其他
20230621-5th域安全微讯早报-No.147
网络空间安全对抗资讯速递
2023年6月21日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-147 星期三
今日热点导读
1、拜登会见人工智能专家讨论监管和安全
2、MOVEit文件传输产品漏洞全球暴发之际要求白宫填补国家网络总监办公室最高职位的呼声越来越高
3、美国司法部新部门将专注于起诉民族国家网络犯罪
4、新的INDUS X计划旨在促进美国和印度的初创企业和国防技术合作
5、俄罗斯的“花式熊”黑客瞄准了乌克兰政府和军事组织
6、英国拟修改过时的网络犯罪法扩大管辖范围
7、约旦网络领导人启动网络安全框架开发
8、OT:Icefall:Wago控制器中发现的漏洞
9、Norton Parent称员工数据在MOVEit漏洞利用攻击中被盗10、递归AI训练对生成数据的质量和多样性存在退化影响11、新的Condi恶意软件利用TP-Link AX21路由器构建DDoS僵尸网络12、Zyxel警告NAS设备存在严重的命令注入漏洞13、供应链攻击:用于恶意有效负载的废弃S3存储桶14、超过10万台受感染设备将ChatGPT帐户泄露到暗网资讯详情
一位白宫官员周一(6月20日)宣布,将与拜登会面的特定专家将专门研究人工智能对工作和职业、偏见以及儿童问题的影响。这些重点领域代表了人工智能系统在进一步集成到技术网络和基础设施中时会产生影响的一些社会因素。“人工智能是总统及其团队的首要任务,”新闻稿中写道。“生成人工智能工具在过去几个月里显著增加,我们不想解决昨天的问题。”与会者来自不同的行业背景,包括Center for Human Technology的执行董事兼联合创始人Tristan Harris;Common Sense Media创始人兼首席执行官Jim Steyer;Rob Reich,斯坦福大学政治学教授;Joy Buolamwin,算法正义联盟创始人;李飞飞,斯坦福大学以人为本的人工智能研究所联合主任;艾伦人工智能研究所前首席执行官Oren Etzioni;可汗学院创始人兼首席执行官Sal Khan;和加州大学伯克利分校的化学教授Jennifer Doudna。讨论主题将围绕人工智能在缺乏联邦监管的情况下带来的社会风险,以及对“设计安全”软件开发方法的需求展开。这位官员表示,人工智能监管方面的更大进展预计将在“未来几周内”到来,白宫办公厅主任办公室将领导一系列“决定性行动”的制定。在采取一系列行政行动以帮助应用安全人工智能系统部署的最佳实践之后,这位官员证实,管理和预算办公室将发布新的联邦机构政策指南草案,这将有助于将公民自由置于人工智能技术使用的最前沿。这次会议是继拜登政府早些时候将领先的科技公司纳入围绕人工智能工具开发和部署的全国对话的努力之后,并于5月召集了顶级人工智能公司的首席执行官专题会议。这位官员表示,白宫的理想结果是技术领导者承诺帮助政府抵御新人工智能带来的这些挑战。https://www.nextgov.com/emerging-tech/2023/06/biden-meet-ai-experts-talk-regulation-and-safety/387666/
2、 MOVEit文件传输产品漏洞全球暴发之际要求白宫填补国家网络总监办公室最高职位的呼声越来越高
网络安全专家警告说,联邦政府潜在的网络领导真空可能会阻止机构恢复和应对已经暴露数百万美国人个人数据的大规模勒索软件攻击。网络安全和基础设施安全局的一名高级官员上周在与记者的电话中证实,一些联邦民用机构是一场广泛的网络攻击的受害者,该攻击利用了Progress Software开发的流行MOVEit文件传输产品中发现的漏洞。据信,这次攻击是由CL0p实施的,这是一个与俄罗斯有联系的勒索软件团伙,也被称为TA505。自从首次报道全球攻击的消息以来,各种联邦和州机构、银行和私营部门组织也确认他们是受害者,数百万客户的数据可能已被盗。国家网络总监办公室是根据2021财年《国防授权法》成立的,主要是为了在整个联邦政府范围内就网络安全事务提供协调和指导。Chris Inglis是首位参议院确认的国家网络总监,在帮助制定今年早些时候发布的新国家网络战略后于2月辞职。乔·拜登总统尚未提名替代人选来填补该职位。ONCD前幕僚长约翰·科斯特洛(John Costello)告诉Nextgov/FCW,网络战略中概述的路径将有助于减少针对联邦政府的成功网络攻击的频率和影响——“但前提是该战略得到全面实施。”“自从Chris Inglis于2月离职以来,总统没有任命一位新的国家网络主管来领导这项工作,这是一个令人担忧的疏忽,如果我们希望长期建立一个更具弹性的网络生态系统,就需要解决这个问题,”科斯特洛说。立法者上个月在给总统的一封信中警告说,他们“非常关注”空缺的网络角色,并鼓励他提名代理国家网络总监Kemba Walden,称她是“经过验证的、有远见的领导者,可以无缝地进入网络今天的永久职位。”
https://www.nextgov.com/cybersecurity/2023/06/vacant-white-house-cyber-post-draws-concern-amid-global-software-breach/387703/
3、美国司法部新部门将专注于起诉民族国家网络犯罪
美国司法部一名高级官员周二(21日)宣布,该部将在其国家安全司中增加一个新部门,该部门将专注于起诉恶意外国网络活动,因为该部门寻求在打击来自国外的数字威胁方面发挥更积极的作用。该部门负责人助理司法部长马修奥尔森在华盛顿胡佛研究所的一次活动中表示,该实体将允许该部门“增加我们的破坏活动的规模和速度,以及对民族国家网络威胁和国家支持的网络犯罪分子的起诉”。该部门刑事部门的计算机犯罪部门将继续存在。新的国家安全网络部门将拥有检察官,他们“一旦FBI或[情报界]合作伙伴发现网络威胁,我们将能够迅速采取行动,我们将能够支持调查和破坏,”他补充说,注意到这项努力处于“早期阶段”。司法部决定将网络与该部门的三个现有部门置于同等地位之际,司法部已经加大了打击僵尸网络、遏制或消除恶意软件爆发以及在全球范围内追捕数字犯罪分子的努力。上个月美国和国际当局宣布他们已经完成了一项行动,以破坏俄罗斯黑客使用了近二十年的复杂恶意软件植入程序,这是司法部采取更积极做法的一个例子。今年早些时候,司法部和联邦调查局宣布他们已经拆除了臭名昭著的Hive勒索软件组织的基础设施。奥尔森表示,尽管取得了这些和其他成功,但司法部一直“在某种程度上超越了我们的重量级”。奥尔森没有说明新部门的预算是多少,也没有说明最终将有多少检察官加入其名册。他表示,该部门将“反映”FBI网络部门的结构,其领导层按地理威胁组织。反过来,这将使官员们能够发展更深入的专业知识,并更快地识别不同威胁行为者使用的工具类型,并启动针对他们的潜在法律行动。
https://therecord.media/doj-national-security-division-new-cybercrimes-section
4、新的INDUS X计划旨在促进美国和印度的初创企业和国防技术合作
一项新的美印国防合作计划将于周三(21日)正式启动,旨在更紧密地连接两国的国家创新基地,并促进新兴技术与军事应用的共同追求。INDUS X 的一个重点将是加速美国和印度军队获取商业技术并协助初创企业。“除了我们在政府对政府方面所做的工作外,现实情况是,就技术合作而言,真正的转型机会目前正在我们各自的私营部门中发生,在那里美国和印度在创新方面确实处于领先地位。因此,作为国防部,我们正在寻找方法,我们可以超越常规的政府间合作,真正将双方正在开发的一些尖端商业和军民两用技术更快地引入我们各自的领域系统,”一位美国高级国防官员周二(20日)在五角大楼的背景简报会上告诉记者。五角大楼的高级官员——包括采购主管William LaPlante、空军部长Frank Kendall、国防创新部门主管Doug Beck、小企业项目办公室主任Farooq Mitha等——以及印度国防部预计将出席美国商会周三正式启动。这次启动活动将真正探讨在许多新兴领域中,广泛的利益相关者——包括私营部门、研究和学术机构——在未来可以合作的方式。预计周三的会议将包括发起针对军民两用应用的“联合挑战”,建立一个联合工作组来指导更广泛的“国防创新桥梁”倡议下的活动,以及提议设立一个联合创新基金来援助根据美国商会INDUS X情况说明书,公私合作模式下的初创公司。通过INDUS X,官员们希望促进初创企业和国防巨头之间的导师-门徒关系,他们可以合作推进与军事相关的技术,例如一家小型印度初创企业拥有可以集成到美国大型平台的利基技术。
https://defensescoop.com/2023/06/20/new-indus-x-initiative-aims-to-boost-us-and-indian-startups-promote-defense-tech-collaboration/
5、俄罗斯的“花式熊”黑客瞄准了乌克兰政府和军事组织
乌克兰网络机构周二(21日)报道,自莫斯科开始入侵其邻国以来,臭名昭著的俄罗斯军事网络组织的黑客将目标对准了乌克兰政府和一家涉及军用航空的公司。APT28对2016年美国总统大选期间美国民主党全国委员会的袭击和世界反兴奋剂机构的违规行为负有责任。新的活动针对地区检察官办公室、未公开的乌克兰行政当局、其他政府实体和参与军用飞机基础设施升级和新的组织的电子邮件收件箱。鱼叉式网络钓鱼活动利用有关俄罗斯入侵乌克兰的消息诱使受害者打开恶意电子邮件。据Insikt研究人员称,它“可能旨在使军事情报收集能够支持俄罗斯入侵乌克兰”。一旦打开,设备就会立即受到损害,受害者无需处理添加到电子邮件中的附件。网络攻击利用了Roundcube的Webmail服务中的三个漏洞。研究人员指出,电子邮件活动至少从2021年11月开始运作。网络钓鱼电子邮件包含恶意脚本,可以“将受害者未来收到的电子邮件重定向到攻击者控制的电子邮件地址”,并允许黑客监视受害者的收件箱。黑客还可以从收件箱中窃取数据,包括受害者的通讯录等。前奥巴马政府网络安全顾问汤姆凯勒曼表示,“自2013年以来,APT28一直在乌克兰网络空间进行狩猎。”“这种入侵很严重,我担心他们可能会升级并使用擦除器来利用系统性破坏性攻击,”他说。Insikt Group表示,APT28黑客特别表现出长期以来对收集乌克兰和整个欧洲政府和军事组织情报的兴趣。
https://therecord.media/russia-fancy-bear-hackers-targeted-ukraine
6、英国拟修改过时的网络犯罪法扩大管辖范围
英国立法者正在讨论更新网络犯罪法的必要性,该法的当前版本现在老生常谈地干扰了对黑客和其他网络入侵者的有效打击。在20日的国家安全战略议会听证会上,专家们表达了这一观点。1990年的《计算机滥用法》禁止未经授权访问、损坏或破坏计算机系统和数据。然而,英国国家犯罪署总干事格雷厄姆比加尔说,法律并未将数据盗窃定为犯罪。“目前,数据盗窃不是犯罪,或者至少在我们可以有效使用它的意义上不是犯罪。如果是数据,非法处理赃物也不构成犯罪。这些都是我们调查和打击犯罪的严重障碍,”比格说。发言人还呼吁赋予英国当局更大的权力来起诉外国网络犯罪分子。根据现行法律,管辖权仅限于英国公民或使用英国基础设施的人。作为这种限制的一个例子,Biggar引用了 最近对七名被指控开发和运行 TrickBot恶意软件的俄罗斯人的制裁。比加尔说:“我们目前无法对身在海外、不是英国公民且未在攻击中使用英国基础设施的罪犯发出逮捕令,”这显然暗示仅对此类网络入侵者实施制裁是不够的。法律修正案将允许国家犯罪署和其他英国联邦机构获得对被列入国际刑警组织通缉名单并可能被引渡到英国受审的罪犯的刑事逮捕令。反过来,网络安全专家正在推动修改该法律,根据禁止未经授权访问计算机系统的法律,将漏洞搜索和渗透测试从刑事犯罪清单中删除。尽管英国国防部早在2020年就确认不会起诉遵守其披露政策的研究人员,但如果将这一点直接写入法律,专家们会更放心。
https://www.securitylab.ru/news/539172.php
7、约旦网络领导人启动网络安全框架开发
约旦国家网络安全中心发布了国家网络安全框架的拟议草案。随着咨询期的开始,该中心发言人Bassam Maharmeh表示,该草案包含了一系列机构必须采用和实施的程序、控制、机制和标准。框架目的是与国际惯例保持同步,在国家层面为所有公共和私营机构开发网络安全防御系统。它还将作为有效应对网络威胁的指南,并减轻“通过发展机构的技术、人力和管理能力实现各种网络风险所产生的影响”。据约旦新闻报道,其目标是加强约旦网络系统的安全并提升信息保护水平。虽然该框架将执行强制性标准,但Maharmeh表示,网络安全中心积极参与起草立法、控制和监管框架,以减轻网络攻击。
https://www.darkreading.com/dr-global/jordanian-cyber-leaders-cybersecurity-framework-development
8、OT:Icefall:Wago控制器中发现的漏洞
Forescout Technologies披露了影响Wago和施耐德电气运营技术(OT)产品的三个漏洞的详细信息。这些缺陷被确定为OT:Icefall研究的一部分,该研究已导致公开披露影响13家供应商的100多种OT产品的61个漏洞。在2022年6月披露了最初的5 个漏洞后,Forescou于2022年11月分享了另外三个漏洞的详细信息,现在将两个新漏洞添加到列表中,同时还分享了有关先前发现但未披露的问题的信息。Forescout表示,这些新漏洞被追踪为CVE-2023-1619和CVE-2023-1620,影响使用Codesys v2运行时的Wago 750控制器,并且可能被经过身份验证的攻击者利用以导致拒绝服务(DoS)情况。第一个问题是协议解析器实施不当的结果,而第二个问题是会话过期不足的错误。经过身份验证的攻击者可以利用这两个缺陷使设备崩溃,方法是在注销后分别发送格式错误的数据包或特定请求。Forescout解释说,在这两种情况下,将设备恢复到运行状态都需要手动重启。Wago 750自动化控制器用于商业设施、能源、制造和运输,支持多种协议,包括BACnet/IP、CANopen、DeviceNet Ethernet/IP、KNX、LonWorks、Modbus和PROFIBUS。Forescout还分享了施耐德电气ION和PowerLogic产品线中一个高危漏洞的详细信息,该漏洞已在第一组OT:Icefall漏洞中发现,但应供应商的要求并未公开。该问题被追踪为CVE-2022-46680,影响电表的ION/TCP协议实施,该协议在每条消息中以明文形式传输用户ID和口令,从而将它们暴露给可以被动拦截流量的攻击者。这些设备不应该从互联网上访问,但Forescout表示,它已经确定了2,000到4,000台可能独特的设备暴露在网上。
https://www.securityweek.com/oticefall-vulnerabilities-identified-in-wago-controllers/
9、Norton Parent称员工数据在MOVEit漏洞利用攻击中被盗
Gen Digital(纳斯达克股票代码:GEN)是Avast、Avira、AVG、Norton和LifeLock等知名网络安全品牌背后的公司,已确认员工的个人信息在最近的MOVEit勒索软件攻击中遭到泄露。该攻击利用了Progress Software于5月31日披露的MOVEit Transfer管理文件传输(MFT)软件中的零日漏洞。该漏洞被跟踪为 CVE-2023-34362并被描述为严重SQL注入,该漏洞的大规模利用于5月下旬开始,但有证据表明,攻击者自2021年以来就知道该漏洞或对其进行了测试。Cl0p勒索软件团伙发起了一场针对零日漏洞的利用活动,该团伙公开了一些受害者的名字。超过100个组织受到针对零日漏洞的攻击的影响。Cl0p之前曾利用GoAnywhere MFT软件中的零日漏洞从众多组织中窃取数据,网络安全分析师和安全研究员Dominic Alvieri周一(20日)警告称,Cl0p已将诺顿LifeLock添加到其泄漏站点。在回应SecurityWeek 的询问时,Gen证实了勒索软件攻击的影响,并透露攻击者泄露了员工的个人信息,包括姓名、地址、出生日期和公司电子邮件地址。“我们使用MOVEit进行文件传输,并修复了系统中的所有已知漏洞。当我们得知此事后,立即采取行动保护我们的环境并调查潜在影响。已经确认,我们的核心IT系统和服务没有受到影响,也没有客户或合作伙伴的数据被泄露。不幸的是,Gen员工和临时工的一些个人信息受到了影响,其中包括姓名、公司电子邮件地址、员工ID号以及在某些有限情况下的家庭住址和出生日期等信息。在MOVEit零日漏洞披露之后,MFT软件中又发现了两个严重的SQL注入漏洞,即CVE-2023-35036和CVE-2023-35708。虽然迄今为止它们都没有在攻击中被利用,但Progress Software已敦促客户尽快为它们应用补丁,以防止未经授权访问 MOVEit Transfer环境。
https://www.securityweek.com/norton-parent-says-employee-data-stolen-in-moveit-ransomware-attack/
10、递归AI训练对生成数据的质量和多样性存在退化影响
英国和加拿大的研究人员警告说,在其他人工智能模型生成的数据上训练人工智能(AI)模型存在危险。在arXiv.org上发表的一篇题为“递归的诅咒:从生成的数据中学习使模型忘记”的文章中,他们表明这种方法会导致这些数据的质量和真实性逐渐恶化,并最终导致“模型崩溃” 。模型崩溃是一个退化的过程,随着时间的推移,模型会忘记数据的真实分布,并开始曲解他们认为真实的东西,从而强化他们自己的信念。这种现象让人想起灾难性遗忘和数据中毒,它们也会对人工智能学习产生负面影响。在灾难性遗忘中,模型在学习新信息时“忘记”了以前的数据。数据中毒是将虚假信息恶意引入数据源。该文章的作者对文本和图形AI模型进行了实验,发现对其他模型生成的数据进行训练会导致生成数据的质量迅速下降。“我们惊讶地看到模型崩溃的速度有多快:模型可以很快忘记它们最初从中学习的大部分输入数据,”该文章的作者之一、来自牛津大学的Ilya Shumailov 说。出现这种行为的原因是AI模型倾向于过度拟合流行数据并误解或代表不太流行的数据。结果,数据集中不太受欢迎或罕见事件的表示减少了。正如剑桥大学和爱丁堡大学的同事罗斯安德森所说,“正如我们在海洋中散布塑料垃圾,让大气中充满二氧化碳一样,我们也会让互联网充满废话。”研究人员提供了几种方法来应对模型的崩溃。其中一是保留原始的、人造的数据,用于训练未来的模型;二是考虑数据集中的少数和罕见事件;三是控制人工智能训练所用数据的质量和来源。否则,互联网会变成一大堆无用的数字噪音。
https://www.securitylab.ru/news/539159.php
11、新的Condi恶意软件利用TP-Link AX21路由器构建DDoS僵尸网络
2023年5月出现了一个名为“Condi”的新型DDoS即服务僵尸网络,它利用TP-Link Archer AX21(AX1800) Wi-Fi路由器中的一个漏洞组建了一个机器人大军来进行攻击。AX1800是一款流行的基于Linux的双频 (2.4GHz+5GHz)Wi-Fi 6路由器,带宽为1.8Gbps,主要供家庭用户、小型办公室、商店、咖啡馆等使用。Condi旨在招募新设备来创建强大的DDoS(分布式拒绝服务)僵尸网络,可以租用这些设备对网站和服务发起攻击。此外,Condi背后的威胁行为者出售恶意软件的源代码,这是一种异常激进的货币化方法,注定会导致许多具有不同功能的项目分叉。20日发布的一份新的Fortinet报告解释说,Condi的目标是CVE-2023-1389,这是路由器Web管理界面API中的高严重性未经身份验证的命令注入和远程代码执行漏洞。ZDI发现了该漏洞并于2023年1月向网络设备供应商报告,TP-Link在3月发布了安全更新版本1.1.4 Build 20230219。Condi是继Mirai于4月底利用该漏洞之后的第二个针对此漏洞的DDoS僵尸网络。为了应对攻击重叠,Condi有一种机制可以尝试杀死属于已知竞争对手僵尸网络的任何进程。同时,它也会停止自身的旧版本。为了传播到易受攻击的TP-Link路由器,恶意软件会扫描具有开放端口80或8080的公共IP,并发送硬编码利用请求来下载和执行感染新设备的远程shell脚本。Fortinet提到,虽然它分析的样本包含CVE-2023-1389,但它也观察到其他Condi样本使用不同的缺陷进行传播,因此其作者或操作员可以在这方面进行试验。Condi的DDoS攻击能力不容忽视,该恶意软件支持与Mirai类似的各种TCP和UDP泛洪方法。
https://www.bleepingcomputer.com/news/security/new-condi-malware-builds-ddos-botnet-out-of-tp-link-ax21-routers/
12、Zyxel警告NAS设备存在严重的命令注入漏洞
Zyxel警告其NAS(网络附加存储)设备用户更新他们的固件以修复严重命令注入漏洞。新发现的漏洞CVE-2023-27992是一个预身份验证命令注入问题,可能允许未经身份验证的攻击者通过发送特制的HTTP请求来执行操作系统命令。该漏洞由Andrej Zaujec、NCSC-FI和Maxim Suslov发现,并获得了CVSS v3 9.8分,评级为“严重”。受影响的设备、固件版本和修补版本是:NAS326–影响V5.21(AAZF.13)C0 及更早版本,已在V5.21(AAZF.14)C0中修复;NAS540–影响 V5.21(AATB.10)C0 及更早版本,已在V5.21(AATB.11)C0 中修复;NAS542–影响 V5.21(ABAG.10)C0 及更早版本,已在V5.21(ABAG.11)C0 中修复。Zyxel在其最新公告中未提供针对CVE-2023-27992的解决方法或缓解措施 ,因此建议受影响NAS设备的用户尽快应用可用的安全更新。BleepingCompute还强烈建议所有NAS所有者不要将他们的设备暴露在互联网上,并让他们只能从本地网络或通过 VPN访问。简单地将NAS设备放在防火墙后面将大大减少其暴露于新漏洞的风险,因为威胁参与者无法轻易将其作为目标。目前,恶意HTTP请求的复杂性以及利用新漏洞的其他条件尚不清楚。然而,利用不需要身份验证这一事实使得此缺陷更容易被利用。黑客一直在Zyxel设备上寻找可以被远程利用的严重缺陷,并迅速采用公开可用的PoC(概念验证)漏洞来攻击尚未修补到安全固件版本的设备。NAS设备还是勒索软件操作特别诱人的目标,这些操作远程利用漏洞来加密文件并发出勒索要求。
https://www.bleepingcomputer.com/news/security/zyxel-warns-of-critical-command-injection-flaw-in-nas-devices/
13、供应链攻击:用于恶意有效负载的废弃S3存储桶
Checkmarx研究员兼软件工程师Guy Nachshon在6月15日发表的博文中指出,被劫持的S3存储桶或托管源已成为真正的威胁,因为对手可以利用它们进行“数据窃取和入侵”。Nachshon观察到一种独特的软件供应链攻击,这种攻击依赖于放弃一个活跃的AWS S3存储桶。攻击者的身份尚未确定,但他们的作案手法已被曝光。根据Nachshon的说法,威胁行为者可以抓住废弃的S3存储桶来启动恶意二进制文件,并从设备中窃取登录凭据、本地主机名和机器环境变量,并将信息泄露给攻击者。这个问题是在名为“Bignum”的NPM包中观察到的,在0.13.0版本之前,它依赖于AWS S3存储桶来下载名为node-pre-gyp的插件的预构建二进制版本。如果二进制文件托管在S3存储桶上,则会在安装阶段下载该文件。但是,当它没有到达存储桶时,问题就出现了,软件开始在本地搜索二进制文件。“如果一个包引用了来自云上域的文件(有多个包管理器只能通过这样做来工作),如果维护者放弃了该域或没有完成付款,攻击者就可以接管他的域,没有人会知道——导致包裹被感染。”被遗弃的S3存储桶仍在现有软件中用作分发点,攻击者注意到了这一点。他们创建了一个同名的新S3存储桶,并将二进制包替换为恶意包,该包可以窃取用户数据并将其传输到外部位置,同时隐藏攻击者的身份。Checkmarx的报告中写道:“虽然这种特定的风险得到了缓解,但快速浏览一下开源生态系统就会发现,数十个软件包都容易受到同样的攻击。”这种攻击会影响软件二进制文件、IP 地址、域名、废弃的子域,甚至外部引用的JavaScript库的分布。
https://www.hackread.com/supply-chain-attack-abandoned-s3-buckets/
14、超过10万台受感染设备将ChatGPT帐户泄露到暗网
去年,至少有100,000台被各种信息窃取恶意软件感染的设备将ChatGPT凭据泄露给了暗网。信息窃取者几乎可以收集任何东西:有关目标机器的信息、cookie和浏览器历史记录、文档等。通常情况下,黑客不仅通过自己利用它,而且通过在暗网上转售它来从这种赏金中获利。例如,在线市场定期传输包含受害者的流行应用程序帐户凭据的日志。从2022年6月到上个月,网络安全公司Group-IB跟踪了这些待售日志中有多少暴露了ChatGPT帐户。总共有101,134个。对这些泄漏负有压倒性责任的恶意软件是Raccoon,这是臭名昭著的俄罗斯设计工具,于2019年首次被发现。浣熊行动在其创建者去世后于去年年初短暂关闭,但三个月后又恢复了新的和改进。从那时起,至少有78,348台设备泄露了ChatGPT凭据。除了Raccoon,研究人员还追踪了12,984份归因于Vidar的载有GPT的日志,以及6,773份归因于Redline的日志。在整个样本量中,只有不到5,000 台受感染设备被追踪到北美。多数起源于亚太地区,最大的违规者是印度(12,632)和巴基斯坦(9,217)。许多ChatGPT凭据暴露的其他国家/地区包括巴西(6,531)、越南 (4,771)和埃及(4,558)。ChatGPT凭据泄露仅仅是冰山一角。2022年12月——ChatGPT向公众开放的第一个月——研究人员追踪了2,766个暗网窃取者日志,其中包含被盗账户。这个数字在接下来的一个月超过了11,000,并在两个月后翻了一番。到今年5月,这个数字高达26,802。
https://www.darkreading.com/application-security/100k-infected-devices-leak-chatgpt-accounts-dark-web
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement