20230818-5th域安全微讯早报-No.197

网空闲话网空闲话plus

2024-08-30

网络空间安全对抗资讯速递

2023年8月18日

最新热门网安资讯

Cyber-Intelligence Brief Express

Vol-2023-197 星期五

今日热点导读

1、网络影响力运营者继续微调人工智能的使用来欺骗他们的目标

2、匿名共享文件平台Anonfiles关闭

3、苹果不建议在夜间为其智能手机充电

4、OpenAI宣布收购了另一家AI公司Global Illumination

5、新的Apple iOS 16漏洞可在假飞行模式下实现隐形蜂窝访问

6、新的LABRAT活动利用GitLab缺陷进行加密劫持和代理劫持活动

7、俄罗斯黑客使用Zulip聊天应用程序在外交网络钓鱼攻击中进行隐蔽C&C

8、谷歌将人工智能魔法引入模糊测试结果令人大开眼界

9、Rapid7表示勒索软件的投资回报率仍然很高；零日漏洞使用范围扩大

10、Microsoft PowerShell Gallery容易受到欺骗和供应链攻击

11、黑客以12万美元的价格推销一家大型拍卖行的网络访问权限

12、新加坡总统选举可能因外部干涉而受到损害

13、陆军“120天研究”着眼于网络、信息能力和资源配置

14、新的欺骗战术：知名“商人”成为新型网络攻击的关键

资讯详情

1、网络影响力运营者继续微调人工智能的使用来欺骗他们的目标

Mandiant的研究人员8月17日表示，黑客、网络犯罪组织和其他数字对手越来越多地使用人工智能来生成图像和视频，并可能继续利用普通人辨别数字假货的能力。研究人员补充说，人工智能在入侵行动中的采用“仍然有限，并且主要与社会工程有关”。他们还指出，到目前为止，他们只看到了信息行动参与者引用人工智能生成的文本或底层大型语言模型的一个例子。市场上有一系列生成式人工智能工具。但国家联盟的黑客活动和在线影响力运营商正在继续试验和发展他们如何使用公开的人工智能工具来生成令人信服的图像和更高质量的内容。这项分析发布之际，白宫表示将快速制定一项关于联邦机构使用人工智能的行政命令，国会也将采取自己的监管方式。7月，联邦调查局局长克里斯托弗·雷 (Christopher Wray) 警告称，人工智能威胁的风险日益增加，对从事人工智能领域的美国公司构成威胁。Mandiant认为，生成式人工智能技术有潜力在两个关键方面显着增强信息作战行动者的能力：有效扩展超出行动者固有手段的活动；以及他们为了欺骗性目的而制作真实捏造内容的能力。比如，为 OpenAI 的 ChatGPT 和谷歌的 Bard 等技术提供支持的大型语言模型也可用于创建针对特定目标的更有说服力的网络钓鱼材料。着围绕此类技术的意识和能力的发展，不同来源和动机的威胁行为者将越来越多地利用生成式人工智能。

https://cyberscoop.com/online-influence-operators-continue-fine-tuning-use-of-ai-to-deceive-their-targets-researchers-say/

2、匿名共享文件平台Anonfiles关闭

Anonfiles，流行的匿名文件共享平台，已关闭。据管理员称，用户经常滥用该服务的功能，而且处理起来很困难。Anonfiles已被证明可以方便地分发被盗数据、帐户和受版权保护的材料。五天前，当用户尝试加载该网站时，开始出现错误。正如网络安全研究员g0njxa所指出的，该服务随后停止工作。Anonfiles运营商澄清说，他们的代理供应商已经禁用了该资源。引用自Anonfiles网站：“经过两年永不停歇地尝试维护一个匿名内容共享网站，我们厌倦了处理大量涌入的滥用该网站的用户以及它给我们带来的头痛。可能很难理解，但经过数千万和数PB的下载后，我们已经通过所有可用渠道对违规行为进行自动化处理，以使系统尽快运行。我们已自动阻止了数十万个恶意文件。名称中的禁用短语和特定使用模式。在某些时候，我们并不关心是否意外删除了数千个无害的对象。但即便如此，违法行为仍未停止。这根本不是我们购买该项目时所期望的结果，最近代理服务器提供商将我们拒之门外。这不能继续下去。该域名正在出售。目前为止，网络安全研究人员和攻击者都无法访问该资源中的文件。

https://www.securitylab.ru/news/540974.php

3、苹果不建议在夜间为其智能手机充电

许多智能手机用户习惯于在睡觉前将设备插入充电器，然后整晚都这样。然而，苹果专家对这种情况并不满意，建议谨慎给iPhone充电。该公司并不主张完全停止夜间充电，但它确实警告说，手机只能在正确的条件下充电，以避免过热。举例来说，将智能手机放在毯子或枕头下充电远不是最好的主意。而且充电线长时间与皮肤接触会引起不适甚至灼伤。也不建议在充电时躺在或坐在电缆上。尽管过热引发火灾的可能性似乎很低，但消防队员警告说，危险是非常真实的。在梦中，您很可能根本闻不到烟味，这可能会导致一氧化碳中毒和无法自行扑灭的大面积火灾。专家建议在智能手机主人醒着并且可以控制充电过程时为其充电。然而，许多人已经习惯了夜间充电的便利性，不太可能完全放弃它。在这种情况下，您应该特别小心，只使用值得信赖的制造商提供的高品质充电器。廉价、未经认证的充电器和电缆是引起火灾的常见原因。如果出现裂纹或电线裸露，即使是最初的高质量电缆也应立即更换。同样重要的是，不要在易燃物体附近为智能手机充电：窗帘、地毯、衣服等。此外，建议在房间内安装自动烟雾探测器，它会在危险发生时起作用，并向设备所有者发出警告。

https://www.securitylab.ru/news/540973.php

4、OpenAI宣布收购了另一家AI公司Global Illumination

OpenAI宣布了近七年来的首次公开收购。该公司收购了Global Illumination，这是一家总部位于纽约的初创公司，专门利用人工智能开发创意工具、基础设施和数字参与。交易条款仍然保密。该公司在博客文章中表示：“Global Illumination团队已加入我们，致力于开发包括ChatGPT在内的关键产品。”Global Illumination由Thomas Dimson、Taylor Gordon 和Joey Flynn创立，自2021年成立以来一直积极参与各种项目。初创团队获得了Paradigm、Benchmark和Slow风险投资基金的支持，参与了Instagram、Facebook、YouTube、Google、Pixar和Riot Games等公司的产品开发。尤其是担任Instagram首席技术官的Thomas Dimson，在该平台发现算法的开发中发挥了关键作用。他参与组建了负责 Instagram 的探索选项卡、提要和故事评级、IGTV 以及一般数据处理的团队。OpenAI此前一直避免主动收购其他公司，但得益于微软和大型风险投资基金的支持，多年来它一直在投资人工智能领域的新兴公司和组织。据The Information报道，尽管ChatGPT很受欢迎，但OpenAI仅去年一年就花费了超过5.4亿美元开发该聊天机器人，其中包括从谷歌等其他公司雇用经验丰富的人员的费用。

https://www.securitylab.ru/news/540972.php

5、新的Apple iOS 16漏洞可在假飞行模式下实现隐形蜂窝访问

网络安全研究人员在iOS 16上记录了一种新颖的利用后持久性技术，该技术可能被滥用以在雷达下飞行并主要访问Apple设备，即使受害者认为该设备处于离线状态。该方法“欺骗受害者认为其设备的飞行模式有效，而实际上攻击者（在成功利用设备后）植入了人造飞行模式，该模式编辑UI以显示飞行模式图标并切断与除攻击者应用程序之外的所有应用程序的互联网连接Jamf威胁实验室研究人员Hu Ke和Nir Avraham在与《黑客新闻》分享的一份报告中表示。飞行模式，顾名思义，允许用户关闭设备中的无线功能，有效阻止他们连接到 Wi-Fi 网络、蜂窝数据和蓝牙以及发送或接收电话和短信。简而言之，Jamf设计的方法为用户提供了飞行模式已打开的错觉，同时允许恶意行为者秘密地为恶意应用程序维护蜂窝网络连接。研究人员解释说：“当用户打开飞行模式时，网络接口pdp_ip0（蜂窝数据）将不再显示 ipv4/ipv6 IP地址。” “蜂窝网络已断开且无法使用，至少在用户空间级别是如此。”攻击的目标是设计一种人造飞行模式，保持 UI 更改完整，但保留通过其他方式安装在设备上的恶意负载的蜂窝连接。

https://thehackernews.com/2023/08/new-apple-ios-16-exploit-enables.html

6、新的LABRAT活动利用GitLab缺陷进行加密劫持和代理劫持活动

据观察，一种名为LABRAT的新的、出于经济动机的行动将 GitLab中现已修补的关键缺陷武器化，作为加密货币劫持和代理劫持活动的一部分。Sysdig在一份报告中表示：“攻击者利用未被检测到的基于签名的工具、复杂且隐秘的跨平台恶意软件、绕过防火墙的命令和控制 (C2)工具以及基于内核的rootkit来隐藏其存在。”“此外，攻击者滥用合法服务TryCloudflare来混淆他们的 C2 网络。”代理劫持允许攻击者将受感染的主机出租给代理网络，从而可以利用未使用的带宽获利。另一方面，加密劫持是指滥用系统资源来挖掘加密货币。该活动的一个值得注意的方面是使用用Go和.NET编写的编译二进制文件在雷达下飞行，LABRAT还提供对受感染系统的后门访问。这最终可能为后续攻击、数据盗窃和勒索软件铺平道路。攻击链始于CVE-2021-22205（CVSS评分：10.0）的利用，这是一个远程代码执行漏洞，过去曾被印度尼西亚裔攻击者利用来部署加密货币矿工。成功入侵后，会从C2服务器检索dropper shell脚本，该脚本设置持久性，使用系统中找到的SSH凭据进行横向移动，并从私有GitLab存储库下载其他二进制文件。

https://thehackernews.com/2023/08/new-labrat-campaign-exploits-gitlab.html

7、俄罗斯黑客使用Zulip聊天应用程序在外交网络钓鱼攻击中进行隐蔽C&C

正在进行的针对北约结盟国家外交部的活动表明俄罗斯威胁行为者的参与。网络钓鱼攻击以带有外交诱饵的 PDF 文档为特色，其中一些伪装成来自德国，以传播名为Duke的恶意软件变种，该恶意软件被归因于APT29（又名 BlueBravo、Cloaked Ursa、Cozy Bear、Iron Hemlock、Midnight）。荷兰网络安全公司EclecticIQ在上周的一份分析中表示：“威胁行为者使用 Zulip（一款开源聊天应用程序）进行命令和控制，以逃避并将其活动隐藏在合法的网络流量背后。”感染顺序如下：名为“告别德国大使”的PDF附件嵌入了JavaScript代码，该代码启动多阶段过程，在受感染的网络上留下持久的后门。Lab52之前曾报告过APT29使用邀请主题的情况，该实验室记录了一次冒充挪威大使馆的攻击，该攻击会传递一个DLL有效负载，该有效负载能够联系远程服务器以获取其他有效负载。在两个入侵中使用域“bahamas.gov[.]bs”进一步巩固了这种联系。这些发现也证实了安恒威胁情报中心上个月发布的先前研究。通过利用Zulip的API将受害者详细信息发送到攻击者控制的聊天室 (toyy.zulipchat[.]com) 以及远程征用受感染的主机，可以促进命令和控制 (C2)。Zulip的滥用是这个国家资助组织的一贯做法，该组织拥有利用各种合法互联网服务（例如 Google Drive、Microsoft OneDrive、Dropbox、Notion、Firebase 和 Trello）的记录。

https://thehackernews.com/2023/08/russian-hackers-use-zulip-chat-app-for.html

8、谷歌将人工智能魔法引入模糊测试结果令人大开眼界

谷歌已将人工智能的魔力融入其开源模糊测试基础设施中，结果表明LLM（大型语言模型）算法将从根本上改变错误搜寻领域。谷歌在其OSS-FUZZ项目（一项免费服务，为开源项目运行模糊器并私下向开发人员发出检测到的错误的警报）中添加了生成式人工智能技术，并发现当使用 LLM 创建新的模糊目标时，代码覆盖率得到了巨大的改善。“通过使用LLM，我们能够使用OSS-Fuzz服务增加关键项目的代码覆盖率，而无需手动编写额外的代码。使用LLM是一种很有前途的新方法，可以扩大目前OSS-Fuzz模糊测试的1,000多个项目的安全性改进，并消除未来项目采用模糊测试的障碍，”该公司在一份说明中表示，该报告包含了长达数月的实验结果。模糊测试器或模糊器用于漏洞研究，通过向应用程序发送随机输入来查明安全漏洞。如果程序包含导致异常、崩溃或服务器错误的漏洞，研究人员可以解析测试结果以查明崩溃原因。然而，模糊测试的艺术在很大程度上依赖于手动编写模糊测试目标和函数来测试代码段，这导致谷歌软件工程师测试是否可以使用法学硕士来提高已有六年历史的OSS-Fuzz服务的有效性。OSS-Fuzz项目已帮助查找和验证开源软件中10,000多个安全错误的修复，但研究人员认为，随着代码覆盖率的增加，该工具可能会发现更多错误。

https://www.securityweek.com/google-brings-ai-magic-to-fuzz-testing-with-eye-opening-results/

9、Rapid7表示勒索软件的投资回报率仍然很高；零日漏洞使用范围扩大

Rapid7对威胁形势的年中审查并不令人放心。勒索软件数量仍然很高，基本的安全防御措施没有得到使用，安全成熟度较低，犯罪行为的投资回报可能巨大。该评论是根据Rapid7研究人员及其托管服务团队的观察结果编写的。报告发现，2023 年上半年全球有超过1500名勒索软件受害者，其中包括526名LockBit受害者、212名Alphv/BlackCat受害者、178名ClOp受害者和133名BianLian受害者。这些数据是根据泄漏站点通信、公开披露和 Rapid7事件响应数据编制的。这些数字应该被视为保守的。他们不会包括那些悄悄地、成功地支付赎金的组织，就像什么都没发生一样。勒索软件之所以成功，有两个原因：犯罪分子的巨大利润潜力，以及许多潜在目标的安全状况不足。三个因素说明了后者。首先，近40%的事件是由于 MFA（多因素身份验证）执行缺失或松懈造成的——尽管多年来一直呼吁实施这一基本防御。其次，许多组织的总体安全状况仍然较低。虽然这些公司的安全性在评估后可能会得到很大改善，但数据表明，大量组织未能达到最低安全标准。第三，加强了第二个因素，旧的漏洞对于攻击者来说仍然是成功的。

https://www.securityweek.com/rapid7-says-roi-for-ransomware-remains-high-zero-day-usage-expands/

10、Microsoft PowerShell Gallery容易受到欺骗和供应链攻击

Microsoft PowerShell Gallery代码存储库上的软件包命名政策松懈，允许威胁行为者执行误植攻击、欺骗流行软件包，并可能为大规模供应链攻击奠定基础。PowerShell Gallery是Microsoft运行的在线软件包存储库，由更广泛的PowerShell社区上传，托管大量用于各种目的的脚本和cmdlet模块。它是一个非常流行的代码托管平台，其上的一些软件包每月下载量达到数千万次。Aqua于2022年9月发现了市场政策中的问题，尽管微软已承认收到相应的错误报告和 PoC 漏洞，但尚未采取行动修复这些缺陷。AquaSec的Nautilus团队发现，用户可以向PS Gallery提交与现有存储库名称非常相似的软件包，当网络犯罪分子利用它进行恶意目的时，即所谓的“误植”。报告中的概念验证（PoC）示例提到了流行的“AzTable”模块，其下载量高达1000万次，可以很容易地用“Az.Table”等新名称来冒充，从而很难被盗用。用户可以区分它们。研究人员发现的另一个问题是通过从合法项目复制模块详细信息（包括作者和版权）来欺骗它们的能力。这不仅会使第一个问题的包误植变得更加危险，而且还可能被滥用，使任意包看起来像是值得信赖的发布者的作品。此外，PS Gallery默认隐藏“包详细信息”下更可靠的“所有者”字段，该字段显示上传包的发布者帐户。AquaSec表示，8月16日，这些缺陷仍然存在，表明尚未实施修复。

https://www.bleepingcomputer.com/news/security/microsoft-powershell-gallery-vulnerable-to-spoofing-supply-chain-attacks/

11、黑客以12万美元的价格推销一家大型拍卖行的网络访问权限

黑客声称已经攻破了一家大型拍卖行的网络，并向任何愿意支付12万美元的人提供访问权限。安全研究人员在分析了72个帖子样本后，在一个以提供初始访问经纪人(IAB)市场而闻名的黑客论坛上发现了该广告。威胁情报公司Flare的研究人员在俄语黑客论坛Exploit上仔细研究了IAB三个月的报价，以更好地了解他们的目标是谁、他们的要价以及谁最活跃。从5月1日到7月27日，经纪商为国防、电信、医疗保健和金融服务等18个行业的100多家公司做了广告。Flare营销副总裁埃里克·克莱 (Eric Clay) 在与BleepingComputer分享的一份报告中表示，针对美国、澳大利亚和英国公司的攻击是最常见的 - 鉴于这些国家的国内生产总值(GDP)较高，这并不奇怪。克莱在报告中指出，金融和零售行业的组织是最受攻击的目标，其次是建筑和制造业。根据公司概况和国家/地区的不同，价格从150美元起，其中大多数用于通过VPN或RDP进行初始访问。大约三分之一的挂牌价格低于1,000美元。然而，最昂贵的待售物品为12万美元，用于访问价值数十亿美元的拍卖行的网络。黑客没有提供太多细节，但表示他们拥有访问多个高端拍卖（即管理面板）的特权后端，例如斯特拉迪瓦里小提琴或收藏汽车。

https://www.bleepingcomputer.com/news/security/hackers-ask-120-000-for-access-to-multi-billion-auction-house/

12、新加坡总统选举可能因外部干涉而受到损害

新加坡政府机构敦促总统候选人警惕潜在的外国干涉和网络威胁，以确保选举的公正性。根据内政部、新加坡网络安全局和选举部的联合新闻稿，外国干涉包括外国个人试图“通过秘密和欺骗手段操纵国家的国内政治”。官员们表示：“这损害了新加坡人民的政治主权并损害了社会凝聚力。”例如2020年美国总统选举和2017年法国总统选举等涉嫌外国干涉其他国家选举的报道。“新加坡也不能幸免。一个国家的政策应该完全由其公民决定。我们必须尽一切努力保护我们选举进程的完整性，”这些机构表示。有关外国行为者干预选举的一些方法的信息，以及候选人可以采取的减轻风险的预防措施的信息，请访问新加坡选举部的网站。强烈鼓励申请人：提高他们对外国干涉威胁的认识；加强基础设施和社交媒体帐户的网络安全；彻底检查其平台是否存在可疑活动；不分发来源可疑的消息和推文；如果怀疑有干扰或黑客入侵账户的情况，请立即向警方和选举委员会报告。值得注意的是，新加坡2020年总统选举之前也曾发出过类似的警告。

https://www.securitylab.ru/news/540978.php

13、陆军“120天研究”着眼于网络、信息能力和资源配置

佐治亚州奥古斯塔——陆军正在进行一项研究，检查其网络武器库和资金以及其他信息能力的资源。官员们解释说，这项为期120天的研究由陆军部长一直到首席网络顾问，由网络卓越中心执行。陆军网络学校指挥官Brian Vile将军代表网络中心领导这项工作。一位发言人表示：“根据新的顶点理论、全球观察和对我们威胁的分析，[网络卓越中心]正在对[信息优势]、网络和[电子战]力量进行研究，以优化未来的就业”来自网络中心。公众对此次审查知之甚少，鉴于其敏感性，官员们对此守口如瓶。这项研究大约完成了一半，是由美国网络司令部增强预算权力促成的，该权力将于10月实现，这将使其对网络部队和能力进行预算控制——这是该司令部自成立以来的一个关键成熟度。“为期120天的研究最终要研究的事情之一是，什么是保留服役的网络部队，陆军与之相关的法案是什么。因为在增强的预算控制权限下，与网络任务部队相关的资金属于网络司令部，”网络卓越中心的高级情报顾问戴维·梅在TechNet奥古斯塔会议间隙告诉DefenseScoop。“还剩下什么，我们还要负责什么，陆军的成本是多少？”短期内，军事部门作为执行机构为网络司令部和联合网络战士采购能力的旧流程不会有太大变化，只是网络司令部现在将向他们提供补偿。作为研究的一部分，陆军正在研究陆军可以在战场上为战术部队使用哪些联合和战略级网络能力。

https://defensescoop.com/2023/08/17/armys-120-day-study-looking-at-resourcing-for-cyber-information-capabilities-authorities-and-forces/

14、新的欺骗战术：知名“商人”成为新型网络攻击的关键

在土耳其，攻击者想出了一种获取酒店和航空公司客人数据的新方法。他们冒充有权有势的商人的助手，为顾客预订房间或门票。黑客致函酒店，要求他们确认能够满足富有客户的特殊要求。例如，其中一封信写道：“我是德国著名商人康斯坦丁·穆勒的私人助理。他指示我为他的假期选择一家酒店。我选择了你们的酒店，但它非常挑剔和非凡。如果您能满足穆勒先生的要求，他准备慷慨地奖励您酒店的管理人员和员工。我可以把他的愿望清单发给你吗？请看一下它们，然后告诉我您是否可以完成它们以及需要多少费用。”如果酒店同意接收要求清单，黑客就会向其发送第二封电子邮件，其中附有RAR文件，据称该文件包含该商人的愿望。然而，正是这个文件包含从酒店数据库窃取所有数据的程序。Kayakapı Premium Caves Hotel董事长Yakup Dinle在他的Twitter上发布了此类电子邮件的示例，并警告业界同仁要小心此类消息。

https://www.securitylab.ru/news/540985.php

THE END

往期推荐

1. 5th域安全微讯早报-Vol-2023-194