20230714-5th域安全微讯早报-NO.167
网络空间安全对抗资讯速递
2023年7月14日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-167 星期五
今日热点导读
9、2023年上半年USB驱动器恶意软件攻击再次激增10、针对罗克韦尔自动化漏洞的APT攻击威胁关键基础设施
11、虚假POC使渗透测试人员成为自己工具的受害者
12、Word漏洞在复活的LokiBot木马手中变得栩栩如生13、立陶宛警方对北约2023年峰会期间成员国秘密数据泄露事件展开调查14、WormGPT网络犯罪工具预示着人工智能恶意软件与人工智能防御的时代
资讯详情
1、白宫新的网络实施计划旨在增强弹性
美国政府周四(7月13日)公布了一份名为“国家网络安全战略实施计划”(NCSIP)的路线图,以确保透明度和持续的协调路径,以实现其三月份的国家网络安全战略。该计划包含超过65项“高影响力举措”,每项都分配给指定机构,与今年早些时候发布的网络安全战略的五个支柱相一致:保卫关键基础设施、扰乱和瓦解威胁行为者、塑造市场力量推动安全并投资于有弹性的未来。网络安全和基础设施安全局将领导公私合作伙伴关系,并扩大这些合作努力,以推动设计安全和默认安全技术的开发和采用。国防部的任务是发布更新的全部门网络战略,重点关注“民族国家和其他恶意行为者所带来的挑战,这些行为者的能力或活动构成了战略级威胁”。该计划还要求司法部提高针对网络犯罪分子和民族国家对手的破坏活动的速度和数量,并责成情报界的多个实体牵头制定“选项菜单”以协调和执行中断操作。该计划出台之际,人们越来越担心各机构缺乏资源和人员来成功实现国家网络战略中概述的目标,而行业团体越来越多地呼吁白宫在前国家网络总监克里斯·英格利斯退休后提名继任者。7月12日,网络安全联盟和其他致力于改善国家网络态势的组织致函白宫,警告称联邦领导真空可能“阻碍国家网络战略的实施,并危及 ONCD 的有效性”。ONCD的一名官员周三(7月12日)表示,缺少常任董事并没有“对办公室的业务产生任何不利影响”,并补充道:“目前的人事问题似乎没有产生任何影响。”白宫高级官员周三还证实,该计划将要求联邦政府建立物联网安全标签计划。这项工作将由国家安全委员会领导,预计将于今年年底完成。该计划还旨在将减轻网络风险的负担从普通公民转移到最有能力和最有利的实体,如主要软件提供商和私营公司,同时增加有利于网络安全长期投资的激励措施。为了进一步保卫国家的关键基础设施,该计划要求 CISA 牵头更新国家网络事件响应计划。该计划还要求 CISA 和 FBI 合作阻止勒索软件攻击,包括为医院和学校系统等高风险目标提供攻击前规划和事件响应资源。
https://www.nextgov.com/cybersecurity/2023/07/new-white-house-cyber-implementation-plan-looks-ramp-resilience/388450/
2、白宫新的网络计划排除了数字身份行动项目
白宫的国家网络安全战略实施计划有69项举措供各机构执行,但缺乏任何有关数字身份的行动项目,这让希望采取行动的利益相关者感到震惊。“英国人发明了‘目瞪口呆’这个词来形容这样的事情,”长期数字身份专家杰里米·格兰特(Jeremy Grant)告诉Nextgov/FCW,他曾在国家标准与技术研究所工作,现在负责更好的身份联盟兴趣小组。该战略于三月份发布,将“支持数字身份生态系统的发展”作为战略目标,并预览了政府对数字身份解决方案的投资,例如提供属性验证服务、更新标准和开发数字身份平台。但正如国家网络代理总监肯巴·瓦尔登 (Kemba Walden) 在向记者通报的情况中所称,新的“路线图”不包括任何有关数字身份的内容,这是除了数据隐私之外唯一未提及的目标。当被问及缺席的情况时,一位高级政府官员告诉记者:“这是一份迭代文件,所以仅仅因为你今天没有看到与战略目标相关的举措,并不意味着它下次不会出现。” 他们表示,白宫目前在数字身份方面的努力将来自于围绕数字身份和欺诈进行的其他持续努力。这位官员表示:“你已经听说过……政府多次谈论在身份欺诈和打击身份欺诈的背景下开展数字身份行动的工作,而这从根本上来说是目前占据这一空间的原因。” “政府致力于在该领域采取行动,这仍然是决策前的活动,但我们预计身份欺诈工作的后续行动将纳入实施计划的未来迭代中。”拜登总统在2022年国情咨文演讲中首次承诺就该主题发布行政命令,但尚未兑现。
https://www.nextgov.com/cybersecurity/2023/07/new-white-house-cyber-plan-leaves-digital-identity-action-items-out/388466/
3、报告披露与白俄罗斯有关的针对乌克兰和波兰的黑客攻击
研究人员发布了有关针对乌克兰和波兰政府机构、军事组织和民间实体的恶意活动的新信息。根据网络安全公司Cisco Talos发布的一份新报告,至少从2022年4月到本月,黑客试图渗透受害者的设备以窃取信息并获得永久远程访问权限。研究人员没有透露攻击的影响程度。思科Talos 指出,乌克兰计算机紧急响应小组(CERT-UA)最近将7月份的事件归咎于黑客组织UNC1151,也称为GhostWriter,该组织与白俄罗斯政府有联系。CERT-UA的报告并未包含有关7月之前攻击的信息。GhostWriter之前曾针对乌克兰军事人员和波兰政府部门。该组织主要进行网络钓鱼活动,窃取电子邮件登录凭据、破坏网站并传播恶意软件。在Talos跟踪的活动中,黑客使用多级感染链进入目标系统。研究人员表示,首先,他们发送恶意Microsoft Office电子邮件附件,主要使用Microsoft Excel和PowerPoint文件格式。这些文件模仿了似乎由乌克兰国防部、波兰国防部和乌克兰国家财政部等机构发送的文件。PowerPoint文件打开时不会显示任何实际幻灯片,但仍会执行恶意代码。研究人员认为,黑客对PowerPoint文件的使用表明他们正在尝试攻击中不太常用的文件格式。攻击的下一阶段是部署名为PicassoLoader的下载器恶意软件,该恶意软件会启动最终的有效负载,包括AgentTesla远程访问木马(RAT)、Cobalt Strike信标和另一个名为njRAT的木马。研究人员表示,这些有效负载用于信息盗窃和远程访问受感染的系统。
https://therecord.media/poland-ukraine-ghostwriter-attacks-belarus
4、挪威难民委员会遭受网络攻击
挪威难民委员会(NRC)周四(7月13日)宣布,最近发现了针对存储项目参与者个人信息的在线数据库的网络攻击。NRC表示,它立即暂停了数据库,以保护数据并防止进一步的攻击。他们还发起了外部取证调查,以确定网络攻击的范围和影响。该机构没有提供有关攻击方法或实施者的详细信息。NRC没有立即回应置评请求。该组织在一份声明中表示:“保护项目参与者的数据对我们来说至关重要。” “决不能针对需要人道主义援助的弱势群体的个人信息。”NRC总部位于奥斯陆,是一个人道主义非政府组织,致力于保护受流离失所影响的人们的权利。挪威政府表示,2022年将安置超过32,000名难民,这一数字创历史新高,部分原因是乌克兰战争。这并不是黑客第一次针对人道主义组织。今年二月,波兰、立陶宛和英国的乌克兰难民成为旨在窃取个人数据的虚假信息活动的目标。2022年1月,红十字国际委员会成为网络攻击的受害者,黑客窃取了超过515,000名极度弱势群体的数据,其中包括因冲突、移民和灾难而与家人失散的人、失踪人员及其家人和被拘留的人。
https://therecord.media/norwegian-refugee-council-hit-by-cyberattack
5、美国国家安全局/网络司令部提名人称第702条“不可替代”
拜登政府提名的美国网络司令部和国家安全局领导者首次就有争议的监控计划、加密和其他热点网络安全问题发表了公开见解。周三(7月12日),空军中将蒂莫西·豪 (Timothy Haugh)与白宫任命的负责联邦反情报工作的人一起作证,他在参议院情报委员会举行的首次确认听证会上轻松通过。他必须在本月某个时候再次出席参议院军事委员会,该委员会对霍的提名拥有管辖权。第一场会议主要集中讨论豪将如何领导世界上最大的情报机构国家安全局。以下是双重功能的亮点:两党参议员反复询问豪对政府正在努力更新的即将到期的监视法的看法。该法律属于《外国情报监视法》第702条,旨在保护美国免受来自外国的网络攻击,并提供情报以应对一系列国家安全威胁。“根据我的经验,这绝对是必要的,”豪说。“它被广泛使用,对于情报界来说是不可替代的权威。”他后来补充说,总统每日简报(每天向总司令提供的高级分析集合)中 100%的项目均包含来自信号情报的输入,其中包含702条“反思”。关于加密,参议院主要隐私鹰派之一参议员罗恩·怀登(D-OR)敦促豪发誓,电子间谍机构不会寻求在设备或软件中插入后门,或以其他方式寻求削弱加密技术。豪说,加密“对于保卫我们的国家安全系统和武器系统至关重要”。“如果得到证实,我们不会削弱美国人的加密。”
https://therecord.media/haugh-nsa-cyber-command-nominee-testifies-section-702
6、QuickBlox框架中的API缺陷暴露了数百万用户的PII
对广泛使用的QuickBlox SDK和API的研究发现了远程医疗、智能物联网和金融等行业使用的聊天和视频应用程序中内置的关键漏洞。Claroty Team82和Check Point Research(CPR)的研究人员开发了PoC,证明这些漏洞威胁着数百万用户的个人信息。他们发现他们可以访问智能对讲机并远程开门,或者从远程医疗应用程序泄露患者数据。使用QuickBlox框架的开发人员必须首先创建一个QuickBlox帐户。这提供了将用于应用程序的凭据以及用于进一步API请求的QB令牌。当应用程序检索QB令牌时,用户使用应用程序会话和用户凭据登录。然而,该过程要求用户知道应用程序凭据——这些凭据通常只是简单地插入到应用程序中并很容易被攻击者提取。谈到API,“我们在QuickBlox API中发现了一些关键漏洞,攻击者可能会利用这些漏洞从许多流行的应用程序中泄露用户数据库,”研究人员报告道。他们发现任何拥有应用程序级会话的人都可以获取用户列表、检索PII并生成多个攻击者控制的帐户。通过Google dorking和BeVigil等搜索引擎,研究人员随后找到了数十个使用相同 QuickBlox框架且存在相同漏洞的其他应用程序。在某些应用程序中提取密钥比其他应用程序更困难(通过加密或代码混淆),但研究人员断言,“开发人员只能设置障碍,使应用程序密钥的恢复变得复杂;攻击者总是可以访问它,无论提取需要五分钟还是两个小时。”研究人员研究了如何将他们的发现用于包含QuickBlox的不同应用程序。他们提供了Rozcom的案例研究,这是一家总部位于以色列的建筑入口视频对讲提供商。他们单独调查Rozcom移动应用程序,发现了其他漏洞,并发现用户ID是通过连接单个建筑物ID和用户电话号码生成的。攻击者可以轻松地代表任何用户登录并在一定程度上使用应用程序的功能。这使他们能够打开门、打开视频流等等;他们现在可以完全远程控制对讲设备。在远程医疗应用程序(未命名,因为在撰写本文时仍然存在漏洞)上使用相同的方法,研究人员发现他们可以利用 QuickBlox 漏洞代表任何用户(无论是患者还是医生)登录。他们发现他们能够检索个人信息,包括病史、聊天记录和医疗档案。
https://www.securityweek.com/api-flaw-in-quickblox-framework-exposed-pii-of-millions-of-users/
7、BlackLotus UEFI Bootkit源代码在GitHub上泄露
BlackLotus UEFI bootkit的源代码已在GitHub公开共享,尽管与原始恶意软件相比进行了一些修改。该bootkit专为Windows设计,去年10 月出现在黑客论坛上,宣传其具有APT级别的功能,例如安全启动和用户访问控制(UAC)绕过以及禁用受害系统上的安全应用程序和防御机制的能力。BlackLotus能够保留在固件中,可用于加载未签名的驱动程序,并且已观察到利用CVE-2022-21894(Windows中的一个已有一年的漏洞)来禁用安全启动,即使在完全修补的系统上也是如此。四月份,微软发布了资源来帮助威胁追踪者识别BlackLotus感染。六月,美国国家安全局发布了指南,帮助组织强化其系统以应对威胁。周三(7月12日)在GitHub 发布的BlackLotus源代码已删除了针对CVE-2022-21894的“Baton Drop”漏洞,并使用bootlicker UEFI固件rootkit,但包含原始代码的其余部分。固件安全公司Binarly的首席执行官Alex Matrosov表示,Bootkit源代码的公开可用性存在重大风险,主要是因为它可以与新的漏洞利用相结合并创造新的攻击机会。“BlackLotus泄露事件表明,旧的rootkit和bootkit技巧与新的安全启动绕过漏洞相结合,仍然可以非常有效地蒙蔽许多现代端点安全解决方案,”Matrosov 在一封电子邮件评论中告诉SecurityWeek。总的来说,它显示了微软端供应链的复杂性。尽管去年修复了CVE-2022-21894,但仍能够利用该漏洞,因为易受攻击的二进制文件未添加到UEFI吊销列表中。马特罗索夫指出,这表明即使修补了漏洞也可能“对整个行业的供应链产生长期影响”。
https://www.securityweek.com/blacklotus-uefi-bootkit-source-code-leaked-on-github/
8、霍尼韦尔DCS平台漏洞可能助长对工业组织的攻击
网络安全公司Armis发现了霍尼韦尔分布式控制系统(DCS)产品中的多个漏洞,这些漏洞可用于针对工业组织的攻击。Armis研究人员去年开始向这家工业巨头披露他们的发现。他们总共发现了九个新漏洞,其中七个已被授予“严重严重性”评级。霍尼韦尔已修复所有缺陷,Armis现已公开其调查结果。该公司将这些漏洞命名为“Crit.IX”,正式跟踪为CVE-2023-23585、CVE-2023-22435、CVE-2023-24474、CVE-2023-25078、CVE-2023-25178、CVE-2023 -24480、CVE-2023-25948、CVE-2023-25770和CVE-2023-26597。Crit.IX漏洞影响霍尼韦尔的多个 Experion DCS平台和相关的C300 DCS控制器。受影响的平台包括Experion Process Knowledge System (EPKS)、LX和PlantCruise。受影响的产品广泛用于协调工业运营的各个领域,包括农业、水务、制药和核电站。Armis的研究重点是用于Experion服务器和C300控制器之间通信的专有控制数据访问(CDA)协议。研究人员发现,由于缺乏加密和适当的身份验证机制,具有网络访问权限的攻击者可以冒充服务器和控制器。例如,攻击可能是从与目标DCS位于同一网络上的受损IT、OT或IoT设备发起的。Crit.IX漏洞可用于拒绝服务(DoS)攻击、获取潜在敏感信息以及在控制器或服务器上远程执行代码。黑客可能会操纵或破坏控制器和工程工作站,这可能会导致生产停机或工业设备损坏。攻击者还可以利用这些缺陷在目标组织内进行横向移动。根据Armis分享的具体例子,利用Crit.IX安全漏洞可能会导致“药品批次和化合物的泄露,以及下游互连系统的电力分配中断。”这并不是该安全公司第一次发现ICS产品中的漏洞。该公司此前曾发现施耐德电气PLC中的ModiPwn漏洞以及Urgent/11漏洞,这些漏洞影响了多家工业巨头的产品。
https://www.securityweek.com/honeywell-dcs-platform-vulnerabilities-can-facilitate-attacks-on-industrial-organizations/
9、2023年上半年USB驱动器恶意软件攻击再次激增
研究人员发现2023年上半年通过USB驱动器分发的恶意软件数量增加了三倍。Mandiant的一份新报告 概述了今年如何观察到两起通过USB传送的恶意软件活动:其中一个名为“Sogu”,归属于某间谍威胁组织“TEMP.HEX”,另一个名为“Snowydrive”,归属于针对亚洲石油和天然气公司的UNC4698。此前,2022年11月,这家网络安全公司强调了一项与X国关系密切的活动,利用USB设备通过四种不同的恶意软件系列感染菲律宾的实体。此外,2023年1月,Palo Alto Network的Unit 42团队发现了一种PlugX变种 ,该变种可以隐藏在USB驱动器中并感染其连接的Windows主机。Mandiant报告称,Sogu是目前最激进的USB辅助网络间谍活动,其目标是全球许多行业,并试图从受感染的计算机中窃取数据。Sogu恶意软件的受害者位于美国、法国、英国、意大利、波兰、奥地利、澳大利亚、瑞士、中国、日本、乌克兰、新加坡、印度尼西亚和菲律宾。大多数受害者属于制药、IT、能源、通信、卫生和物流行业,但也有全行业的受害者。Sogu通过创建注册表运行键来建立持久性,并使用Windows任务计划程序来确保其定期运行。据Mandiant报道,虽然USB攻击需要对目标计算机进行物理访问才能实现感染,但它们具有独特的优势,使其在2023年保持相关性和趋势。其优点包括绕过安全机制、隐秘性、对公司网络的初始访问以及感染出于安全原因与不安全网络隔离的气隙系统的能力。Mandiant的调查指出打印店和酒店是USB恶意软件的感染热点。
https://www.bleepingcomputer.com/news/security/usb-drive-malware-attacks-spiking-again-in-first-half-of-2023/
10、针对罗克韦尔自动化漏洞的APT攻击威胁关键基础设施
一个未透露姓名的高级持续威胁(APT)组织已将目光投向了两个罗克韦尔自动化产品漏洞,他们可能利用这些漏洞对关键基础设施组织造成干扰或破坏。根据其公告,罗克韦尔公司已与美国政府合作,分析其所描述的利用ControlLogix EtherNet/IP通信模块中的漏洞的新漏洞利用能力。具体来说,1756 EN2和1756 EN3产品受到CVE-2023-3595的影响,这是一个严重缺陷,允许攻击者使用特制的通用工业协议(CIP)消息在目标系统上实现持久性远程代码执行。威胁行为者可以利用该漏洞修改、阻止或窃取通过设备的数据。1756-EN4产品受到CVE-2023-3596的影响,这是一种高严重性的拒绝服务(DoS)错误,可以使用特制的CIP消息进行利用。罗克韦尔自动化已为每个受影响的产品发布了固件补丁,并共享了潜在的危害指标(IoC)以及检测规则。罗克韦尔说:“我们不知道目前有利用这种能力的攻击,并且预期的受害情况仍不清楚。” “之前涉及工业系统的威胁行为者的网络活动表明,这些能力很有可能是为了针对关键基础设施而开发的,并且受害者范围可能包括国际客户。威胁活动可能会发生变化,使用受影响产品的客户如果暴露可能会面临严重风险。”CISA还发布了一份公告,警告各组织注意这些漏洞。工业网络安全公司Dragos还分析了这些漏洞和利用情况,警告称根据目标ControlLogix设备的配置,攻击者可能会造成“拒绝或失去控制、拒绝或失去视野、窃取操作数据或操纵数据”。对ControlLogix系统负责的工业过程造成破坏性后果的控制”。Dragos表示,该漏洞利用能力似乎是某个未命名的APT所为,但该公司迄今为止尚未发现在野外利用该漏洞的证据,也不清楚哪些组织或部门可能成为攻击目标。
https://www.securityweek.com/apt-exploit-targeting-rockwell-automation-flaws-could-threaten-critical-infrastructure/
11、虚假POC使渗透测试人员成为自己工具的受害者
网络安全研究人员已成为虚假漏洞CVE-2023-35829的PoC的目标,该漏洞安装恶意软件以窃取Linux密码。Uptycs分析师在例行检查期间发现了恶意PoC(概念验证),当时检测系统标记了意外网络连接、未经授权的系统访问尝试和非典型数据传输等违规行为。发现3个存储库托管的恶意假冒PoC漏洞,其中2个已从GitHub中删除,其余1个仍在运行。恶意PoC被发现在安全研究社区的成员中广泛传播,因此感染可能存在于大量计算机上。PoC被描述为对Use-After-Free(UAF)漏洞CVE-2023-35829 (CVSS:7.0)的利用,影响Linux内核直至版本6.3.2。然而,PoC实际上是另一个Linux内核漏洞CVE-2022-34918 (CVSS:7.8)的旧真实漏洞的副本。该代码使用命名空间,这是一种Linux功能,用于分隔内核资源,给人一种root shell的印象,尽管它的权限仍然受到用户命名空间的限制。然后,PoC存储在系统上,并联系攻击者的C2服务器,从外部 URL下载并执行Linux bash脚本。下载的脚本会窃取有价值的数据,包括密码、用户名、主机名和受害者主目录的内容。然后,该脚本向黑客提供对服务器的未经授权的远程访问,并过滤掉被盗的数据。bash脚本将其操作伪装成内核级进程以避免检测,因为系统管理员倾向于信任它们并且通常不检查这些条目。从互联网下载的PoC应在虚拟机等隔离环境中进行测试,如果可能,应在执行前对其代码进行审查。将二进制文件提交到VirusTotal也是识别恶意文件的快速且简单的方法。
https://www.securitylab.ru/news/539948.php
12、Word漏洞在复活的LokiBot木马手中变得栩栩如生
FortiGuard实验室网络安全专家发现了大规模的LokiBot (Loki PWS) 恶意软件活动。该威胁因利用两个已知漏洞而引人注目,其中包括Follina漏洞。LokiBot木马自2015年以来一直被广泛使用,专门用于从运行Windows的计算机窃取机密信息。在调查过程中,发现了许多恶意的Microsoft Office文档。调查首先对两种不同类型的Word文档进行分析,每种文档都对用户构成严重威胁。第一种类型的文档包含嵌入在名为“word/_rels/document.xml.rels”的 XML 文件中的外部链接。在检测到的Word文档中发现了一个名为“document.xml.rels”的文件,该文件利用了CVE-2021-40444漏洞。该文件包含一个外部链接,该链接通过Cuttly链接缩短服务将用户重定向到GoFile云文件共享服务。进一步分析表明,通过该链接进行的访问利用第二个漏洞CVE-2022-30190 (Follina)启动了html文件的下载。该有效负载从恶意URL下载标记的注入器文件。第二种文档类型使用VBA脚本,该脚本在打开文档时运行恶意宏。该文件于2023年5月下旬被发现。当文档打开并解密各种数组时,该脚本会自动运行,并将它们保存在名为“DD.inf”的临时文件夹中。此外,还发现了另一个名为“IMG_3360_103pdf.exe”的MSIL加载程序,该加载程序于2023年5月30日创建。尽管该文件没有直接参与攻击,但它也下载了LokiBot并连接到相同的命令和控制服务器(C2服务器,C&C)。LokiBot是一种不断发展和适应的恶意软件,使用新方法更有效地感染计算机系统。该木马使用了许多漏洞和VBA宏,这使得LokiBot在网络空间中特别危险。LokiBot感染计算机 ,然后搜索本地安装的应用程序并从其内部数据库中提取登录名和密码。LokiBot可以攻击浏览器、电子邮件客户端、FTP应用程序和加密货币钱包。
https://www.securitylab.ru/news/539932.php
13、立陶宛警方对北约2023年峰会期间成员国秘密数据泄露事件展开调查
当黑客开始在社交媒体上发布与维尔纽斯北约峰会组织相关的信息时,警方对可能的数据泄露展开了预审调查。警察局证实 ,立陶宛刑警局已启动审前调查,并与所有负责网络安全的机构合作。目前调查阶段尚未公布更多细节。来自俄罗斯与爱(FRwL)组织的黑客涉嫌黑客攻击。据立陶宛情报部门称,黑客从北约峰会组织者处获取了机密信息,其中包括:有关活动安全系统的信息;该组织负责人的姓名;代表团路线;这些文件的真实性尚未得到当局证实,其中包括约30份文件,内容包括国家元首和代表团下榻的具体酒店、抵达机场的时间、警卫姓名、武器类型以及通信设备的特性。此外,立陶宛警察“阿拉斯”独立特种反恐部队狙击手的名字也被公开,安全小组为峰会做准备的会议记录也被公布。网络安全专家卢卡斯·阿皮尼斯 (Lukas Apinis) 表示,被盗数据目前无关紧要,因为这些数据是在北约峰会后泄露的。2022年11月早些时候, FRwL组织使用新版本的Somnia勒索软件对系统进行了加密,并导致多个乌克兰组织的工作中断。黑客活动分子在他们的Telegram频道上宣布创建Somnia,甚至发布了针对乌克兰坦克制造组织的攻击证据。此外,黑莓安全研究人员团队此前发现了一个黑客组织,该组织在维尔纽斯北约峰会之前攻击乌克兰支持者 。据专家称,RomCom黑客组织使用伪造文件模仿呼吁乌克兰加入北约,这是峰会讨论的关键话题之一。
https://www.securitylab.ru/news/539931.php
14、WormGPT网络犯罪工具预示着人工智能恶意软件与人工智能防御的时代
网络犯罪分子正在利用生成式AI技术来协助他们的活动并发起商业电子邮件泄露(BEC) 攻击,包括使用名为WormGPT的工具,这是专门为恶意活动设计的GPT模型的黑帽替代品。根据SlashNext的一份报告,WormGPT接受了各种数据源的训练,重点是与恶意软件相关的数据,根据收到的输入生成类似人类的文本,并能够创建高度可信的虚假电子邮件。网络犯罪表格的屏幕截图显示了恶意行为者之间关于如何部署ChatGPT以帮助成功进行BEC攻击的交流,这表明目标语言流利程度有限的黑客可以使用gen AI来伪造令人信服的电子邮件。研究团队还对与WormGPT相关的潜在风险进行了评估,特别关注BEC攻击,指示该工具生成一封电子邮件,旨在迫使毫无戒心的客户经理为欺诈性发票付款。结果显示,WormGPT 不仅可以发出有说服力的语气,而且还具有“战略狡猾”,这表明它有能力发起复杂的网络钓鱼和BEC攻击。报告称:“它就像ChatGPT,但没有道德界限或限制。”该工具的开发强调了包括WormGPT在内的生成式人工智能技术所构成的威胁,即使是在新手网络犯罪分子手中也是如此。该报告还透露,网络犯罪分子正在设计“越狱”,这是一种专门的提示,旨在操纵生成式人工智能接口来创建可能涉及泄露敏感信息、生成不适当内容甚至执行有害代码的输出。一些雄心勃勃的网络犯罪分子甚至更进一步,制作类似于ChatGPT使用的自定义模块,但旨在帮助他们进行攻击,这种演变可能使网络防御变得更加复杂。生成式人工智能工具的兴起给网络安全工作带来了额外的复杂性和挑战,增加了攻击的复杂性,并强调需要更强大的防御机制来应对不断变化的威胁。SlashNext公司的首席执行官Harr表示,他认为人工智能辅助的BEC、恶意软件和网络钓鱼攻击的威胁可以通过人工智能辅助的防御功能来最好地应对。
https://www.darkreading.com/attacks-breaches/wormgpt-heralds-an-era-of-using-ai-defenses-to-battle-ai-malware
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement