谷歌宣布扩大其漏洞奖励计划（VRP），以补偿研究人员发现针对生成人工智能（AI）系统的攻击场景，以增强人工智能的安全性。 谷歌的 Laurie Richardson 和 Royal Hansen表示：“与传统数字安全相比，生成式人工智能引发了新的、不同的担忧，例如可能存在不公平偏见、模型操纵或数据误解（幻觉）。” 范围内的一些类别包括即时注入、训练数据集中敏感数据的泄漏、模型操纵、触发错误分类的对抗性扰动攻击和模型盗窃。...

道德黑客重点关注的领域 (图源：HackerOne) 此外，公司也调研了白帽提交漏洞的动机，以及会有哪些原因导致他们不再使用HackerOne。无疑，能够获得赏金奖励是最大动机，占比73%，而响应时间慢成为最主要的负面因素，占比60%。

转自freebuf，原文链接：https://www.freebuf.com/news/382199....

属于乌克兰IT军组织的黑客在俄罗斯军队占领的一些领土上，暂时瘫痪了互联网服务。 在入侵克里米亚和乌克兰东部后，乌克兰的电信基础设施被俄罗斯士兵破坏。 黑客对“Miranda-media”、“Krimtelekom”和“MirTelekom”三家俄罗斯互联网服务提供商进行了DDoS攻击。IT军正在邀请支持者安装他们的软件，共同作战。...

SDK搜集个人信息类型 《华尔街日报》：美国政府承包商在多个手机APP中嵌入跟踪软件 SDK申请收集用户信息占比...

被称为Tortoiseshell的伊朗威胁发起者被归因于新一波水坑攻击，这些攻击旨在部署名为 IMAPLoader 的恶意软件。 普华永道威胁情报在周三的分析中表示：“IMAPLoader 是一种 .NET 恶意软件，能够使用本机 Windows 实用程序对受害者系统进行指纹识别，并充当进一步有效负载的下载程序。”
“它使用电子邮件作为[命令和控制]渠道，能够执行从电子邮件附件中提取的有效负载，并通过新服务部署来执行。...

StripedFly的感染链 为了在 Windows 系统上持久运行，StripedFly 会根据其运行的权限级别和 PowerShell 的存在调整其行为。

如果没有 PowerShell，它会在 %APPDATA% 目录中生成一个隐藏文件。在有 PowerShell 的情况下，...

黑客通常通过高级社会工程获得初始访问权限，该社会工程以具有足够权限的技术管理员（例如支持和服务台人员）的帐户为目标，以进一步实施攻击。 黑客还使用一种独特的技术将窃取的数据转移到他们的服务器，其中涉及 Azure 数据工厂和自动化管道，以融入典型的大数据操作。 为了导出 SharePoint 文档库并更快地传输文件，攻击者经常注册合法的 Microsoft 365 备份解决方案，例如 Veeam、AFI Backup 和 CommVault。

微软指出，由于使用了社会工程、靠地生活技术和多样化的工具，在环境中检测或追捕这种威胁行为者并不是一件容易的事。...

HTTP/2 快速重置 (CVE-2023-44487) 在全行业协调披露后于本月初曝光，该披露深入研究了未知参与者利用该缺陷针对 Amazon Web Services (AWS) 等各种提供商精心策划的 DDoS 攻击。 Cloudflare 周四表示，它缓解了数千起超容量 HTTP 分布式拒绝服务 (DDoS) 攻击，这些攻击利用了最近披露的名为HTTP/2 Rapid Reset 的缺陷，其中 89 次攻击超过了每秒 1 亿次请求 (RPS)。...

云计算巨头 VMware 本周警告称，存在影响 VMware vSphere 和 Cloud Foundation (VCF) 产品中服务器管理产品的新漏洞。 受影响的产品 VMware vCenter Server 提供了一个用于控制客户 vSphere 环境的集中平台。 周二，该公司发布了一份咨询和常见问题解答文件，概述了对CVE-2023-34048 的担忧，该漏洞的 CVSS 严重程度评分为 9.8（满分 10）。...

继美国国家网络主任办公室(ONCD)7月采取行动，呼吁提供信息以协调各司法管辖区的网络安全标准和法规后，世界经济论坛(WEF)周三（25日）发布了一份白皮书，列出了世界经济论坛系统的回应网络弹性：电力(SCRE)社区。 它的重点是解决网络安全要求中的冲突、确定优先部门和地区、评估国际对话、审查正在进行的全球举措以及探索监管互惠。 去年9月，WEF SCRE社区“已将全球监管互操作性确定为其重点关注领域之一，并成立了全球监管工作组，以促进电力行业全球网络监管的互操作性”，该机构在其最新文件中指出。“该工作组应对复杂、行业和部门不可知、分散、不一致、有时甚至相互冲突的法规的挑战。...