分类: 恶意软件

一名程序员兼律师对微软的 GitHub Copilot 的软件盗版行为提起集体诉讼

GitHub Copilot在纸面上听起来是一个迷人的工具。一年多前,微软推出了预览版,它基本上是一个由人工智能驱动的扩展,使用GitHub上所有公共存储库中的代码,然后根据简单的帮助程序员写代码。例如,程序员可以只提供”对这个列表中的数字取一个平均值”这样的简单信息,GitHub Copilot就会根据它在GitHub代码库上的训练,自主地写代码来完成这个任务。 微软在几个月前宣布GitHub Copilot以10美元/月的价格全面上市,但几乎从一开始,该产品的法律地位就受到了批评,因为它未经他人许可就使用他人编写的代码,而且微软从这些做法中获利。今天,针对这个由人工智能驱动的配对编程工具的集体诉讼已经被提起。 该诉讼是由马修-巴特里克发起的,他是一名程序员、作家和律师,诉讼由加利福尼亚州的约瑟夫-萨维里律师事务所代理。他们共同声称,微软正在从事开源软件的盗版活动,因为它使用了数百万程序员根据各种许可证(包括MIT、GPL和Apache)编写的代码。诉讼中提到的被告是GitHub、微软和其技术合作伙伴OpenAI。 巴特里克声称,微软在使用这些代码时违反了一些要求,包括署名、GitHub自己的政策、加州消费者隐私法和DMCA 1202–“禁止删除版权管理信息”。这是将是漫长旅程中的第一步。据我们所知,这是美国第一个挑战人工智能系统训练和输出的集体诉讼案件。这不会是最后一起。人工智能系统不能免于法律的约束。那些创造和操作这些系统的人必须负责。如果像微软、GitHub和OpenAI这样的公司选择无视法律,他们不应该指望我们公众会坐视不理。人工智能需要对每个人都是公平和道德的。如果不是这样,那么它就永远无法实现其夸耀的提升人类的目标。它只会成为少数特权者从多数人的工作中获利的另一种方式。 同时,约瑟夫-萨维里律师事务所的约瑟夫-萨维里指出:我很感谢那些挺身而出使本案取得成果的程序员和用户,并确保像微软、GitHub和OpenAI这样的公司不能从开源创作者的工作中不公平地获利。本案代表了在打击人工智能系统引起的科技行业知识产权侵权的斗争中迈出的重要一步。在这个案例中,开源程序员的工作被利用了。但这不会是最后一个受到人工智能系统影响的创作者群体。我们公司致力于为这些创作者站出来,确保开发人工智能产品的公司在法律下承担责任。 转自 cnBeta,原文链接:https://www.toutiao.com/article/7162003028814496269/?log_from=e1d59c09398a3_1667544658087 封面来源于网络,如有侵权请联系删除

数百家美国新闻网站竟推送恶意软件

威胁者正在利用一家未披露的媒体公司的受损基础设施,在全美数百家报纸的网站上部署SocGholish JavaScript恶意软件框架(也称为FakeUpdates)。 “涉案的媒体公司是一家为主要新闻机构提供视频内容和广告的公司。Proofpoint专家表示:”该公司为全美不同市场的许多公司服务“。 这个供应链攻击背后的威胁者(被Proofpoint追踪为TA569)已经将恶意代码注入了一个良性的JavaScript文件,该文件被新闻机构的网站加载。 这个恶意的JavaScript文件被用来安装SocGholish,它将通过虚假的更新提醒,把恶意软件的有效载荷伪装成假的浏览器更新文件(如Chromе.Uрdatе.zip、Chrome.Updater.zip、Firefoх.Uрdatе.zip、Operа.Updаte.zip、Oper.Updte.zip)感染那些访问被攻击网站的用户。 “Proofpoint威胁研究公司在一家为许多主要新闻机构提供服务的媒体公司上观察到间歇性的注入。该媒体公司通过Javascript向其合作伙伴提供内容,通过修改原本良性的JS的代码库,来部署SocGholish。 据企业安全公司Proofpoint的安全研究人员称,该恶意软件总共被安装在250多家美国新闻机构的网站上,其中还有一些是主要新闻机构。 虽然受影响的新闻机构总数目前尚不清楚,但根据Proofpoint表示:来自纽约、波士顿、芝加哥、迈阿密、华盛顿特区等地的多家媒体机构(包括国家新闻机构)遭受影响。 我们以TA569追踪这个行为者。发现TA569在轮流删除和恢复了这些恶意的JS注入。因此,有效载荷和恶意内容的存在可能从一个小时到另一个小时有所不同,不应视为解除风险。 “这种情况需要密切关注,因为Proofpoint已经观察到TA569在修复后几天又重新感染了相同的资产。” Proofpoint之前观察到SocGholish活动使用虚假更新和网站重定向来感染用户,包括在某些情况下,赎金软件的有效载荷。 网络犯罪团伙还在一次非常类似的活动中使用SocGholish,通过几十个被攻击的美国报纸网站传递虚假的软件更新提醒,感染了30多家美国大型私营企业的员工。 被感染的电脑后来被用作进入雇主的企业网络的跳板,试图部署该团伙的WastedLocker勒索软件。 幸运的是,赛门泰克在一份报告中透露,在针对多家私营公司的攻击中,他们阻止了威胁着加密被入侵网络的企图,其中包括30家美国企业,其中8家是财富500强企业。 SocGholish最近也被用来对感染了树莓罗宾恶意软件的网络进行后门攻击,微软将其描述为网络犯罪团伙的前赎金行为。   转自 Freebuf,原文链接:https://www.freebuf.com/news/348690.html 封面来源于网络,如有侵权请联系删除

更加重视情报共享,白宫召开第二届国际反勒索软件峰会

当地时间10月31日至11月1日,美国协同其他35个国家,在华盛顿白宫举行了第二届国际勒索软件倡议(CRI)峰会,以研究如何更好地打击勒索软件攻击。 在会后由白宫发布的联合声明中,成员国一众表示,将巩固对勒索软件的集体抵抗能力,包括: 让勒索软件攻击者对其罪行负责,确保不为其提供避风港 通过对虚拟资产及其服务商施行反洗钱和打击资助恐怖主义(AML\CFT)措施,打击勒索软件攻击者从中获得非法利益 在每个合作伙伴的适用法律和相关机构允许的最大范围内,瓦解勒索软件及其组织的攻击行为,并将其绳之以法 酌情根据法律法规,分享有关因滥用基础设施发动勒索软件攻击的情报信息,确保国家基础设施网络安全 会议还计划建立基于自愿原则的国际反勒索软件工作组(ICRTF),开发跨部门工具和威胁情报交流网络,以提高预警能力,并整合政策和最佳实践框架。ICRTF计划编制关于工具、战术和程序的公开报告,在提高反勒索软件安全水位的同时鼓励相关私营部门与ICRTF开展合作。 这次会议标志着由美国拜登政府领导的国际反勒索软件倡议正式成立一周年,美国官员坚称,尽管勒索软件造成的严重破坏仍在持续,但在过去一年内对勒索软件攻击的打击仍然取得了进展。即便如此,根据美国财政部11月1日的统计结果,美国金融机构在 2021 年期间预支付的勒索软件赎金高达将近 12 亿美元。 此次参会的36个国家中也包括了乌克兰。在去年举行的首届会议上,一位高级政府官员表示虽然俄罗斯没有受到邀请,未来可能会视情况邀请,但这位官员在本次会议上否定了这种可能性。 本次与会的还有13家企业及组织,包括微软、西门子、Crowdstrike、Mandiant 、非营利组织网络威胁联盟、网络安全联盟和安全与技术研究所等。 转自 Freebuf,原文链接:https://www.freebuf.com/news/348564.html 封面来源于网络,如有侵权请联系删除

研究人员揭露了 80 多台 ShadowPad 恶意软件 C2 服务器

Hackernews 编译,转载请注明出处: 自2021年9月以来,已发现多达85个命令控制(C2)服务器受ShadowPad恶意软件支持,最近于2022年10月16日检测到基础设施。 这是根据VMware的威胁分析小组(TAU)的说法,该小组研究了三种ShadowPad变体,使用TCP、UDP和HTTP(S)协议进行C2通信。 ShadowPad被视为PlugX的继承者,是一个模块化恶意软件平台,自2015年以来由多个中国国家赞助的黑客私下共享。 今年5月初,台湾网络安全公司TeamT5披露了另一个名为Pangolin8RAT的中国nexus模块化植入程序的细节,据信它是PlugX和ShadowPad恶意软件家族的继任者,将其与一个名为“Tianwu”的黑客组织联系起来。 VMware表示,对Winnti,Tonto团队和代号为“Space Pirates”的新兴黑客组织之前使用的三个ShadowPad工件进行了分析,通过扫描一个名为ZMap的工具生成的开放主机列表,可以发现C2服务器。 该公司进一步披露,它发现了与ShadowPad C2 IP地址通信的Spyder和ReverseWindow恶意软件样本,这两者都是APT41(又名Winnti)和LuoYu使用的恶意工具。 此外,还观察到上述Spyder示例与黑客Winnti 4.0特洛伊木马的Worker组件之间存在重叠。 VMware TAU的高级威胁研究员Takahiro Haruyama表示:“在互联网上扫描APT恶意软件C2有时就像在大海捞针一样,然而,一旦C2扫描起作用,它将成为最主动的威胁检测方法之一,从而改变游戏规则。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

与朝鲜有关的黑客 Kimsuky 正通过 3 个最新 Android 恶意软件针对韩国

据观察,被称为 Kimsuky 的朝鲜间谍活动参与者使用三种不同的 Android 恶意软件来针对韩国某些用户。这是根据韩国网络安全公司 S2W 的调查结果,该公司将恶意软件家族命名为 FastFire、FastViewer 和 FastSpy。 研究人员 Lee Sebin 和 Shin Yeongjae指出,FastFire 恶意软件伪装成谷歌安全插件,FastViewer恶意软件伪装成‘Hancom Office Viewer’,而FastSpy是基于AndroSpy的远程访问工具。Kimsuky,也被称为 Black Banshee、Thallium 和 Velvet Chollima。据悉被朝鲜以一项全球情报收集任务,不成比例地针对韩国、日本和美国的个人和组织。 去年8月,卡巴斯基发现了一个名为GoldDragon的未曾记录的感染链,以部署一个 Windows 后门,该后门能够从受害者那里窃取信息,例如文件列表、用户击键和存储的 Web 浏览器登录凭据。 Android 版本的AppleSeed植入程序也知道这种高级持续性威胁可以执行任意操作并从受感染的设备中泄露信息。 FastFire、FastViewer 和 FastSpy 是其不断发展的 Android 恶意软件库的最新成员,旨在接收来自 Firebase 的命令并下载其他有效负载。 “FastViewer 是一个重新打包的 APK,通过将攻击者插入的任意恶意代码添加到普通的 Hancom Office Viewer 应用程序中,”研究人员说,并补充说恶意软件还会下载 FastSpy 作为下一阶段。 有问题的流氓应用程序如下 : com.viewer.fastsecure(Google 보안 插件) com.tf.thinkdroid.secviewer (FastViewer) FastViewer 和 FastSpy 都滥用 Android 的可访问性 API 权限来实现其间谍行为,后者自动用户点击以类似于MaliBot的方式授予自己广泛的权限。 FastSpy 启动后,使攻击者能够控制目标设备、拦截电话和短信、跟踪用户的位置、获取文档、捕获击键并记录来自手机摄像头、麦克风和扬声器的信息。 2022 年 5 月曾被用于一次活动中,该活动被确定为由该组织精心策划,以分发伪装成朝鲜相关新闻的恶意软件发布。 研究人员表示:“Kimsuky 集团不断进行攻击,以窃取目标针对移动设备的信息。此外,正在通过定制开源 RAT 的 Androspy 进行各种尝试来绕过检测。” 由于 Kimsuky 集团的移动攻击策略越来越先进,因此有必要小心针对 Android 设备的复杂攻击。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/Inucu2jqhqUMSonwqC9n0A 封面来源于网络,如有侵权请联系删除

超 2000 万的安装量,Google Play 已成恶意广告程序的温床

McAfee的安全研究人员发现,GooglePlay官方商店里有16个恶意点击的应用程序,安装次数超过2000万次。其中一个名为DxClean的应用程序的安装次数更是超过500万次,搞笑的是,其用户评级竟然还有4.1分(满分5分)。 这类伪装成应用程序的广告软件,常常表现为在不可见的框架中或在后台加载广告并点击它们,为背后的攻击者创造收入。 最近,McAfee移动研究小组发现了潜入GooglePlay的新Clicker恶意软件。McAfee发表的报告中说:”总共有16个以前在GooglePlay上的应用程序被证实有恶意的有效载荷,大约有2000万次安装。” 攻击者将恶意点击代码隐藏在较为实用的应用软件中,如手电筒(Torch)、QR阅读器、 Camara、单位转换器和任务管理器。 恶意点击程序通过FCM消息(Firebase Cloud Messaging)传播,当应用程序收到符合某些条件的FCM消息时,相关功能就会在后台启动。FCM消息包括多种信息,比如要调用的函数和要传递的参数。” 通常情况下,这些功能会指示设备在后台访问网站,同时模仿用户的行为。这可能会消耗大量的网络流量和电力,同时通过在用户不知情的情况下点击广告为攻击者创造利润。 专家们在这些点击器应用程序中发现了两段代码,一个是”comclickcas”库,用于实现自动点击功能,第二个是”com.liveposting”库,作为一个代理,运行隐藏的广告软件服务。 目前安全公司分享了McAfee专家报告的所有16个Clicker应用程序,并且已从GooglePlay中删除。“Clicker恶意软件以非法广告收入为目标,可以破坏移动广告生态系统。恶意行为被巧妙地隐藏起来,难以被用户发现。” 最后,安全专家建议安装并激活一个安全软件,这样用户可及时了解设备上存在的任何移动安全威肋的通知。及时删除这些恶意应用程序,不仅可以延长电池使用时间,也可以大大减少流量的消耗,保护用户个人信息和数据安全。 转自 Freebuf,原文链接:https://www.freebuf.com/news/347844.html 封面来源于网络,如有侵权请联系删除

CERT-UA 警告称,古巴勒索软件子公司瞄准乌克兰

Hackernews 编译,转载请注明出处: 乌克兰计算机紧急响应小组(CERT-UA)警告称,当地关键基础设施可能受到古巴勒索软件攻击。 2022年10月21日,乌克兰CERT-UA发现了一场冒充乌克兰武装部队总参谋部新闻处的网络钓鱼活动。网络钓鱼邮件包括一个第三方网站的链接,用于下载标题为“Наказ_309.pdf”的文档。 该网页旨在诱骗读者更新软件(PDF阅读器)来阅读文档。 单击“下载”按钮后,名为“AcroRdrDCx642200120169_uk_UA.exe”的可执行文件将下载到计算机。 运行上述可执行文件将解码并运行“rmtpak.dll”DLL文件,即ROMCOM RAT。 研究人员将RomCom后门的使用与黑客Tropical Scorpius(又名UNC2596)联系在一起,CERT-UA将其追踪为UAC-0132,负责古巴勒索软件的分发。 乌克兰发布的警报称:“考虑到RomCom后门的使用以及相关文件的其他功能,我们认为可以将检测到的活动与Tropical Scorpius (Unit42),又名UNC2596(Mandiant)的活动联系起来,该集团负责古巴勒索软件的分发;CERT-UA 在标识符UAC-0132下监视活动。” 从2022年5月初开始,Palo Alto Network的第42分队观察到Tropical Scorpius黑客使用新颖的工具和技术部署了古巴勒索软件,包括定制后门RomCom。 警报还包括此次活动的妥协指标。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Ring 0 级固件威胁:新型 UEFI rootkit 恶意软件 BlackLotus 曝光

最近引发广泛讨论的“BlackLotus”,属于一款相当全能的固件级 rootkit 恶意软件。特点是能够躲过各种删除操作,以及绕过先进的 Windows 防护措施。此前这类高级攻击能力,仅被拥有深厚背景的机构所拥有,比如情报威胁组织。然而据报道,一款更新、更强大的 UEFT rootkit,正被人挂到暗网论坛上叫卖。 “防护环”示意(图自:Wikipedia / Hertzsprung) 卖家宣称 BlackLotus 是一款固件级 rootkit 恶意软件,能够绕过 Windows 防护措施、并在 x86 架构的最底层运行恶意代码。 率先曝光此事的安全研究人员指出,单个 rootkit 的许可证费用高达 5000 美元,而后续代码重建则只需 200 美元。 不过考虑到卖家罗列出来的功能,即使需要耗费重资,世界各地的网络犯罪分子和黑帽黑客也会趋之若鹜。 Scott Scheferman 总结道: BlackLotus 采用了汇编与 C 语言编写,体量仅 80KB(约 81920 字节)。 通过在内核级别(ring 0)提供‘代理防护’(agent protection),该 rootkit 能够在 UEFI 固件中长期驻留。 此外 BlackLotus 具有反虚拟机、反调试和代码混淆功能,以阻碍研究人员对其展开分析尝试,且附带功能齐备的安装指南 / 常见问题解答。 与同类 rootkit 一样,BlackLotus 能够在 Windows 启动前的第一阶段被加载,因而能够绕过 Windows / x86 平台上的诸多安全防护措施。 除了无视 Secure Boot、UAC、BitLocker、HVCI 和 Windows Defender,该恶意软件还提供了加载未签名驱动程序的能力。 其它高级功能包括功能齐备的文件传输模式、以及易攻破的签名引导加载程序 —— 除非影响当今仍在使用的数百个引导加载程序,否则很难将它斩草除根。 Scott Scheferman 还强调了 BlackLotus 可能对基于固件的现代安全防护机制构成威胁。 而且新 UEFI rootkit 在易用性、扩展性、可访问性、持久性、规避和破坏潜力方面,都实现了相当大的跨越。 此前人们一度认为这类威胁相当罕见,但过去几天不断被打脸的攻击报告,已经指向了截然不同的未来趋势。 最后,安全社区将对 BlackLotus 恶意软件的实际样本展开更加细致、深入的分析,以确定传闻的真实性、还是说它只是某人精心编造的一个骗局。     转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1329141.htm 封面来源于网络,如有侵权请联系删除

墨西哥调查“飞马”间谍软件的购买是否经过授权

墨西哥检察官在一份声明中提到,他们一直关注前律师工会以2300万美元收购“飞马”(Pegasus )间谍软件的事件。墨西哥律师检察院提到它正在调查“飞马”间谍软件的收购,以及它是否是合法进行的。 在周日的声明中,检察官提到了目前对两个人和一位杰出的前官员对PegASUS 间谍软件的使用进行的调查,几天前,现任当局否认它对记者或评论家进行了间谍活动。 Pegasus属于以色列间谍软件机构NSO集团。该集团有时仅将软件程序出售给政府或执法机构。 在声明中,墨西哥检察官表示,他们一直关注前律师工会的工作场所以 4.57 亿墨西哥比索(2300 万美元)的价格收购 Pegasus。 他们一直试图确定这是否是在正确的理由下完成的,并采取了必要的公开招标程序。 在第二次调查中,工作场所提到司法当局已获得 NSO 一直在“非法推广”Pegasus 的证据,但没有提供额外的细节。 报道称,NSO没有立即回复评论请求。 NSO否认参与 本月早些时候,NSO 告知路透社信息公司, 在以色列当局批准后,它仅将 Pegasus 许可给主权国家和当局公司的执法和情报公司 ,并在发现不当行为时终止合同。 NSO称它没有运行 Pegasus,对其利用率没有任何可见性,也没有获取有关潜在客户的详细信息。 在监督机构报告称至少三名调查墨西哥侵犯人权行为的人的电话被“飞马”感染后,墨西哥总统安德烈斯·曼努埃尔·洛佩斯·奥夫拉多尔否认他的官员监视记者或反对者后近两周发布了律师工会的公告。 洛佩斯·奥夫拉多尔在 2018 年当选总统,他在整个竞选活动中承诺结束联邦政府对其居民的监视。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1327983.htm 封面来源于网络,如有侵权请联系删除

微软发现:神秘的勒索软件 Prestige 正在针对乌克兰、波兰的运输和物流组织

微软报告称,新的 Prestige 勒索软件正被用于针对乌克兰和波兰的运输和物流组织的攻击。Prestige 勒索软件于10月11日首次出现在威胁环境中,所有受害者在一小时内相互攻击。 该活动的一个显著特点是,很少看到威胁行为者试图将勒索软件部署到乌克兰企业的网络中。微软指出,该活动与它正在跟踪的94个当前活跃的勒索软件活动组中的任何一个都没有关联。 微软威胁情报中心 (MSTIC) 发布的报告中写道:“该活动与最近与俄罗斯国家相关的活动,特别是在受影响的地区和国家,并与FoxBlade恶意软件(也称为HermeticWiper)的先前受害者重叠”。 HermeticWiper是网络安全公司ESET和博通旗下赛门铁克的研究人员于2月发现的破坏性擦除器,其恶意代码被用于袭击乌克兰数百台机器的攻击。 微软注意到,该活动不同于最近利用 AprilAxe (ArguePatch)/ CaddyWiper或Foxblade (HermeticWiper) 的破坏性攻击,这些攻击在过去两周袭击了乌克兰的几个关键基础设施组织。 MSTIC 尚未将这些攻击归因于已知的威胁组,同时,它正在跟踪该活动作为 DEV-0960。在目标网络中部署勒索软件之前,使用以下两个远程执行使用程序观察了威胁参与者: RemoteExec – 一种用于无代理远程代码执行的商用工具 Impacket WMIexec – 一种基于开源脚本的远程代码执行解决方案 DEV-0960 在一些攻击中使用以下工具来访问高权限凭证: winPEAS – 在 Windows 上执行权限提升的开源脚本集合 comsvcs.dll  – 用于转储 LSASS 进程的内存并窃取凭据 ntdsutil.exe – 用于备份 Active Directory 数据库,可能供以后使用凭据 “在所有观察到的部署中,攻击者已经获得了对域管理员等高权限凭证的访问权限,以促进勒索软件的部署。” 继续报告。“目前尚未确定初始访问向量,但在某些情况下,攻击者可能已经从先前的妥协中获得了对高特权凭据的现有访问权限。” MSTIC 研究人员观察到威胁参与者使用三种方法部署 Prestige 勒索软件: 方法一:将勒索软件payload复制到远程系统的ADMIN$共享中,使用Impacket在目标系统上远程创建Windows Scheduled Task来执行payload 方法二:将勒索软件payload复制到远程系统的ADMIN$共享,使用Impacket在目标系统上远程调用编码的PowerShell命令来执行payload 方法三:将勒索软件负载复制到 Active Directory 域控制器并使用默认域组策略对象部署到系统 部署后,Prestige 勒索软件会在其加密的每个驱动器的根目录中放置一个名为“README.txt”的勒索记录。 Prestige 使用 CryptoPP C++ 库对每个符合条件的文件进行 AES 加密,以防止数据恢复,勒索软件会从系统中删除备份目录。 Microsoft 发布了一份入侵指标 (IOC) 列表,高级搜索查询可检测 Prestige 勒索软件感染。微软将继续监控 DEV-0960 活动并为我们的客户实施保护措施。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/Wkww3B6prx4LMVSA5hTJIQ 封面来源于网络,如有侵权请联系删除