其他
5th域安全微讯早报【20240613】142期
2024-06-13 星期四 Vol-2024-142
今日热点导读
3. 黑客出售美国一制造公司VPN访问权限
4. AI用户界面ComfyUI遭遇恶意自定义节点攻击5. 美国堪萨斯州威奇托市网络攻击后服务逐步恢复6. Pure Storage确认Snowflake工作区数据泄露7. Microsoft Outlook零点击漏洞威胁网络安全8. 暗网黑客“Tombstone”售卖Google子域名漏洞
9. 谷歌发布Pixel安全更新并就已被利用的零日漏洞发出警告10. 加密劫持活动新动向:针对配置错误的Kubernetes集群11. Black Basta勒索软件疑似利用Windows零日漏洞12. WARMCOOKIE后门通过新网络钓鱼活动攻击求职者13. 新型钓鱼工具包利用PWA窃取登录凭据14. SecureNet:DeBERTa与大型语言模型在网络钓鱼检测中的比较研究15. 大型语言模型的后门攻击与防御调查:对安全措施的影响16. 通过可重构智能表面(RIS)实现可持续无线网络:ETSI ISG RIS概述
资讯详情
政策法规
1. 美国众议院批准情报法案未包含FISA修复众议院情报委员会一致批准了2025财年情报授权法案,批准了数十亿美元的情报支出,并为情报机构提供了政策指导。然而,该法案未包含《外国情报监视法》(FISA) 第702条的修复内容,导致与参议院产生分歧。参议院版本的法案计划修改FISA第702条,扩大“电子通信服务提供商”的定义,允许美国国家安全局获取更多海外目标的电子信息和部分美国人的数据。隐私保护人士对此表示担忧,认为这将赋予情报机构更多监视权力。拜登政府承诺在FISA法庭诉讼中仅使用新标准,并支持将这一承诺写入法律。由于众议院法案中缺乏相关修正,立法者需在会议上协商解决。众议院情报委员会主席和民主党领袖尚未回应置评请求。来源:https://therecord.media/house-intel-committee-approves-bill2. 美国立法推动城市间国际人工智能研究合作美国众议院提出一项新法案,旨在建立美国与外国城市间的人工智能研究伙伴关系,以促进人工智能能力的开发。该法案由加利福尼亚州民主党众议员诺玛·托雷斯提出,指示国务院支持和鼓励美国地方与外国城市建立人工智能研究合作。合作将通过公私伙伴关系,包括非营利组织和学术机构,聚焦于“经济合作和劳动力发展”,并遵守出口管制,限于人工智能的“非国家安全领域”。美国国家科学基金会将协助指导并利用其人工智能资源研究所的资源。每年将拨款2000万美元用于支持伙伴关系的建立和实施,合作城市需符合美国的外交和国家安全利益,排除“受关注的外国”或从事不利于美国国家安全行为的城市。托雷斯表示,这项立法旨在确保人工智能工具和应用符合美国及其盟友的价值观,促进经济繁荣和安全。来源:https://www.nextgov.com/artificial-intelligence/2024/06/legislation-seeks-establish-ai-research-partnerships-between-us-and-foreign-cities/397328/
安全事件
3. 黑客出售美国一制造公司VPN访问权限2024年6月12日,网络安全领域发生了一起严重的事件,一家年收入超30亿美元的美国大型制造公司遭遇了未授权的VPN访问权限泄露。据称,威胁行为者获取了该公司两个主要域的域管理员和NTDS(非易失性数据存储)权限,并通过GlobalProtect VPN提供访问,对公司网络安全构成重大风险。尽管公司已部署Cortex XDR进行网络安全防护,但威胁行为者仍以25,000美元的价格出售这些访问权限,并表示愿意进行价格谈判。此次事件凸显了企业在网络安全防护方面面临的严峻挑战,以及对敏感数据保护的迫切需求。来源:https://dailydarkweb.net/threat-actor-allegedly-offers-unauthorized-vpn-access-to-an-american-manufacturing-company/4. AI用户界面ComfyUI遭遇恶意自定义节点攻击研究团队近期报告了一起针对流行AI用户界面ComfyUI的网络安全事件。Reddit用户“u/AppleBotzz”上传了一个名为“ComfyUI_LLMVISION”的恶意自定义节点,该节点伪装成有用的扩展,实际包含窃取用户敏感信息的代码。这些信息包括浏览器密码、信用卡信息和浏览历史,随后被传输至攻击者控制的Discord服务器。尽管ComfyUI本身安全,但此事件暴露了第三方组件集成到AI工作流时的风险。恶意代码隐藏在OpenAI和Anthropic库的自定义安装文件中,难以被检测。Reddit用户u/roblaughter报告了其账户遭遇未授权登录尝试,证实了攻击的真实性。用户被建议采取一系列措施保护自己,包括检查可疑文件、卸载受损软件包、扫描注册表更改、运行恶意软件扫描和更改密码。这起事件提醒我们,在享受AI技术带来的便利的同时,也需保持警惕,采取必要的安全措施。来源:https://cybersecuritynews.com/comfyui-users-targeted-by-malicious/
5. 美国堪萨斯州威奇托市网络攻击后服务逐步恢复威奇托市在经历5月5日的网络攻击后,已在多个领域取得恢复进展。供水服务已全面恢复,客户可在线访问公用事业账户,自动付款系统也已重新上线。尽管部分6月份账单可能覆盖超过60天的服务,但市政府提供了帮助和付款计划。图书馆服务方面,尽管在线数据库和部分功能仍不可用,但顾客可以访问公共Wi-Fi并使用Libby服务。威奇托艾森豪威尔国家机场的公共航班信息尚未在线提供,但预计很快恢复。市法院系统大部分已运行,公众搜查令功能预计将上线。市政府信息技术团队正努力修复剩余系统问题,并对居民的耐心表示感谢。此次攻击由LockBit勒索软件组织声称负责。来源:https://thecyberexpress.com/city-of-wichita-cyberattack-update/
6. Pure Storage确认Snowflake工作区数据泄露2024年6月12日,云存储系统和服务提供商Pure Storage确认并解决了一起安全事件,该事件涉及未经授权访问其一个Snowflake数据分析工作区。该工作区包含用于提供主动客户支持服务的遥测信息,包括公司名称、LDAP用户名、电子邮件地址和Purity软件发布版本号等数据。Pure Storage强调,没有敏感信息如阵列访问凭据被泄露。Pure Storage立即采取措施阻止进一步的未授权访问,并声明其基础设施的其他部分未检测到异常活动。初步调查结果支持公司关于泄露信息性质的结论。此外,汽车售后零部件供应商Advance Auto Parts, Inc.和Live Nation也遭遇了Snowflake云存储相关的数据泄露。这些攻击与追踪为UNC5537的威胁行为者有关,该行为者使用历史信息窃取的凭据访问了Snowflake客户账户。来源:https://thecyberexpress.com/pure-storage-data-breach-confirmed/
漏洞预警
7. Microsoft Outlook零点击漏洞威胁网络安全Microsoft Outlook被发现存在一个严重的零点击远程代码执行(RCE)漏洞,编号为CVE-2024-30103。该漏洞允许攻击者通过发送特制的电子邮件来执行任意代码,而无需用户进行任何点击或其他交互。一旦电子邮件被打开,系统就可能遭受入侵,数据可能被盗取,或者恶意软件可能在网络内传播。Morphisec 的分析指出,漏洞由 Outlook 处理电子邮件组件不当引起,导致缓冲区溢出。由于 Outlook 在企业和个人中的广泛应用,该漏洞的潜在影响极为严重。微软已经承认问题并发布了安全补丁,强烈推荐用户和管理员立即应用更新。来源:https://cybersecuritynews.com/microsoft-outlook-zero-click-rce-flaw/8. 暗网黑客“Tombstone”售卖Google子域名漏洞2024年6月12日,一名自称“Tombstone”的暗网黑客在俄语网络犯罪论坛Exploit上声称发现并公布了影响Google LLC多个子域名的安全漏洞。这些漏洞包括XSS-DOM和原型污染,其中“edu.google.com”被列为受影响的子域名之一。Tombstone并未公开漏洞价格,而是要求私下联系以获取更多信息,强调只出售具有POC(概念验证)和完整证明的漏洞。这些漏洞对Google及其服务用户构成重大风险,XSS-DOM允许攻击者注入恶意脚本,可能导致会话劫持、网络钓鱼、恶意软件分发和数据盗窃;而原型污染漏洞则可能引起数据操纵或代码执行。Tombstone表示愿意以高价出售这些漏洞,并寻求与大型科技公司建立长期合作关系。此前,安全研究员Henry N. Caga也在Google子域中发现了XSS漏洞,并向Google安全团队报告,获得了奖励。来源:https://thecyberexpress.com/xss-dom-risks-in-google-subdomains/
9. 谷歌发布Pixel安全更新并就已被利用的零日漏洞发出警告谷歌近期修复了44个不同程度的漏洞,其中一个零日漏洞(CVE-2024-32896)已被利用。该漏洞被描述为Pixel固件中的特权提升问题,严重性等级为高。此次更新修复了包括LDFW、Goodix、Mali、avcp和confirmationui等组件中的多个提权问题,以及CPIF和WLAN组件中的高危远程代码执行漏洞。更新还包含对部分Qualcomm组件的修复。谷歌鼓励所有用户尽快安装更新以保护设备安全。此外,安全研究人员还发现Arm Mali GPU内核驱动程序中的严重漏洞(CVE-2024-4610),该漏洞允许不当的 GPU内存处理操作并已被广泛利用。Arm已发布补丁并建议用户升级受影响的驱动程序。截至2024年,已记录41起在野零日攻击,其中8起来自谷歌的软件和产品。谷歌提醒用户及时更新以防范这些已被利用的安全漏洞。来源:https://www.securityweek.com/google-warns-of-pixel-firmware-zero-day-under-limited-targeted-exploitation/
TTPs动向
11. Black Basta勒索软件疑似利用Windows零日漏洞根据赛门铁克的最新研究,Black Basta勒索软件的威胁行为者可能利用了一个Microsoft Windows错误报告服务中的权限提升零日漏洞(CVE-2024-26169,CVSS评分7.8),该漏洞已于2024年3月被微软修复。赛门铁克的分析显示,漏洞工具在一次未成功的勒索软件攻击中被使用,利用了Windows文件werkernel.sys在创建任务项时的空安全描述符。该工具的元数据分析显示,它在2024年2月27日编译,即微软修复漏洞前几周。此外,还有一个样本的编译时间戳为2023年12月18日,这可能表明攻击者在漏洞公开修复前就已经在使用它。Black Basta勒索软件以经济利益为动机,通过部署如QakBot、DarkGate等恶意软件获得初始访问权限,进而破坏目标环境。攻击者还被发现使用合法的Microsoft产品如Quick Assist和Microsoft Teams作为攻击载体,通过冒充IT或服务台人员的方式进行感染。来源:https://thehackernews.com/2024/06/black-basta-ransomware-may-have.html
12. WARMCOOKIE后门通过新网络钓鱼活动攻击求职者网络安全研究人员揭露了一场网络钓鱼活动,该活动以求职者为目标,通过发送伪装成招聘公司的电子邮件来分发WARMCOOKIE后门恶意软件。Elastic Security Labs的研究员Daniel Stepanic指出,WARMCOOKIE是一种初始后门工具,具备对受感染机器进行指纹识别、截取屏幕截图和植入更多恶意程序的能力。攻击链使用声称来自Hays、Michael Page和PageGroup等知名招聘公司的邮件,诱使收件人点击链接查看工作机会。一旦点击,用户会被引导至一个页面,要求解决CAPTCHA挑战以下载一个混淆的JavaScript文件,该文件利用PowerShell和后台智能传输服务(BITS)来下载并启动WARMCOOKIE后门。WARMCOOKIE后门是一个DLL文件,通过两步过程实现持久性和核心功能启动,同时执行反分析检查以避免被检测。它支持多种命令,包括文件读写、执行系统命令、获取已安装应用程序列表和抓取屏幕截图。来源:https://thehackernews.com/2024/06/new-phishing-campaign-deploys.html
13. 新型钓鱼工具包利用PWA窃取登录凭据一款新的钓鱼工具包通过创建渐进式网络应用程序(PWA)来显示逼真的企业登录表单,以窃取用户凭据。PWA是一种基于HTML、CSS和JavaScript创建的网络应用,可以像常规桌面应用一样从网站安装。一旦安装,PWA会以桌面应用的形式运行,隐藏所有标准浏览器控件。该钓鱼工具包由安全研究员mr.d0x开发,展示了如何使用PWA创建伪造的企业登录页面,甚至显示假的地址栏以增加可信度。虽然需要一定的说服力才能让用户安装PWA,但攻击者可以通过伪造软件或远程管理工具网站来诱导用户安装。一旦用户点击安装按钮,PWA会在操作系统中安装,并可能要求用户创建桌面快捷方式。当PWA启动时,会提示用户输入登录凭据,如VPN产品、Microsoft、AWS或在线商店的凭据。此技术通过伪造地址栏使登录表单看起来更合法,从而提高钓鱼成功率。来源:https://www.bleepingcomputer.com/news/security/new-phishing-toolkit-uses-pwas-to-steal-login-credentials/
AI安全相关
14. SecureNet:DeBERTa与大型语言模型在网络钓鱼检测中的比较研究本文研究了大型语言模型(LLM)在文本分类(特别是检测欺诈内容)中的应用,并将其与murderDeberta V3模型进行比较。使用综合公共数据集评估两种方法的潜力和光芒,并演示LLMs如何生成具有说服力的钓鱼邮件,使得识别诈骗更加困难。实验结果显示,基于变换器的DeBERTa方法在HuggingFace钓鱼数据集上达到了95.17%的召回率(敏感度),而GPT-4则为91.04%。此外,我们还在其它数据集上对DeBERTa V3模型和LLMs(如GPT-4和Gemini 1.5)进行了实验。基于研究结果,本文提供了关于这些高级语言模型的节能和鲁棒性的宝贵意见,并进一步分析有助于未来在增强网络安全措施以检测和减轻钓鱼威胁方面的研究工作。来源:https://arxiv.org/html/2406.06663v115. 大型语言模型的后门攻击与防御调查:对安全措施的影响大型语言模型 (LLM) 弥补了人类语言理解与复杂问题解决之间的差距,在多项LP 任务中取得了最佳表现,尤其是在少样本和零样本设置中。尽管LMM具有明显的功效,但由于计算资源的限制,用户必须使用开源语言模型或将整个训练过程外包给第三方平台。然而,研究表明,语言模型容易受到潜在的安全漏洞的影响,尤其是在后门攻击中。后门攻击旨在通过毒害训练样本或模型权重将有针对性的漏洞引入语言模型,从而使攻击者能够通过恶意触发器操纵模型响应。虽然现有的后门攻击调查提供了全面的概述,但它们缺乏对专门针对LLM的后门攻击的深入研究。本文通过关注微调方法,提出了一种关于LLM后门攻击的新视角。作者系统地将后门攻击分为三类:全参数微调、参数高效微调和无需微调的攻击。基于大量综述的见解,文章还讨论了未来后门攻击研究的关键问题,例如不需要微调的攻击算法,或开发更隐蔽的攻击算法。来源:https://arxiv.org/html/2406.06852v1
新兴技术
往期推荐
2024-06-07
2024-06-08
2024-06-10
2024-06-11
2024-06-12