近日， CDK Global 遭遇大规模网络攻击，导致公司系统瘫痪，客户无法正常运营业务。 CDK Global 是一家汽车经销商软件即服务提供商，专为汽车行业客户提供 SaaS 平台，并处理汽车经销商运营的方方面面，包括客户关系管理、融资、薪资、支持与服务、库存和后台运营。该公司与北美 15000 多家汽车经销商都有合作，并在全国各地拥有数千名员工。 6月18日晚，CDK Global 遭遇了网络攻击，导致其 IT 系统、电话和应用程序关闭。 对于其合作的经销商而言，要想使用 CDK 的服务，需配置一个始终在线的 VPN，连接到 SaaS 提供商的数据中心，这样才能使其本地安装的应用程序能够访问该平台。 Proton Dealership IT 公司的首席执行官 Brad Holton 称，此次攻击导致 CDK 在昨晚凌晨2点左右关闭了两个数据中心。 多家汽车经销商的员工表示 CDK 仅发送了一封电子邮件警告他们遭遇了网络事件，并没有提到其他有关事件的详细信息。 电子邮件中写道：“我们经历了一起网络事件。出于谨慎和对客户的关心，我们已经关闭了大部分系统。目前正在评估整体影响，具体恢复时间待定。” 其中一些员工对此表示担心，认为威胁分子可能会利用持续在线的 VPN 进入汽车经销商的内部网络。 一家经销商的 IT 专业人员表示，出于谨慎考虑，CDK 建议他们断开在线的 VPN。 Holton解释说，在设备上运行的 CDK 软件具有用于部署更新的管理权限，这也就可以解释 CDK 为什么建议断开与数据中心的连接。 多家汽车零部件平台和汽车经销商受到攻击事件影响 这次中断事件影响了多家使用其平台跟踪和订购汽车零部件、进行新销售和提供融资的汽车经销商。 员工们在 Reddit 上发帖说因此次事件导致他们无事可做，没有零件，没有 RO，没有时间……只有一个车架，没有任何东西可以展示，也没有零件可以修复。有的还称自己被迫回到用纸笔工作的状态。还有一些经销商直接让员工回家休息。 虽然 CDK 尚未发表官方声明，但有传言称该公司遭受了勒索软件攻击，其备份也受到了影响。不过无法独立证实这一消息，但如果是勒索软件攻击，那么中断很可能会持续数天，甚至到下周或更长时间。 因为当勒索组织入侵企业网络时，会悄悄地传播到其他设备上，同时窃取企业数据。一旦所有数据被窃取，并让黑客获得到管理权限后，他们就会加密网络上的所有设备，并留下带有联系说明的赎金票据。 加密设备和被盗数据这种手段常常被用于双重勒索计划，黑客往往会要求受害者支付赎金以提供解密器，并删除和不公布任何被盗数据。 这些谈判可能需要数周时间，如果不支付赎金，威胁者最终会泄露企业数据，其中通常包括员工的个人信息，也可能包括客户的个人信息。 昨天，CDK 发布了最新消息，称他们已恢复 CDK 电话、DMS 和 Digital Retail。目前Unify 和 DMS 登录均已可用。不过，他们仍在继续对所有其他应用程序进行测试，然后再将其重新上线。   转自FreeBuf，原文链接：https://www.freebuf.com/news/403975.html 封面来源于网络，如有侵权请联系删除

美国国家客运铁路公司（Amtrak）近日披露了一起数据泄露事件，旅客的Guest Rewards常旅客积分账户的个人信息被大量窃取。 根据Amtrak向马萨诸塞州提交的泄露通知，5月15日至18日期间，Amtrak的用户账户信息遭到第三方未经授权的访问。 Amtrak表示，此次事件并非其系统遭到黑客攻击，而是由于之前数据泄露事件中泄露的用户名和密码被用来非法访问用户账户。 Amtrak所指的“之前的泄漏事件”发生在2020年，当时Guest Rewards常旅客积分用户计划的个人信息被泄漏，但Amtrak宣称“黑客活动数小时之内就发现并踢出系统。” 根据黑客发布的帖子，Amtrak此次泄漏的信息包含大量个人数据，包括“姓名、联系方式、Amtrak Guest Rewards账户号码、出生日期、支付详情（如部分信用卡号码和有效期）、礼品卡信息（如卡号和PIN码）以及用户的交易和旅行信息。” 在一些案例中，黑客甚至接管了账户，更改了电子邮件和密码，使合法用户无法登录。不过，Amtrak及时采取了措施，在发送给受影响用户的通知中，Amtrak表示：“我们已经将用户的Amtrak Guest Rewards账户的电子邮件地址更改回用户档案中的电子邮件地址，并启动了账户密码重置。” Amtrak并未详细说明受影响的乘客人数，但敦促用户更换密码并启用多因素认证（MFA），以防止账户被非法访问和接管。 Jumio公司的首席技术官Stuart Wells在一份发给媒体的电子邮件声明中表示：“黑客已经意识到从旅行忠诚度计划中窃取数据的高回报，这些数据可以轻松地在暗网出售或转换为门票。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/c3MccbO9OUBWrC539HV6jg 封面来源于网络，如有侵权请联系删除

两名男子Thomas Pavey（又名“Dopenugget”）和Raheim Hamilton（又名“Sydney”和“Zero Angel”）因在2018年至2020年经营暗网市场“帝国市场”而被芝加哥联邦法院起诉。 根据起诉书，在开始帝国市场之前，两人之前曾参与在AlphaBay上出售假冒美国货币。 这两名男子被指控促成了400多万笔交易，总价值超过4.3亿美元，涉及非法商品和服务。当局指控他们犯有各种罪行，包括贩毒、计算机欺诈、访问设备欺诈、伪造和洗钱，这些罪行在联邦监狱中最高可判处终身监禁。Pavey和Hamilton目前被美国执法拘留，传讯尚未安排。 “根据周四芝加哥美国地方法院发布的替代起诉书，托马斯·佩维（THOMAS PAVEY），又名“Dopenugget”，38 岁，来自佛罗里达州奥蒙德海滩；拉海姆·汉密尔顿（RAHEIM HAMILTON），又名“Sydney”和“Zero Angel”，28 岁，来自弗吉尼亚州萨福克，2018 年至2020 年期间拥有并经营帝国市场，在此期间，他们促成了大约400万笔卖家和买家之间的交易，价值超过4.3亿美元。”美国司法部发布的新闻稿写道。起诉书称，他们于 2018年2月1日开始经营帝国市场。” 暗网市场帝国市场以多类非法商品为特色，如非法药物、假冒商品、软件和恶意软件以及信用卡号，它允许用户使用比特币（BTC）、门罗币（XMR）和莱特币（LTC）付款。 暗网市场于 2020 年关闭，用户没有时间从托管账户中提取资金，当时一些用户将此归咎于长时间的拒绝服务 (DDoS) 攻击，而其他人则怀疑这是退出骗局。 这两家运营商使用加密货币来掩盖非法交易的性质和身份，并鼓励用户使用“混币”服务，即混合和交换加密货币以掩盖其来源和与市场的联系。 在调查期间，联邦调查局在扣押时查获了价值7500万美元的加密货币，以及现金和贵金属。   转自e安全，原文链接：https://mp.weixin.qq.com/s/587G_Xvo1ETyCmiKj2Ho4g 封面来源于网络，如有侵权请联系删除

与Fortinet、Ivanti和VMware设备安全漏洞0day利用有关的网络间谍活动据观察采用多种持久机制，以维持对受感染环境的不受限制的访问。 Mandiant 研究人员在一份新报告中表示：“持久机制涵盖网络设备、虚拟机管理程序和虚拟机，确保即使主要层被检测和消除，替代通道仍然可用。” 该APT组织代号UNC3886，谷歌旗下的 Mandiant 公司将其标记为“老练、谨慎和逃避”。 攻击者精心策划的攻击利用了CVE-2022-41328（Fortinet FortiOS）、CVE-2022-22948（VMware vCenter）和CVE-2023-20867（VMware Tools）等 0day 漏洞执行各种恶意操作，从部署后门到获取更深层次访问权限的凭据。 在网络安全公司 Fortinet FortiGate 公开披露该漏洞后不久，人们还观察到有人利用漏洞CVE-2022-42475 。 这些入侵主要针对北美、东南亚和大洋洲的实体，欧洲、非洲和亚洲其他地区也发现了其他受害者。目标行业涵盖政府、电信、技术、航空航天和国防以及能源和公用事业部门。 UNC3886 武器库中一个值得注意的策略是，它开发了逃避安全软件的技术，使其能够潜入政府和商业网络并在不被发现的情况下长时间监视受害者。 这需要在客户虚拟机 (VM) 上使用可公开获得的 rootkit，例如Reptile和Medusa，后者使用名为 SEAELF 的安装程序组件进行部署。 Mandiant 指出：“Reptile 仅提供具有 rootkit 功能的交互式访问，而 Medusa 则不同，它能够记录成功身份验证的用户凭据（无论是本地还是远程）以及命令执行。这些功能对 UNC3886 非常有利，因为它们的作案手法是利用有效凭据进行横向移动。” 系统上还提供了两个名为 MOPSLED 和 RIFLESPINE 的后门，它们利用 GitHub 和 Google Drive 等可信服务作为命令和控制 (C2) 通道。 MOPSLED 可能是Crosswalk恶意软件的演变，它是一种基于 shellcode 的模块化植入程序，通过 HTTP 进行通信以从 GitHub C2 服务器检索插件，而 RIFLESPINE 是一种跨平台工具，利用 Google Drive 传输文件和执行命令。 Mandiant 表示，它还发现 UNC3886 部署了后门 SSH 客户端来获取 2023-20867 漏洞利用后的凭证，并利用 Medusa 设置自定义 SSH 服务器以达到相同目的。 “攻击者首次尝试通过瞄准TACACS 服务器来扩展对网络设备的访问权限，就是使用 LOOKOVER。”报告指出。“LOOKOVER 是一个用 C 编写的嗅探器，可处理 TACACS+ 身份验证数据包、执行解密并将其内容写入指定的文件路径。” 在针对 VMware 实例的攻击过程中，还传播了一些其他恶意软件家族： 具有凭证记录功能的合法 TACACS 守护程序的木马版本 VIRTUALSHINE，一个基于 VMware VMCI 套接字的后门，可提供对 bash shell 的访问 VIRTUALPIE，一个支持文件传输、任意命令执行和反向 shell 功能的 Python 后门 VIRTUALSPHERE，与基于 VMCI 的后门关联的控制器模块 多年来，由于虚拟机在云环境中的广泛使用，它已成为攻击者有利可图的目标。 Palo Alto Networks Unit 42表示：“被入侵的虚拟机不仅可以让攻击者访问虚拟机实例内的数据，还可以访问分配给它的权限。由于虚拟机等计算工作负载通常是短暂且不可改变的，因此身份被入侵所带来的风险可以说比虚拟机内数据被入侵的风险更大。” 建议各组织遵循Fortinet和VMware公告中的安全建议，以防范潜在威胁。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/WigivE2ENVghHk3wUwnsqA 封面来源于网络，如有侵权请联系删除

臭名昭著的IntelBroker黑客曾涉嫌入侵大型公司和政府实体，此次他声称入侵了苹果公司并窃取了三种内部工具的源代码。 根据Breach Forums上的一篇帖子，IntelBroker 声称于 2024 年 6 月访问了 Apple 的系统，并获取了以下工具的源代码： AppleConnect-SSO AppleMacro插件 Apple-HWE-Confluence-Advanced 黑客没有提供关于此次入侵事件或窃取代码的具体用途的更多细节。不过，值得一提的是，此次所谓的入侵事件不会对苹果客户或客户信息造成任何影响。 Intel Broker 在 Breach Forums 上发布的帖子截图 虽然关于 AppleMacroPlugin 和 Apple-HWE-Confluence-Advanced 工具的信息并不多，但 AppleConnect-SSO 是 Apple 开发的内部单点登录 (SSO) 和身份验证系统。它允许员工安全地访问 Apple 网络内的各种应用程序。该系统与 Apple 的目录服务数据库集成，有助于安全访问内部资源。 在 iOS 设备上，它包含基于手势的登录选项，可替代传统密码，在保持安全性的同时增强易用性。AppleConnect 通过 iOS 和 macOS 上的应用程序使用，可以涉及各种验证方法，包括两步验证和 YubiKey 等硬件令牌。 IntelBroker 黑客组织的过往记录 就在此次最新指控发布前几个小时，IntelBroker宣布入侵美国知名半导体公司AMD，称窃取了AMD员工和产品信息并将其出售。 IntelBroker 的过往记录令人十分担忧，其先前声称的攻击行动针对范围广泛的实体，其中包括： 欧洲警察组织 亚洲科技（Tech in Asia） 太空之眼（Space-Eyes） 家得宝 Facebook 市场 美国承包商 Acuity Inc. 人力资源巨头 Robert Half 洛杉矶国际机场 汇丰银行和巴克莱银行 虽然该组织的来源和成员尚不清楚，但据美国政府称，IntelBroker 被指控为 T-Mobile 数据泄露事件的幕后黑手。 该黑客组织的动机和相关背景仍不清楚，但上述涉嫌入侵的频率和严重程度凸显了老练的网络犯罪分子所构成的越来越大的威胁。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/tZpqB2oyTE4NVntShcl8iQ 封面来源于网络，如有侵权请联系删除

F5 数据显示，虽然 75% 的企业正在实施 AI，但 72% 的企业指出其存在数据质量问题以及无法扩展数据实践。 人工智能技术作为一种颠覆性的“力量”，助力企业能够创造出更新的、无与伦比的数字体验。然而，实施人工智能的实际情况却异常复杂，如果没有正确、安全的方法，就会大大增加企业的风险态势。目前，许多企业急于利用人工智能，却忽视了自身需要坚实基础的必要性，这种疏忽不仅会降低人工智能解决方案的有效性，还会使其面临多种安全威胁。 企业对生成式人工智能充满“热情” 在企业构建新的堆栈以支持不断扩大的人工智能驱动的数字服务时，必须时刻强调企业在基础设施、数据、模型、应用服务和应用层所面临的挑战，这些挑战是企业想要广泛、可扩展以及长久采用人工智能所必须克服的。 同时，研究表明企业对生成式人工智能技术是否会助力企业业务发展，非常乐观，充满热情，很多受访者将生成式人工智能技术评为 2024 年最令人兴奋的技术趋势。但非常有意思的是，只有 24% 的企业表示已经大规模实施了生成式人工智能。 目前，生成式人工智能技术的应用呈上升趋势，但最常见的用例往往不具备“战略”功能。很多受访者表示，其公司内部已经部署的最常见用例包括协同机器人和其他员工生产力工具（40% 的受访者正在使用）以及聊天机器人等客户服务工具（36%）。 数据“成熟度”是实施人工智能面临的巨大挑战 调查过程中，企业领导者研究大规模部署基于人工智能的应用所面临的挑战时，着重提到了在基础设施层遇到的三个主要问题： 62% 的人认为计算成本是扩展人工智能的主要问题： 57% 的人认为模型安全性是主要问题，为解决这一问题，企业领导者预计，随着部署规模的扩大，未来几年在安全方面的支出将增加 44% ： 55% 的受访者认为模型各方面的性能是一个问题。 在数据层，数据成熟度是影响人工智能广泛实施的一个更为直接和潜在的巨大挑战。其中，72% 的受访者认为数据质量和无法扩展数据实践是扩展人工智能的最大障碍，53% 的受访者认为缺乏人工智能和数据技能是主要障碍。 值得一提的是，尽管 53% 的企业表示他们已制定了明确的数据战略，但超过 77% 的受访企业表示他们缺乏数据的单一真实来源。 人工智能驱动的攻击、数据隐私、数据泄露等因素都是人工智能安全的首要问题，网络安全一直是人工智能技术服务提供商的主要担忧。当问及计划如何抵御人工智能技术带来的威胁，以确保人工智能实施的安全时，受访者将重点主要放在应用程序接口安全、监控、DDoS 保护等应用程序服务上。 42% 的受访者表示，公司内部正在使用或计划使用 API 安全解决方案来保护数据在人工智能训练模型中的安全，41% 的受访者正在使用或计划使用监控工具来了解人工智能应用程序的使用情况，39% 的受访者正在使用或计划使用 DDoS 保护来保护人工智能模型。   转自Freebuf，原文链接：https://www.freebuf.com/news/403906.html 封面来源于网络，如有侵权请联系删除

近日，Broadcom 发布了影响 VMware vCenter 的三个漏洞的修复程序，其中两个是严重漏洞，允许远程代码执行 (RCE)。由于虚拟机（VM）往往存放大量敏感数据和应用程序，因此这些漏洞的披露引起了黑客的注意。 vCenter 是 VMware 虚拟环境的集中管理控制台，用于从单个集中位置查看和管理虚拟机、多个 ESXi 主机和所有附属组件。CVE-2024-37079 和 CVE-2024-37080 是 vCenter 实现 DCERPC（Distributed Computing Environment/Remote Procedure Call 的缩写）时存在的堆溢出漏洞。 对于黑客而言，DCERPC 在与远程机器交互时非常有用。利用特制的网络数据包，拥有网络访问权限的攻击者可以利用这些漏洞在 vCenter 管理的虚拟机上远程执行自己的代码。这两个漏洞的潜在危害在 CVSS 评级中都获得了 9.8 分的高分（满分 10 分）。 Broadcom 还修补了一些因 vCenter 中 sudo 配置错误而导致的本地权限升级漏洞。sudo是 “superuser do “或 “substitute user do “的缩写，它允许 Unix 系统中的用户以另一个用户（默认为root级）的权限运行命令。通过身份验证的本地用户可以利用标有 CVE-2024-37081 的漏洞获得 vCenter Server 设备的管理权限。该漏洞的 CVSS 得分高达 7.8。 到目前为止，还没有证据表明这三个漏洞中的任何一个在野外被利用过，不过这种情况可能会很快改变。有关补救措施及相关问答，可以参考： https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24453 https://core.vmware.com/resource/vmsa-2024-0012-questions-answers 云虚拟机的风险 根据 VMware 公布的文件，VMware 拥有 40 多万家客户，其中包括财富 500 强和财富全球 100 强企业。其技术为 80% 以上的虚拟化工作负载和大量关键业务应用提供支持。 “随着云计算的日益普及，虚拟机的使用量也相应激增，多个应用程序被整合到一台物理服务器上，”Keeper Security 公司安全和架构副总裁 Patrick Tiquet 解释说。”这种整合不仅提高了运行效率，也为攻击者提供了通过单一漏洞入侵各种服务的机会。” vCenter Server 就是这种风险的缩影。作为支持 VMWare vSphere 和 Cloud Foundation 平台的集中管理软件，它为 IT 管理员和黑客提供了一个启动点，使他们可以接触到运行在各个组织中的许多虚拟机。 Tiquet 警告说：”成功的漏洞攻击不仅会中断服务并造成经济损失，还可能导致敏感数据的暴露和违反监管要求，严重损害组织的声誉。”因此，修补新出现的漏洞非常必要。 另外，除了网络分段、漏洞审计和其他安全加固策略（如事件响应计划和维护强大的备份）之外，网络管理员的工作还包括从正面进行引导。Tiquet 表示： “管理员应该始终确保使用的是安全的保险库和机密管理解决方案，并且尽快应用必要的更新，还应该检查云控制台的安全控制，以确保遵循了最新的建议。”   转自Freebuf，原文链接：https://www.freebuf.com/news/403897.html 封面来源于网络，如有侵权请联系删除

据Barracuda公司的最新报告显示， 2023 年，有约 92% 的企业平均在一年内经历了 6 次因电子邮件社交工程攻击导致的凭据泄露事件。 在去年的社交工程攻击中，诈骗和网络钓鱼占了86%。 报告中提到了几种社工攻击的趋势，包括： 对话劫持： 这是指攻击者通过网络钓鱼攻击入侵企业账户，然后监控被入侵的账户，以了解企业运营情况，了解正在进行的交易、付款程序和其他细节。攻击者利用这些信息，从冒充的域名中编造看似真实、令人信服的信息，诱骗受害者汇款或更新付款信息。2023 年，对话劫持仅占社交工程攻击的 0.5%，但与 2022 年相比，却上升了近 70%。 勒索：这类攻击涉及黑客威胁向受害者的联系人暴露敏感或令人尴尬的内容，除非支付赎金。勒索攻击占 2023 年社会工程学攻击总数的 2.7%。 攻击者不断利用合法服务 梭子鱼报告强调，通过利用上述的社交工程技术，越来越多攻击者开始使用合法服务来攻击员工。 Gmail 是迄今为止社交工程攻击中使用最多的电子邮件域，占去年攻击的 22%。 黑客最常用的免费网络邮件服务依次是 Outlook（2%）、Hotmail（1%）、iCloud（1%）和 Mail.com（1%）。所有其他域名占攻击总数的 73%。使用 Gmail 的攻击尤其偏向于 BEC，50% 以上的 Gmail 攻击用于此目的。在 2023 年使用 Gmail 的攻击中，诈骗占 43%。 研究人员还发现，越来越多网络犯罪分子开始利用流行的商业 URL 缩短服务在钓鱼电子邮件中嵌入恶意链接。这种策略有助于掩盖链接的真实性质和目的地，因为它们通常看起来像是来自合法网站。 去年使用最广泛的 URL 缩短服务是 bit.ly，近 40% 的包含缩短 URL 的攻击都利用了它。 其次最常用的服务是 X（前 Twitter），在 16% 的包含缩短 URL 的攻击中使用。 与 2020 年的研究相比发生了重大变化，当时约有三分之二的攻击（64%）使用了 X 的缩短服务，而 bit.ly 仅占 3%。 报告中强调的另一个显著趋势是 2023 年末 QR 码网络钓鱼攻击的显著增加，约有 5% 的邮箱成为二维码攻击的目标。 网络犯罪分子会在钓鱼邮件中嵌入二维码，提示用户扫描二维码并访问一个看似可信服务或应用程序的虚假页面。这些页面通常是为了诱骗用户下载恶意软件或输入登录凭证。 研究人员指出，由于没有嵌入链接或恶意附件可供扫描，因此使用传统的电子邮件过滤方法很难检测到 QR 代码攻击。 通过电子邮件发送的 QR 码还能诱导受害者转而到不受公司安全软件保护的个人设备，如手机或 iPad上进行操作。   转自Freebuf，原文链接：https://www.freebuf.com/news/403895.html 封面来源于网络，如有侵权请联系删除

零日漏洞利用是网络安全攻击的“核武器”，也是AI难以染指的安全研究“圣杯”。但是，安全研究人员近日发布的一篇论文颠覆了这一观点，在网络安全圈里炸开了锅！该论文证明大语言模型（LLM）可以高效自动化利用（未知的）真实零日漏洞。此前，研究表明单个AI代理获取给定漏洞和“夺旗”任务的具体描述后，可以利用真实漏洞。然而，对于（没有相关训练数据的）未知零日漏洞，这些AI代理表现仍然欠佳。 最新研究突破了这一瓶颈！伊利诺伊大学香槟分校的研究团队在其论文《用大语言模型利用零日漏洞》中，探讨了大语言模型在自动化利用网络安全漏洞中的应用，特别是零日漏洞的利用。 研究人员设计了一种由大语言模型AI代理组成的“AI团队”，能够利用真实世界的零日漏洞。单个AI代理在探索大量不同漏洞和进行长期规划方面存在瓶颈。 研究方法 为了提升AI代理在零日漏洞利用中的表现，伊利诺伊大学的研究团队提出了一种新的多代理系统——HPTSA（分层规划与任务特定代理系统）。该系统由一个规划代理和多个任务特定的子代理组成，通过分工合作解决复杂的网络安全任务。研究方法如下：HPTSA系统包括三个主要组件： 分层规划代理：负责探索环境（如网站），确定需要尝试的漏洞类型及其所在页面。 任务特定代理的团队管理者：根据规划代理的指示，选择合适的任务特定代理执行具体任务，并处理先前执行结果的信息。 特定任务代理：设计用于挖掘特定类型漏洞的专家代理，如SQL注入（SQLi）、跨站脚本（XSS）等。 研究团队还设计了六个特定任务代理，每个代理具备访问工具、文档和提示的能力，专门用于发现特定类型的漏洞。 最后，研究团队使用OpenAI的API、LangChain和LangGraph实现了HPTSA系统，并通过GPT-4模型进行所有实验。为了减少成本，他们采用了一种HTML简化策略，去除无关的HTML标签以降低令牌数量。 主要发现 研究人员构建了15个真实漏洞的基准测试，结果表明，“AI团队”利用零日漏洞的工作效率提升了4.5倍以上，重点发现如下：性能提升：HPTSA系统在零日漏洞利用方面的表现显著优于之前的单代理系统。研究表明，HPTSA在五次尝试中成功利用漏洞的概率达到53%，在一次尝试中的成功率为33.3%，显著高于未提供漏洞描述的GPT-4代理。 对比测试：在对比测试中，HPTSA系统的表现也明显优于开源的漏洞扫描器（如ZAP和MetaSploit），这些扫描器在研究收集的漏洞中未能成功利用任何一个。 任务特定代理的必要性：通过消融实验，研究发现移除任务特定代理和文档后，系统性能大幅下降，这表明任务特定代理和相关文档对于高性能至关重要。 案例研究 研究团队通过具体案例进一步验证了HPTSA系统的有效性。以下是两个成功的案例：flusity-CMS漏洞：在该案例中，HPTSA成功利用了flusity-CMS中的跨站请求伪造（CSRF）和跨站脚本（XSS）漏洞。系统通过多次尝试，最终在管理页面创建了一个新的菜单，并成功注入了XSS负载。 changedetection.io漏洞：该漏洞涉及某些输入参数未正确解析，导致Javascript代码执行。HPTSA通过多次尝试，成功导航到正确的页面并利用了该漏洞。 结论 HPTSA系统的提出和验证表明，利用多AI代理系统可以显著提升AI代理在零日漏洞利用中的表现。这一发现解决了之前研究中的一个开放性问题，表明更复杂的AI代理系统可以有效地利用零日漏洞。尽管HPTSA系统在实验中表现出色，但研究团队也指出，要想全面理解AI代理在网络安全中的应用，未来仍有大量工作需要完成。例如，研究主要集中在可重现的开源Web漏洞上，未来的工作应涵盖更广泛的漏洞类型。此外，随着AI技术和相关工具的不断进步，AI代理在网络安全攻防两方面的作用将进一步增强。 大语言模型在零日漏洞利用领域的突破再次展示了了AI技术在网络安全领域的巨大潜力。随着AI代理系统的不断优化和成本的降低，AI技术有望成为网络安全专家的重要辅助工具，大幅提升网络防御和攻击的效率。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/bawthMrHLt01-6hQbLQsvg 封面来源于网络，如有侵权请联系删除

洛杉矶县公共卫生部（DPH）宣布，在2024年2月19日至2月20日发生数据泄露后，超过20万人的个人信息被泄露。 黑客通过网络钓鱼活动获得了53名公共卫生员工的登录凭证。 “在2024年2月19日至2024年2月20日期间，洛杉矶县公共卫生部经历了一次网络钓鱼攻击，黑客能够通过网络钓鱼电子邮件获得53名公共卫生员工的登录凭证，泄露了20多万人的个人信息。”DPH发布的数据泄露通知写道。 发现网络钓鱼攻击后，公共卫生部门禁用了受影响的电子邮件帐户，并重置和重新映像用户的设备。该组织还封锁了攻击来源的网站，并隔离了所有可疑的传入电子邮件。 可能被盗的电子邮件帐户可能包括DPH客户/员工/其他个人的名字和姓氏、出生日期、诊断、处方、医疗记录号码/患者ID、Medicare/Med-Cal号码、健康保险信息、社会保险号码和其他财务信息。该公司正在通知美国卫生与公众服务部民权办公室和其他相关机构。作为回应，公共卫生部门实施了许多增强措施，以减少未来遭受类似电子邮件攻击的风险。 4月，洛杉矶县卫生服务部披露了一起影响数千名患者的数据泄露事件。在网络钓鱼攻击影响了二十多名员工后，患者的个人和健康信息被曝光。洛杉矶县卫生服务部在洛杉矶县经营公立医院和诊所，是美国第二大市政卫生系统，仅次于纽约卫生+医院。 “网络钓鱼电子邮件试图诱骗收件人放弃重要信息。在这种情况下，国土安全部员工点击了电子邮件正文中的链接，认为他们正在访问来自值得信赖的发件人的合法消息。”阅读发送给受影响个人的数据泄露通知。“由于执法部门正在进行的调查，我们被建议将此事件通知推迟到现在，因为公开通知可能阻碍了他们的调查。” 泄露的信息因人而异，可能暴露的信息包括患者的名字和姓氏、出生日期、家庭住址、电话号码、电子邮件地址、医疗记录号码、客户识别号、服务日期和/或医疗信息（例如诊断/条件、治疗、测试结果、药物）和/或健康计划信息。   转自e安全，原文链接：https://mp.weixin.qq.com/s/ywuuGFU5_Fvl6r0gHBTMXQ 封面来源于网络，如有侵权请联系删除