Oracle 周二宣布在其 2024 年 7 月关键补丁更新 (CPU) 中发布 386 个新的安全补丁，其中包括 260 多个针对未经身份验证的远程可利用漏洞的补丁。 Oracle 2024 年 7 月的 CPU中发现了大约 240 个独特的 CVE ，在 95 个修复程序中，有 84 个解决了无需身份验证即可远程利用的漏洞。 金融服务应用程序也收到了大量安全补丁，共计 60 个，其中 44 个针对未经身份验证的远程可利用漏洞。接下来是 Fusion Middleware，共计 41 个修复程序，其中 32 个修复程序解决了可被远程未经身份验证的攻击者利用的问题。 Oracle 发布了 37 个 MySQL 安全补丁，其中包括 11 个针对无需身份验证即可远程利用的漏洞的补丁、20 个针对通信应用程序的补丁（14 个针对未经身份验证的远程可利用缺陷）以及 17 个针对分析的补丁（12 个针对可远程利用的未经身份验证的错误）。 还发布了针对 Siebel CRM（12 个修复程序 – 其中 11 个针对无需身份验证即可远程利用的问题）、PeopleSoft（11 – 3）、保险应用程序（10 – 7）、电子商务套件（10 – 2）、JD Edwards（8 – 6）、数据库服务器（8 – 3）、Commerce（7 – 7）、Java SE（7 – 7）和供应链（7 – 5）的安全补丁。 其他收到补丁的 Oracle 产品包括 Application Express、Essbase、GoldenGate、NoSQL 数据库、REST 数据服务、TimesTen 内存数据库、建筑和工程、企业管理器、医疗保健应用程序、Hyperion、零售应用程序、系统、公用事业应用程序和虚拟化。 值得注意的是，针对多个漏洞的补丁解决了其他 CVE，并且还发布了针对 Oracle 产品中不可利用的 CVE 的修复程序。这家科技巨头还发布了针对其产品中第三方组件的补丁。 建议 Oracle 客户尽快应用安全补丁。据了解，攻击者已经开始利用 Oracle 产品中已发布修复程序的漏洞。 “Oracle 不断收到有关恶意利用已发布安全补丁的漏洞的报告。在某些情况下，据报道攻击者之所以得逞是因为目标客户未能应用可用的 Oracle 补丁。”这家科技巨头指出。 周二，该公司还发布了Oracle Solaris中包含的第三方软件的补丁，并发布了Linux和VM Server for x86公告，其中列出了公告发布前一个月内这些产品中已解决和公布的所有 CVE。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/Ue2RDUX0amI9qUx_Q6FZ0w 封面来源于网络，如有侵权请联系删除

据《连线》杂志7月14日的报道，美国电信巨头AT&T 向黑客支付了一笔约37万美元的赎金，以确保被盗数据不被公开。该公司在上周宣称被黑客获取了约1.1亿人的通信记录数据。 这起数据泄露事件最早被发现于今年4月19日，AT&T在外部网络安全专家的协助下启动了事件响应程序。据调查，黑客通过第三方云平台，窃取了AT&T在2022年5月1日至10月31日之间以及1月2日期间用户的通信记录数据。虽然这些数据不包含用户的姓名、社会安全号码、出生日期以及具体通信内容，但仍然可以通过一些特定工具将这些泄露的电话号码与对应的联系人身份关联起来。 《连线》杂志首次报道称，AT&T在5月份向黑客支付了5.7个比特币（交易时约合37万美元）的赎金，以防止数据被公开，据悉，该黑客是臭名昭著的ShinyHunters黑客组织的一员，该组织经常通过不安全的Snowflake云存储帐户窃取数据。 此外，一位名叫雷丁顿的安全研究人员称自己是这起赎金支付交易的中间人，黑客在今年4月告知他从不安全的Snowflake云存储帐户窃取了AT&T数据，他随即向安全公司Mandiant发出了警报，该公司通知了AT&T。黑客最初的赎金要求高达100万美元，但最终以上述的37万美元达成交易。在收到赎金后，黑客还录制了一段删除被盗数据的视频，并通过雷丁顿提供给了《连线》杂志。 目前，AT&T拒绝就公司支付赎金的报道发表评论。当地时间7月17日，两名美国参议员已就这起大规模的数据泄露事件向AT&T 提出问询，该公司表示会就此事向参议员做出直接回复。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406198.html 封面来源于网络，如有侵权请联系删除

新加坡金融管理局（MAS）和新加坡银行协会（ABS）在2024年7月9日宣布，新加坡的零售银行机构在三个月内将逐步淘汰一次性密码（OTP）的使用，以减少网络钓鱼攻击的风险。根据MAS的说法，已经在自己的移动设备上激活了数字令牌的客户将使用这些数字令牌通过浏览器或移动银行应用程序登录银行账户。数字令牌验证客户的登录，无需使用一次性密码，这样就减少了骗子窃取或诱使客户披露一次性密码的风险。 MAS还敦促客户激活他们的数字令牌，以防范那些旨在窃取凭证并劫持客户账户进行金融欺诈的攻击。 新加坡银行协会（ABS）的主任Ong-Ang Ai Boon在声明中表示，新措施可以进一步保护客户免受未授权访问其银行账户的风险。尽管这些措施可能会带来一些不便，但它们对于预防诈骗和保护客户是必要的。 一次性密码（OTP）最初是作为第二因素认证（2FA）引入以增强账户安全的，但网络犯罪分子已经开发出了能够通过仿冒网站获取这些代码的银行木马、OTP机器人和钓鱼工具包。通过Telegram可获取的OTP机器人，通过打电话给用户并说服他们输入手机上的2FA代码，以帮助绕过账户保护。这些机器人主要是为了窃取受害者的OTP代码，这意味着骗子需要通过其他方式获取有效的凭证，例如数据泄露、在暗网上出售的数据集以及收集凭证的网页。 据卡巴斯基威胁研究员Olga Svistunova在最近的一份报告，OTP机器人的关键任务是拨打受害者的电话。诈骗者依赖这种方式，因为验证码（OTP）只在有限的时间内有效。这意味着，诈骗者需要在验证码过期之前迅速获取它。报告中还提到，与可能长时间未被回复的消息相比，打电话给用户可以增加获取验证码的机会。电话还可以让诈骗者通过语气对受害者产生预期的影响。这表明诈骗者可能会利用电话中的语气和说服力来操纵受害者，使他们更有可能提供验证码。   转自e安全，原文链接：https://mp.weixin.qq.com/s/OEHC_y_PRCMGaM5epZpDGA 封面来源于网络，如有侵权请联系删除

趋势科技称，一个名为 Void Banshee 的高级持续性威胁组织 (APT) 利用最近的 Windows 零日漏洞通过已禁用的 Internet Explorer 执行代码。 该漏洞编号为 CVE-2024-38112（CVSS 评分为 7.5），已在 2024 年 7 月补丁日更新中得到解决，大约在趋势科技发现该漏洞并向微软报告两个月后。 Void Banshee 是一个以北美、欧洲和南亚实体为目标的APT组织，其目的是窃取信息和获取经济利益，它利用 CVE-2024-38112 作为零日漏洞武器，使用2024 年 1 月发现的恶意软件家族 Atlantida 信息窃取恶意软件感染受害者系统。 作为观察到的攻击的一部分，APT 利用互联网快捷方式 (URL) 文件滥用 MSHTML（聚合 HTML 文档的 MIME 封装）协议处理程序和 x-usc 指令，并直接通过 Windows 已禁用的 Internet Explorer (IE) 执行代码。 尽管 IE 于 2022 年停止服务，但它仍然存在于 Windows 平台上，即使是最新版本，尽管普通用户无法访问，因为微软已经实施了机制，使得 IE 的替代品 Edge 会在用户尝试运行 IE 可执行文件时启动。 被废弃的IE仍然存在于每一台windows系统上 CVE-2024-38112 允许 Void Banshee 制作 URL，通过禁用的 IE 进程执行 HTML 应用程序 (HTA) 文件。 攻击首先会发送鱼叉式网络钓鱼邮件，发送伪装成书籍 PDF 副本的互联网快捷方式文件，以诱骗受害者打开这些文件。攻击链利用零日漏洞打开已禁用的 IE，并利用它将受害者重定向到托管恶意 HTA 文件的受感染网站。 复杂的攻击链 电子书PDF诱饵之一 Trend Micro 强调：“在 Internet 快捷方式文件的 URL 参数中，我们可以看到 Void Banshee 使用 MHTML 协议处理程序和 x-usc! 指令专门制作了此 URL 字符串。此逻辑字符串通过 iexplore.exe 进程在本机 Internet Explorer 中打开 URL 目标。” 伪装成电子书籍 PDF 的恶意 URL 文件 附加在IE快捷方式后的恶意URL字符串 攻击者控制的域上的恶意 HTML 文件还允许 APT 控制网站的窗口视图大小并隐藏下一阶段的下载。 默认情况下，IE 会提示用户打开或保存 HTML 应用程序，但攻击者在恶意 HTA 文件扩展名中添加了空格，以便用户认为他们正在下载 PDF 文件。 一旦运行 HTA 文件，感染链就会继续执行一系列脚本、执行 LoadToBadXml .NET 木马加载器和 Donut shellcode，并在内存中执行 Atlantida 信息窃取恶意程序。 该恶意软件的目标是窃取 FileZilla、Steam、Telegram、加密货币钱包和扩展程序以及网络浏览器的密码和其他信息。它还可以捕获受害者的屏幕、窃取文件并收集大量系统信息。 Trend Micro 指出：“攻击者仍可以利用其计算机上残留的 Windows 残余（如 IE）来感染用户和组织，使其感染勒索软件、后门，或将其作为代理来执行其他恶意软件。Void Banshee 等 APT 组织能够利用已禁用的 IE 等服务，这对全球组织构成了重大威胁。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/0IMXliJMdqPI6KGgtNw4dw 封面来源于网络，如有侵权请联系删除

美国联邦调查局成功入侵了唐纳德·特朗普刺杀案的已被击毙嫌疑人的受密码保护的手机。 联邦调查局新闻办公室在一份声明中表示：“联邦调查局的技术专家成功获取了托马斯·马修·克罗克斯的手机，并继续分析他的电子设备。” 目前还不清楚联邦政府是如何解锁这部手机的，然而，这起案件表明执法部门在绕过保护移动设备的安全措施方面取得了进展。 “FBI 究竟是如何绕过手机保护措施等具体细节仍不清楚，但这一消息表明，在备受瞩目的案件中从密码锁定设备中获取证据的现实与近十年前的情况大不相同，当时美国司法部试图迫使苹果破坏 iPhone 的安全机制，以获取圣贝纳迪诺枪击犯手机上的数据。” 404 Media 表示。 刺杀事件发生后，宾夕法尼亚州的联邦调查局官员试图获取克鲁克斯的设备，但未能成功。随后，当局将手机运往弗吉尼亚州，联邦调查局专家在那里对该设备进行了分析。 2023 年 3 月，美国司法部发布了一份简短的文件，威胁说如果苹果公司不帮助 FBI 解锁圣贝纳迪诺枪击案凶手的 iPhone，美国司法部将迫使苹果公司交出 iOS 源代码。 苹果首席执行官蒂姆·库克宣布，该公司将拒绝帮助 FBI 以保护其用户。在其系统中引入后门的想法是不可行的，因为这会让用户受到许多其他黑客组织的攻击。 后来，在政府承包商 Azimuth Security成功解锁该设备后，FBI 放弃了此案。 从那时起，多家取证公司开发了解锁 iPhone 以提取数据的工具，其中包括： GrayKey  – GrayShift 开发的一款硬件设备，可以绕过 iPhone 密码并提取数据。多家媒体报道称执法机构使用了该设备。 UFED  – Cellebrite 开发的一款取证工具，可以解锁 iPhone 并提取数据。执法和情报机构都在使用它。 Elcomsoft iOS Forensic Toolkit—— 一种可以从锁定的 iOS 设备中提取数据的软件工具。 MSAB XRY—— 一款允许解锁 iOS 设备并提取数据的取证套件。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/f-3XHH9S3CttWRRjVmEoNA 封面来源于网络，如有侵权请联系删除

因CDK公司遭遇勒索软件攻击，导致全美上万家汽车经销商业务系统瘫痪十余天；据知情人士透露，CDK通过专业勒索响应公司支付赎金后，约一周时间恢复系统上线；此次事件展示了勒索软件团伙的新洞察：造成影响越坏越能收到赎金。 安全内参7月16日消息，CDK Global是一家为全美汽车经销商提供服务的知名软件公司，上个月因遭受勒索软件攻击而陷入困境。多位知情人士透露，CDK似乎向黑客支付了2500万美元（约合人民币1.81亿元）赎金。 CDK拒绝讨论此事。由于某些加密货币服务具有相对匿名性，很难准确确认谁支付了加密货币。不过，从支撑加密货币支付的区块链数据中，我们能窥见一些内幕。加密货币允许在传统银行系统之外进行数字资产交换，但这些交易记录可在区块链上访问。 TRM Labs的全球调查负责人Chris Janczewski对外媒CNN表示，6月21日，大约387个比特币（当时相当于约2500万美元），被发送到BlackSuit勒索软件相关黑客控制的加密货币账号。 支付完成一周后，CDK表示将汽车经销商重新上线到其软件平台。 Janczewski没有确定谁支付了款项，但另有三位密切跟踪此事件的消息人士证实，确实有大约2500万美元的支付给了BlackSuit的关联者，而CDK很可能是这笔款项的支付方。这些消息人士因为调查的敏感性要求匿名。 其中一位消息人士说，支付赎金的加密货币账号与一家帮助受害者应对勒索攻击的公司有关，但拒绝透露该公司的身份。 CDK发言人Lisa Finney没有回应CNN关于赎金支付的多次评论请求，CDK首席执行官Brian MacDonald也没有回应寻求评论的邮件和LinkedIn信息。 6月中旬袭击CDK的勒索软件攻击扰乱了数千家汽车经销商。这些经销商使用CDK软件管理从排班到销售和订单等一切事务。CDK在给记者的声明中称此次攻击为“网络事件”。但据外媒CBS报道，CDK在发给客户的通知中将此次攻击描述为“网络勒索事件”。 7月初，CDK表示，使用其软件的近15000家北美汽车经销商，“几乎全部”都已重新在其核心管理系统上线。 美国企业频频因勒索攻击支付赎金 美国联邦官员通常不鼓励向网络犯罪分子支付赎金，因为这可能助长未来的攻击。但一些公司觉得他们别无选择，为了恢复敏感的客户数据或使其系统重新上线，只能支付赎金。 对去年出现的新勒索软件犯罪团伙BlackSuit来说，这笔赎金是一笔意外之财。他们声称攻击了很多教育和建筑等行业的目标。美国卫生与公共服务部表示，BlackSuit的恶意软件与此前其他讲俄语的犯罪团伙使用的恶意软件类似。 威胁情报公司Analyst1的首席安全策略师Jon DiMaggio专门研究勒索软件团伙，他说：“自2019年以来，该团伙的领导层一直在以其他勒索软件的名义进行勒索行动。” DiMaggio告诉CNN：“这些年来，我见过很多类似案例。犯罪团伙要么被执法机构关闭，要么决定终止运作，换一个新名字重新开始攻击和勒索各家组织。”他还说，BlackSuit的大多数受害者都在美国。 另一家加密货币追踪公司Chainalysis在2月份发布报告指出，尽管美国政府努力切断网络犯罪分子的资金流，去年网络犯罪分子从全球受害组织中勒索了创纪录的11亿美元赎金。 虽然2500万美元的赎金支付规模庞大，但在利润丰厚的勒索软件行业并不罕见。美国卫生保健巨头联合健康集团的子公司在2月份遭受了一起勒索软件攻击，使全美的药房瘫痪。该集团被迫向另一家犯罪团伙支付了2200万美元的赎金。 但是，网络安全公司Coveware的数据显示，2023年第四季度的平均赎金支付金额明显降低，仅有568705美元。   转自安全内参，原文链接：https://www.secrss.com/articles/68159 封面来源于网络，如有侵权请联系删除

近日，Phylum的研究人员在开源NPM JavaScript存储库中发现两个恶意AWS软件包暗藏精心设计的代码，一旦执行，就会在开发者的计算机上植入后门程序。研究人员称恶意软件包存续期间已经被下载了数百次。 这两个软件包分别是img-aws-s3-object-multipart-copy和legacyaws-s3-object-multipart-copy，它们试图冒充合法的JavaScript库aws-s3-object-multipart-copy。 假冒软件包包含了所有合法库中的代码，并添加了一个名为loadformat.js的JavaScript文件。这个文件表面上包含无害的代码和三个JPG图像（分别是英特尔、AMD和微软的公司Logo），但其中一个图像隐藏了恶意代码片段，这些片段被重建后可组成后门程序代码，攻击开发者的设备。 日益复杂的开源供应链攻击 “我们已经报告了这些软件包并要求移除，但这些恶意软件包在npm项目中仍然存在了近两天时间，”发现这些软件包的研究人员写道：“这令人担忧，因为当今大多数系统无法检测并及时报告这些软件包，导致开发者长时间暴露在攻击风险中。” 研究人员表示，绝大多数杀毒软件产品都未能发现隐藏在这两个软件包中的后门。 Phylum的研究主管Ross Bryant在邮件中透露，img-aws-s3-object-multipart-copy在被删除前被下载了134次，另一个文件legacyaws-s3-object-multipart-copy被下载了48次。 这些恶意软件包开发者对代码的精心设计及其策略的有效性，突显了针对上游开源代码库的攻击日益复杂化，除了NPM外，其他热门攻击目标还包括PyPI、GitHub和RubyGems等。 近年来，针对开发者的开源供应链攻击威胁不断恶化。 在过去的17个月里，由朝鲜政府支持的黑客组织曾两次针对开发者，其中一次利用了一个零日漏洞。 近期发现的最具创新性的一种开源后门隐藏方法是今年3月曝光的XZ Utils后门，只差一步进入生产版本中。该后门通过一个五阶段加载器实现，使用了一系列简单但巧妙的技术来隐藏自己。一旦安装，黑客可以管理员权限登录受感染的系统。 策划XZ Utils攻击的黑客组织（或个人）花费了数年时间来开发后门。除了隐蔽方法的复杂性，该组织还投入了大量时间为开源项目编写高质量代码，以赢得其他开发者的信任。 今年5月，Phylum阻止了另一个使用隐写术（将秘密代码嵌入图像中的技术）来植入后门的PyPI软件包攻击活动。 “在过去几年中，发布到开源生态系统的恶意软件包的复杂性和数量显著增加，”Phylum研究人员写道：“毫无疑问，这些攻击是成功的。开发者和企业必须高度警惕所使用的开源库。”   转自GoUpSec，原文链接：https://www.goupsec.com/news/16856.html 封面来源于网络，如有侵权请联系删除

卡巴斯基实验室在本周宣布关闭其在美国的业务，并裁减了约50 名美国员工。 卡巴斯基在一份声明中提到：自7月20日起，卡巴斯基将逐步结束美国业务，并裁撤美国本土的职位。这一决定和进程是在美国商务部做出禁止在美国销售和分销卡巴斯基产品的最终裁定之后做出的。 不过卡巴斯基表示，他们已在美国经营了近 20 年，想要完成退出手续仍需时日，这将是一个漫长的过程，可能需要一年多的时间。 在上个月的禁令之后，公司仔细研究和评估了美国法律要求的影响，才做出了这个艰难的决定，因为在美国的商业机会已不再可行。据卡巴斯基透露，此举是继上月美国商务部禁止卡巴斯基软件销售和美国财政部以国家安全为由制裁其高级管理人员之后的又一举措。 财政部外国资产控制办公室（OFAC）专门针对卡巴斯基实验室的关键人物，包括首席运营官、首席法务官、人力资源主管、首席业务开发和技术官等。 美国国土安全部（DHS）此前曾于 2017 年禁止卡巴斯基进入政府系统，随后又于 2018 年禁止卡巴斯基在美国军队中使用。然而，2024 年 6 月商务部的禁令致使卡巴斯基在美国的商业业务一度瘫痪。 美国政府从未提供卡巴斯基或俄罗斯政府将其软件用于间谍活动的具体证据。卡巴斯基坚称自己是无辜的，声称禁令是基于 “地缘政治气候和理论上的担忧”，而不是对其产品的实际评估。 悬而未决的问题和潜在的安全风险 尽管缺乏具体证据，美国政府仍对俄罗斯可能迫使卡巴斯基配合监控活动表示担忧。美国商务部长Gina Raimondo上个月表示：俄罗斯一次又一次地表明，他们有能力也有意图利用卡巴斯基实验室这样的俄罗斯公司来收集美国的敏感信息并将其武器化，我们将继续利用我们所掌握的一切工具来保护美国国家安全和美国人民的安全。 卡巴斯基软件对系统文件的深度访问是杀毒功能的必要条件，这在美国官员看来引发了潜在的安全风险。 最近的禁令不仅阻止卡巴斯基销售新软件，还阻止其在 9 月 29 日之后向现有用户提供安全更新。这将使数百万个端点受到攻击，因为该软件在应对不断变化的威胁时变得越来越无能为力。 现有用户前途未卜 虽然美国政府不会对继续使用卡巴斯基软件的用户进行处罚，但他们强烈建议用户改用其他解决方案。管理使用卡巴斯基软件的潜在易受攻击系统的安全专业人员面临着一个关键的决定：是完全替换卡巴斯基，还是在新的解决方案实施之前寻找替代的缓解策略。 美国禁令对卡巴斯基是一个重大打击。虽然美国市场的销售额只占卡巴斯基全球营收的10%左右，但是在美国政府6月禁售之前，只有约3%的杀毒软件用户在美国使用卡巴斯基软件。但此次失去美国市场会削弱卡巴斯基的品牌声誉，并有可能影响其他国家效仿。 卡巴斯基的未来仍不明朗，尤其是他们正在努力应对美国业务的关闭和来自世界各国政府的持续审查。卡巴斯基也曾表示过他们的目标是成为全球最大的网络安全公司。 卡巴斯基的业务依然保持弹性，第一要务仍是保护各国客户免受网络威胁。作为一家全球网络安全厂商，公司将继续投资于战略市场，并继续致力于为客户和合作伙伴提供服务，确保对他们的保护。 卡巴斯基告诉 TCE：作为一家在 200 多个地区和国家开展业务的全球性公司，卡巴斯基将能够调整其销售渠道，并通过专注于其认为最具业务发展潜力的市场来保持其全球影响力。 安全专业人员和网络工程师应密切关注这一不断变化的形势，并考虑采用其他防病毒解决方案来确保网络安全。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406067.html 封面来源于网络，如有侵权请联系删除

ReliaQuest 发布了一份新报告，详细介绍了网络犯罪分子如何利用 ChatGPT 等合法服务和恶意 AI 工具来支持其行动。 该公司发现，这些工具有助于创建近乎完美的网络钓鱼电子邮件，经 ReliaQuest 分析师测试，成功率为 2.8%。 报告强调，攻击者正在使用诸如提示注入之类的技术绕过 AI 模型的安全过滤器。这些技术利用了 AI 模型过滤系统中的弱点，使攻击者能够生成有害内容，尽管存在内置限制。 最常见的提示注入类型之一称为“立即执行任何操作”(DAN) 提示，它使用复杂的语言、上下文漏洞和渐进式升级来操纵 AI 模型。 ReliaQuest 使用 ChatGPT 进行了实验，其中关于启动网络钓鱼活动的初始查询由于道德约束而被拒绝。但是，当使用 Nexus 提示提交相同的请求时，语言模型返回了一个基本的八步计划。该计划包括对目标公司的研究、域名注册和电子邮件创建。 使用其他语言模型（如 Mixtral-8x7B-T）的进一步实验生成了功能性 PowerShell 脚本，用于识别用户登录事件并跨端点部署文件。 报告还指出，网络犯罪分子经常在论坛上讨论 DAN 提示，他们在论坛上分享和测试操纵性语言条目。这些提示通常分发在 GitHub 和 Reddit 等开源平台上。论坛成员就各种提示的有效性交换反馈，并呼吁根据需要更换或改进它们。 ReliaQuest 在流行的英语网络犯罪平台 BreachForums 上观察到一名用户以 1,000 美元的价格出售 ChatGPT 过滤器绕过方法的概念验证代码（POC），声称已经可以绕过安全限制使用人工智能编写勒索软件。 WormGPT 和 FraudGPT 最初引起了人们的关注，但现在已经不复存在。取而代之的是，FlowGPT 已成为一项社区驱动的服务。ReliaQuest 使用 FlowGPT 选择 ChaosGPT 模型进行网络钓鱼实验。 ChaosGPT 模型的评分为 4.9 分（满分 5 分），受欢迎程度高达 340 万，当被问及俄语时，该模型用英语制作了一封引人注目的网络钓鱼电子邮件。输出结果语法正确，听起来就像是母语人士写的。在一项涉及 1,000 名未公开个人的测试中，2.8% 的人点击了邮件中包含的恶意链接。 深度伪造（人工制作或增强的音频或视频）的威胁也在增加。深度伪造很容易通过网络犯罪论坛上讨论的人工智能工具制作，即使是新手也能制作出逼真的语音和视频模仿。这类工具越来越多地被讨论为规避“了解你的客户”（KYC）流程的一种方法。网络犯罪分子分享教程并寻求熟练创作者的服务来促进这些欺诈活动。 ReliaQuest 的报告强调了网络犯罪手段日益复杂化，利用先进的人工智能工具和社区共享知识来升级其恶意活动。调查结果强调了这些发展对网络安全构成的持续威胁，需要持续警惕并采取先进的对策。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/35tkpiPecOvYaZZkty1MJA 封面来源于网络，如有侵权请联系删除

网络安全研究人员表示，他们发现了一个意外泄露的 GitHub 令牌，该令牌可以授予对 Python 语言、Python 包索引 (PyPI) 和 Python 软件基金会 (PSF) 存储库的提升访问权限。 发现 GitHub 个人访问令牌的 JFrog 表示，该令牌密钥是在托管在 Docker Hub 上的公共 Docker 容器中泄露的。 该软件供应链安全公司表示：“这个案例很特殊，因为如果它落入坏人之手，很难估计其潜在后果——据称有人可能会将恶意代码注入 PyPI 包中（想象一下用恶意代码替换所有 Python 包），甚至注入 Python 语言本身。” 攻击者可以利用其管理员访问权限，通过毒害与 Python 编程语言核心或 PyPI 包管理器相关的源代码来发动大规模供应链攻击。 JFrog 注意到，在 Docker 容器内发现了身份验证令牌，该令牌位于一个已编译的 Python 文件（“build.cpython-311.pyc”）中，但该文件因疏忽而未被清理。 在 2024 年 6 月 28 日负责任地披露后，为与 PyPI 管理员 Ee Durbin 关联的 GitHub 帐户颁发的令牌立即被撤销。目前还没有证据表明该秘密被野外利用。 PyPI 表示，该令牌是在 2023 年 3 月 3 日之前的某个时间发行的，由于 90 天后安全日志不可用，因此具体日期未知。 Durbin解释道：“在本地开发 cabotage-app5 并处理代码库的构建部分时，我不断遇到 GitHub API 速率限制。” “这些速率限制适用于匿名访问。在生产中，系统配置为 GitHub App，出于偷懒，我修改了本地文件以包含自己的访问令牌，而不是配置本地主机 GitHub App。这些更改从未打算远程推送。” Checkmarx 在 PyPI 上发现了一系列恶意软件，这些恶意软件旨在在未经受害者同意或不知情的情况下将敏感信息泄露给 Telegram 机器人。 有问题的软件包 – testbrojct2、proxyfullscraper、proxyalhttp 和 proxyfullscrapers – 通过扫描受感染的系统以查找与 .py、.php、.zip、.png、.jpg 和 .jpeg 等扩展名匹配的文件来工作。 Checkmarx 研究员 Yehuda Gelb表示：“Telegram 机器人与伊拉克的多个网络犯罪行动有关”，并指出该机器人的消息历史可以追溯到 2022 年。 “该机器人还可以充当提供社交媒体操纵服务的地下市场。它与金融盗窃有关，并通过窃取受害者的数据来利用受害者。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/RG-VvrMfqF2rtFPKdpU9tg 封面来源于网络，如有侵权请联系删除