Meta* 宣布发布 一套用于保护和评估生成人工智能 (AI) 模型的工具。该工具包名为 Purple Llama，旨在帮助开发人员安全地使用生成式 AI 工具，包括Meta 的开源模型Llama-2。 Meta公司博客提到，Purple Llama这个名字来自于红队（Red Team）和蓝队（Blue Team）的组合： 红队涉及开发人员或测试人员攻击人工智能模型以识别错误和不良结果。这使您可以创建策略来抵御恶意攻击并保护模型免受功能故障的影响。 蓝队通过为生产和客户服务中使用的模型确定必要的缓解策略来响应红队攻击。 Meta 认为，为了最大限度地减少与生成人工智能相关的问题，有必要同时采取进攻和防御措施。紫色团队以协作方式结合了这两种角色，以评估和减轻潜在风险。 紫骆驼实施方案 作为新版本的一部分，Meta 声称这是“业界第一套针对大型语言模型 (LLM) 的网络安全评估”。该综合体包括： 量化法学硕士网络安全的指标； 用于评估不安全代码提案频率的工具； 使生成恶意代码或协助网络攻击变得困难的工具。 主要目标是将系统集成到模型工作流程中，以减少不需要的结果和不安全代码的输出，同时降低模型漏洞对网络犯罪分子的有用性。 Meta 表示，随着 Purple Llama 的发布，该公司的目标是提供有助于解决白宫承诺中描述的风险的工具。   转自安全客，原文链接https://www.anquanke.com/post/id/291785 封面来源于网络，如有侵权请联系删除

思科安全副总裁 Jitu Patel在最近于墨尔本举行的 Cisco Live 活动中分享了他对人工智能如何改变我们处理网络安全方式的愿景。 他说，重点可能会从应对网络攻击转向预测和预防网络攻击。一般来说，基于人工智能的自动化系统已经能够提前识别潜在威胁，因此此类解决方案的广泛实施已经为时不远。 随后，公司全新创新产品——思科AI助手正式亮相。该解决方案是将人工智能集成到思科统一跨域安全平台安全云中的重要一步。 Patel 强调：“要成为一家以人工智能为中心的公司，你需要以数据为中心。这项创新为我们的客户提供了内置于思科安全云中的人工智能。” 随着包括勒索软件在内的网络攻击不断增加，思科 AI Assistant 能够及时响应组织的机器级安全需求。 在新产品提供的创新中，值得强调的是用于调整防火墙安全策略的AI助手，它将帮助分析上述策略，提出建议并帮助尽可能高效地配置它们，而无需求助于任何其他策略指自然语言以外的语言。 思科还引入了一种直接检测加密流量中恶意活动的机制，这在以前被认为是一项非常难以实施的任务。 然而，帕特尔表示，实施此类基于人工智能的工具将需要强大的计算能力。因此，该公司打算将此类服务部分货币化。不过，我们并不是在谈论高价格，以免阻碍下一代安全解决方案的广泛采用。 因此，随着人工智能技术的发展，网络威胁防护市场预计将发生重大变化。重点可能会从被动转变为主动，这看起来确实是未来。   转自安全客，原文链接https://www.anquanke.com/post/id/291756 封面来源于网络，如有侵权请联系删除

英国政府周四指责俄罗斯联邦安全局（FSB）的一个部门利用网络攻击进行“持续但不成功”的攻击活动，破坏该国民主制度。 部长利奥·多赫蒂在向下议院发表的一份声明中表示，已传唤俄罗斯大使，以便政府提出这一问题，并强调政治干预是不可接受的。 自 2015 年以来，英国数百人的个人电子邮件帐户（包括来自多个政党的知名政客）已成为该活动的目标，据报道，其中包括 2019 年时任贸易部长利亚姆·福克斯 (Liam Fox) 的帐户。 英国政府正式将这些黑客攻击背后的组织归咎于FSB 18 中心的官员，该组织已被Calisto、COLDRIVER或Star Blizzard/SEABORGIUM等多家公司追踪。 周四上午，英国任命鲁斯兰·佩雷蒂亚特科 (Ruslan Peretyatko) 为 FSB Center 18 的官员之一，同时任命安德鲁·科里内茨 (Andrew Korinets) 为卡里斯托组织 (Callisto Group) 的成员，并将两人添加到其网络制裁名单中。 詹姆斯·巴贝奇表示：“今天宣布的制裁是国家犯罪局经过漫长而复杂的调查的结果，表明敌对的俄罗斯黑客组织是旨在破坏英国的反复、有针对性的攻击的幕后黑手。” “这一行动向针对英国的犯罪分子发出了明确的信息，无论他们身在何处；我们知道他们是谁，他们无法免受我们行动的影响，我们不会停止扰乱他们的努力。”NCA 威胁总干事补充道。 预计美国和欧盟将于周四晚些时候发表支持声明。 除了英国的声明之外，微软还发布了一篇博客文章，详细介绍了该组织的活动，并警告“该组织继续改进他们的间谍手段以逃避检测。” FSB Center 18 的官员此前在美国被指控招募犯罪黑客来攻击雅虎和谷歌运营的电子邮件服务。 据美国称，在那一事件中，目标“符合俄罗斯联邦安全局的预期利益”，其中包括“属于俄罗斯记者的个人账户；俄罗斯和美国政府官员；俄罗斯一家著名网络安全公司的员工；以及其他提供商的众多员工，他们的网络被共谋者试图利用。” 在利亚姆·福克斯的案例中，FSB 有选择地泄露并放大了这些被盗信息，这些信息随后在英国 2019 年大选期间被反对党领袖杰里米·科尔宾引用。 “俄罗斯干涉英国政治的企图是完全不可接受的，并且试图威胁我们的民主进程。尽管他们一再努力，但还是失败了。”英国外交大臣戴维·卡梅伦说。 英国政府此前曾指责俄罗斯试图“通过在网上放大非法获取和泄露的政府文件”来干预 2019 年大选。 当时，俄罗斯政府也被指控试图干涉美国和法国的选举，但俄罗斯政府否认了英国的指控。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/kDUGkz0_P59WNMjZ-rEFxw 封面来源于网络，如有侵权请联系删除

AI 网络安全初创公司 Lasso 发现了代码存储库中暴露的 1,600 多个有效 Hugging Face API 令牌，可提供对数百个组织帐户的访问。 泄露的秘密（例如代币）长期以来一直是代码托管平台和安全研究人员关注的焦点，因为它们落入坏人之手时会带来很高的风险。 Hugging Face API 令牌也不例外，它允许开发人员和组织集成大型语言模型 (LLM) 并管理 Hugging Face 存储库。 Hugging Face 是构建机器学习 (ML) 应用程序的工具提供商，是法学硕士项目开发人员的热门资源，使他们能够访问其存储库中的数十万个人工智能模型和数据集。 2023 年 11 月，Lasso 的研究人员开始在 Hugging Face 和 GitHub 上寻找暴露的 Hugging Face API 令牌，最终在两个平台上识别出 1,681 个泄露的有效令牌。 研究人员表示，这些代币可以访问 723 个组织的帐户，其中一些属于 Google、Meta、微软、VMware 等大型组织。 “在这些帐户中，我们发现 655 个用户的代币具有写入权限，其中 77 个用户的代币具有不同组织的权限，这使我们能够完全控制几家知名公司的存储库，”Lasso 指出。 该安全公司表示，其中一些代币提供了对拥有数百万下载量模型的组织帐户的完全访问权限。 “通过控制一个拥有数百万下载量的组织，我们现在拥有操纵现有模型的能力，有可能将它们变成恶意实体。这意味着一个可怕的威胁，因为损坏模型的注入可能会影响数百万依赖这些基础模型进行应用程序的用户，”Lasso 指出。 Lasso 表示，泄露的代币还会使存储库面临私有模型盗窃和训练数据中毒的风险，这是一种影响完整性或机器学习模型的攻击技术。 在 Lasso 调查期间，Hugging Face 弃用了其 org_api 令牌并阻止其在其 Python 库中使用。虽然这实质上删除了受影响存储库的写入权限，但它并没有阻止读取权限。 Lasso 表示，它已将调查结果告知受影响的用户和组织，其中许多用户和组织立即采取了行动，撤销了令牌并删除了公共访问令牌代码。Hugging Face 也获悉了调查结果。   转自安全客，原文链接：https://www.anquanke.com/post/id/291690 封面来源于网络，如有侵权请联系删除

最近，前网络安全公司首席运营官 Vikas Singla 已经承认犯有罪行。他在 2021 年 6 月黑入了格威内特医疗中心（GMC）旗下的两家医院，以拉动他所在公司的业务。 检察官在 2021 年 6 月的起诉书中指出，Singla 曾在为医疗行业提供服务的网络安全公司 Securolytics 工作。他承认侵入了位于德卢斯和劳伦斯维尔两地的 GMC Northside Hospital 医院的系统。 在 2018 年 9 月 27 日的攻击中，Singla 破坏了医疗服务机构的电话和网络打印机服务，并从与 GMC 劳伦斯维尔医院的乳房 X 光检查机连接的一台 Hologic R2 Digitizer 数字化设备中窃取了 200 多名患者的个人信息。 同一天，Singla 使用位于德卢斯的 GMC 医院的 200 多台打印机打印了窃取的患者信息，并附上了“WE OWN YOU”（我们控制了你）的信息。他还企图通过宣传这次攻击，包括发布未经授权获得的信息，为 Securolytics 招揽业务。 Singla 在推特上大肆宣传 GMC 黑客活动，公布了 43 名数据被盗的患者的姓名、出生日期和性别。Securolytics 在 Singla 实施攻击后，积极联系潜在客户，强调了 GMC 事件。 负责联邦调查局亚特兰大办事处的特工 Chris Hacker 表示：“这次针对医院的网络攻击不仅可能造成灾难性的后果，还导致患者的个人信息泄露。” Singla 被指控了 17 项故意损坏受保护电脑的罪名和 1 项从受保护电脑获取信息的罪名。检察官表示，被告对 GMC 的 ASCOM 电话系统、打印机和数字化设备的攻击造成了超过 81.7 万美元的经济损失。作为认罪协议的一部分，Singla 现在同意向劳伦斯维尔的格威内特 Northside 医院和 Ace American 保险公司支付超过 81.7 万美元的赔偿金和利息。 考虑到 Singla 被诊断患有一种罕见的、无法治愈的癌症和可能危险的血管疾病，检察官建议判处 57 个月的缓刑，包括家庭拘留，以便他能够得到适当的医疗护理。 法官将在 2024 年 2 月 15 日的量刑听证会上进行判决，可能判处最高 10 年的监禁。此案也涉及到破坏网络的罪名和造成的后果。   转自安全圈，原文链接：https://mp.weixin.qq.com/s/LkjD3qfabMfWmI2dtAlgdw 封面来源于网络，如有侵权请联系删除

美国青少年约瑟夫·加里森 (Joseph Garrison)（19 岁）承认参与了一项针对幻想体育和博彩网站用户帐户的撞库活动。 2022 年 11 月 18 日左右，该男子对博彩网站发起了撞库攻击，并获得了约 60,000 个账户的访问权限。在某些情况下，该男子及其同伙能够向受感染的账户添加新的支付方式，通过新的支付方式向该账户存入 5 美元以验证该方式，然后通过受害人账户提取所有现有资金。新的付款方式。根据法庭文件，骗子从大约 1,600 个被盗账户中窃取了大约 60 万美元。 根据法庭文件，2022 年 11 月 18 日，Garrison 对该博彩网站发起了攻击，获得了约 60,000 个用户帐户的访问权限。 警方在该男子的电脑上发现了近4000万条凭证，可用于凭证填充攻击。 “执法部门于 2023 年 2 月对 GARRISON 的家进行了搜查。在这次搜查中，他们找到了通常用于撞库攻击的程序。这些程序需要目标网站的个性化“配置”文件来发起撞库攻击，执法部门在 GARRISON 的计算机上找到了数十个不同公司网站的大约 700 个此类配置文件。” 阅读司法部发布的新闻稿。“执法部门还在 GARRISON 的计算机上发现了包含近 4000 万个用户名和密码对的文件，这些文件也用于撞库攻击。” 对加里森手机的分析揭示了他和同谋之间的对话，内容涉及如何入侵博彩网站以及如何直接或通过出售受害者账户的访问权限从受害者账户窃取资金。 据 SecurityWeek 报道，博彩网站 DraftKings 于 2022 年 11 月宣布，约 68,000 个账户在撞库攻击中遭到破坏。   转自安全客，原文链接：https://www.anquanke.com/post/id/291432 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： FBI 和 CISA 在一份联合报告中透露，自 2022 年 9 月以来，Royal 勒索软件团伙已经入侵了全球至少 350 个组织的网络。 在 3 月份发布的原始报告的更新中，这两家机构还指出，勒索软件行动与超过 2.75 亿美元的赎金要求有关。更新中包含了联邦调查局调查期间发现的额外信息。 报告中写道：“自 2022 年 9 月以来，Royal 已经在全球范围内锁定了 350 多名已知受害者，勒索软件的需求超过了 2.75 亿美元。” “Royal 在加密之前进行数据泄露和勒索，然后在没有支付赎金的情况下将受害者的数据发布到泄露网站。网络钓鱼邮件是 Royal 团伙最初访问的最成功的媒介之一。” 今年 3 月，FBI 和 CISA 首次共享了入侵指标和战术、技术和程序(TTPs)清单，以帮助防御者检测和阻止在其网络上部署皇家勒索软件有效载荷的企图。 美国卫生与公众服务部(HHS)安全团队于 2022 年 12 月透露，勒索软件是针对美国医疗机构的多起攻击的幕后黑手，随后发布了这份联合咨询。 从 Royal 到 BlackSuit? 最新的咨询报告还指出，Royal 可能会计划一个品牌重塑计划和/或衍生版本，BlackSuit 勒索软件将展示与 Royal 共享的几个编码特征。 BleepingComputer 在 6 月份报道称，Royal 勒索软件团伙一直在测试一种新的 BlackSuit 加密器，它与该组织常用的加密器有许多相似之处。 虽然人们认为，自 5 月份 BlackSuit 勒索软件行动浮出水面以来，Royal 勒索软件行动将会重塑，但实际上从未发生过。Royal 仍在积极利用 BlackSuit 对企业组织进行有限的攻击。 由于 BlackSuit 是一个独立的行动，Royal 可能计划成立一个专注于某些类型受害者的组织，因为一旦发现两个加密器之间的相似性，重新命名就不再有意义了。 “我相信我们很快就会看到更多类似 BlackSuit 的东西。但到目前为止，似乎新的载入程序和新的 Blacksuit 加密器都是失败的，”RedSense 的合伙人兼研发主管 Yelisey Bohuslavskiy 告诉 BleepingComputer。 与 Conti 网络犯罪团伙的联系 Royal 勒索软件是由技术高超黑客组成的一个私人组织，他们曾与臭名昭著的 Conti 网络犯罪团伙合作。 尽管在2022年1月首次被发现，但自同年9月以来，他们的恶意活动强度才有所增加。 虽然他们最初使用的是来自 ALPHV/BlackCat 等其他行动的勒索软件加密器，可能是为了避免引起注意，但该团伙后来转向部署自己的工具。 虽然他们的第一个加密器 Zeon 放弃了让人想起 Conti 生成的勒索信，但他们在2022年9月中旬进行了品牌重塑后改用了 Royal 加密器。最近，该恶意软件已经升级到在针对 VMware ESXi 虚拟机的攻击中加密 Linux 设备。 尽管他们通常通过可公开访问设备的安全漏洞渗透目标网络，但 Royal 运营商也以回调网络钓鱼攻击而闻名。 在这些攻击中，当目标拨打嵌入在电子邮件中的电话号码时，攻击者巧妙地伪装成订阅续订，利用社会工程策略诱骗受害者安装远程访问软件，授予他们访问目标网络的权限。 Royal 攻击者的手法包括对目标的企业系统进行加密，并要求每次攻击的赎金从25万美元到数千万美元不等。       Hackernews 编译，转载请注明出处 消息来源：bleepingcomputer，译者：Serene

本周发生的勒索软件攻击已使德国西部多个城市和地区的地方政府服务陷入瘫痪。周一早些时候，一个未知的黑客组织对当地市政服务提供商Südwestfalen IT的服务器进行了加密。为了防止恶意软件传播，该公司限制了70多个城市的基础设施访问，主要是在德国西部的北莱茵-威斯特法伦州。 该公司在一个临时网站上发布的声明中表示，此次袭击使当地政府服务“受到严重限制”，因为事件发生后，其主网站无法访问。 该地区几乎所有的市政厅都受到了黑客攻击的影响。 袭击发生当天，德国城市锡根的行政部门取消了与公民的预约，因为其大部分IT系统都被关闭了。截至周二，政府的大部分在线服务仍然无法使用。Wermelskirchen和Burscheid市政府的网站也在周三关闭。Wermelskirchen的一位女发言人告诉德国媒体：“由于中断，我们无法访问通过Südwestfalen IT运行的所有应用程序。”。这影响了该市的财政、居民、墓地和登记处。  政府在公开讨论此次袭击的影响时表示，尽管在线系统已经关闭，但他们仍在为公民提供面对面的服务。政府的内部和外部沟通，包括电子邮件和电话服务，大多是无效的。德国警方和网络安全机构正在调查此次黑客攻击，并努力恢复城市管理部门的服务。 Burscheid的一位发言人说：“但我们不能告诉我们的客户任何具体的事情，这给人们带来了很大的压力。” 德国网络安全专家表示，攻击的时间特别敏感，因为地方政府通常在月底进行金融交易。专家表示，此次袭击可能会阻碍工资、社会援助和护理基金转账等支付。 德国联邦信息安全办公室（BSI）表示，它知道这起全事件，并正在与受影响的服务提供商联系。然而，由于调查仍在进行中，它无法对进一步的细节发表评论。 参与调查的德国检察官告诉当地媒体，他们目前正在努力确定损失的程度，哪些服务受到影响，以及谁应对袭击负责。他们预计将进行“复杂而漫长的调查”。 转自E安全，原文链接：https://mp.weixin.qq.com/s/GB3s2e4eVwHqVguP6a01Vw 封面来源于网络，如有侵权请联系删除

安全研究人员发布了针对 Wyze Cam v3 设备的概念验证 (PoC) 漏洞，该漏洞可打开反向 shell 并允许接管易受攻击的设备。 Wyze Cam v3 是一款最畅销、价格低廉的室内/室外安全摄像头，支持彩色夜视、SD 卡存储、用于智能手机控制的云连接、IP65 防风雨等。 安全研究员 Peter Geissler（又名bl4sty）最近在最新的 Wyze Cam v3 固件中发现了两个缺陷，这些缺陷可以链接在一起以便在易受攻击的设备上远程执行代码。 第一个是“iCamera”守护进程中的 DTLS（数据报传输层安全）身份验证绕过问题，允许攻击者在 TLS 握手期间使用任意 PSK（预共享密钥）来绕过安全措施。 第二个缺陷在客户端发送 JSON 对象时建立 DTLS 身份验证会话后出现。由于特定数组处理不当，解析该对象的 iCamera 代码可能会被利用，从而导致堆栈缓冲区溢出，其中数据被写入内存的非预期部分。 攻击者可以利用第二个漏洞覆盖堆栈内存，并且鉴于 iCamera 代码中缺乏堆栈金丝雀和位置无关执行等安全功能，攻击者可以在相机上执行他们自己的代码。 Geissler 在 GitHub 上发布的漏洞利用这两个缺陷，为攻击者提供了交互式 Linux root shell，将易受攻击的 Wyze v3 摄像头转变为持久后门，并允许攻击者转向网络中的其他设备。 DTLS 身份验证绕过 Wyze 有一个守护进程 (iCamera)，它监听 UDP 端口 32761，讲一些TUTK 协议的衍生协议。协议的外层由使用有趣常数的加扰/异或帧组成。在此自定义帧格式内，您可以与相机建立 DTLS 会话。唯一受支持的密码套件是ECDHE-PSK-CHACHA20-POLY1305，典型的攻击者无权访问（设备唯一的）PSK。然而，有一种后备方法，您可以在 TLS 握手期间指定以“AUTHTKN_”开头的 PSK 身份，以便能够选择任意选择的 PSK。 JSON 解包中的堆栈缓冲区溢出 在与摄像机建立经过身份验证的 DTLS 会话后不久，客户端会发送一个数据包，其中包含 JSON 对象 blob，其属性名为cameraInfo. 在这个对象内部有一个包含数字的数组，称为audioEncoderList。负责解析此 JSON 对象的 iCamera 代码将循环遍历所有audioEncoderList条目并将它们复制到堆栈上固定大小的整数数组。 当然，既然现在是 2023 年，而且这是物联网的废话，我们不应该指望他们用堆栈金丝雀编译二进制文件，甚至作为位置无关的可执行文件。 因此，不需要任何额外的信息泄漏来绕过 ASLR 值，就可以 ROP 取得胜利！ 该漏洞经过测试并确认可在固件版本 4.36.10.4054、4.36.11.4679 和 4.36.11.5859 上运行，Wyze 于 2023 年 10 月 22 日发布了 固件更新版本 4.36.11.7071，解决了已发现的问题，因此建议用户尽快应用安全更新。 补丁争议  在一次私下讨论中，Geissler 向 BleepingComputer 解释说，他在大多数 Wyze 用户应用补丁之前就向公众公开了他的漏洞，以表达他对 Wyze 补丁策略的不满。 第一个是“iCamera”守护进程中的 DTLS（数据报传输层安全）身份验证绕过问题，允许攻击者在 TLS 握手期间使用任意 PSK（预共享密钥）来绕过安全措施。 第二个缺陷在客户端发送 JSON 对象时建立 DTLS 身份验证会话后出现。 由于特定数组处理不当，解析该对象的 iCamera 代码可能会被利用，从而导致堆栈缓冲区溢出，其中数据被写入内存的非预期部分。 攻击者可以利用第二个漏洞覆盖堆栈内存，并且鉴于 iCamera 代码中缺乏堆栈金丝雀和位置无关执行等安全功能，攻击者可以在相机上执行他们自己的代码。 Geissler 在 GitHub 上发布的漏洞利用这两个缺陷，为攻击者提供了交互式 Linux root shell，将易受攻击的 Wyze v3 摄像头转变为持久后门，并允许攻击者转向网络中的其他设备。 该漏洞经过测试并确认可在固件版本 4.36.10.4054、4.36.11.4679 和 4.36.11.5859 上运行。 Wyze 于 2023 年 10 月 22 日发布了 固件更新版本 4.36.11.7071，解决了已发现的问题，因此建议用户尽快应用安全更新。   转自安全客，原文链接：https://www.anquanke.com/post/id/291113 封面来源于网络，如有侵权请联系删除

Lazarus 集团被认为是一场新活动的幕后黑手，在该活动中，一家未透露姓名的软件供应商通过利用另一款备受瞩目的软件中的已知安全漏洞而受到损害。 卡巴斯基表示，这些攻击序列最终导致了 SIGNBT 和LPEClient等恶意软件系列的部署，这是威胁行为者用来进行受害者分析和有效负载传输的已知黑客工具。 安全研究员 Seongsu Park表示：“对手表现出了高度的复杂性，他们采用了先进的规避技术，并引入了 SIGNBT 恶意软件来控制受害者。” “这次攻击中使用的 SIGNBT 恶意软件采用了多样化的感染链和复杂的技术。” 这家俄罗斯网络安全供应商表示，开发被利用软件的公司曾多次成为 Lazarus 攻击的受害者，这表明有人试图窃取源代码或毒害软件供应链，就像3CX 供应链攻击的情况一样。 Park 补充道，Lazarus 集团“继续利用该公司软件中的漏洞，同时瞄准其他软件制造商”。作为最新活动的一部分，据称截至 2023 年 7 月中旬，已有多名受害者被挑选出来。 根据该公司的说法，受害者是通过一种合法的安全软件成为目标的，该软件旨在使用数字证书加密网络通信。该软件的名称并未公开，该软件被武器化以分发 SIGNBT 的确切机制仍然未知。 除了依靠各种策略来建立和维护受感染系统的持久性之外，攻击链还采用内存加载程序作为启动 SIGNBT 恶意软件的渠道。 SIGNBT 的主要功能是与远程服务器建立联系并检索进一步的命令以在受感染的主机上执行。该恶意软件因其在基于 HTTP 的命令和控制 (C2) 通信中使用前缀为“SIGNBT”的独特字符串而得名 – SIGNBTLG，用于初始连接 SIGNBTKE，用于在从 C2 服务器接收到 SUCCESS 消息后收集系统元数据 SIGNBTGC，用于获取命令 SIGNBTFI，通讯失败 SIGNBTSR，为了成功的沟通 Windows 后门本身具有多种功能来对受害者的系统进行控制。这包括进程枚举、文件和目录操作以及 LPEClient 和其他凭证转储实用程序等有效负载的部署。 卡巴斯基表示，它在 2023 年发现了至少三个不同的 Lazarus 活动，使用不同的入侵向量和感染程序，但始终依赖 LPEClient 恶意软件来传播最终阶段的恶意软件。 其中一项活动为代号为Gopuram的植入程序铺平了道路，该植入程序通过利用 3CX 语音和视频会议软件的木马版本，用于针对加密货币公司的网络攻击。 最新的发现只是与朝鲜有关的网络行动的最新例子，此外也证明了拉撒路集团不断发展和不断扩大的工具、策略和技术库。 “在当今的网络安全领域，拉撒路集团仍然是一个高度活跃和多才多艺的威胁参与者，”帕克说。 “威胁行为者表现出了对 IT 环境的深刻理解，改进了他们的策略，包括利用知名软件中的漏洞。这种方法使他们能够在实现初始感染后有效地传播恶意软件。”   转自安全客，原文链接：https://www.anquanke.com/post/id/291090 封面来源于网络，如有侵权请联系删除