继续工作。 当设置为“必需”时，所有持久 cookie 均使用强 AES-192 加密进行加密。据了解，F5 还开发了一种名为“BIG-IP iHealth”的诊断工具，旨在检测产品上的错误配置并向管理员发出警告。

往期回顾： 2024.10.7—2024.10.13安全动态周回顾 2024.9.23—2024.9.29安全动态周回顾 2024.9.16—2024.9.22安全动态周回顾 2024.9.9—2024.9.15安全动态周回顾 2024.9.2—2024.9.8安全动态周回顾 2024.8.26—2024.9.1安全动态周回顾 2024.8.19—2024.8.25安全动态周回顾