美国青少年约瑟夫·加里森 (Joseph Garrison)（19 岁）承认参与了一项针对幻想体育和博彩网站用户帐户的撞库活动。 2022 年 11 月 18 日左右，该男子对博彩网站发起了撞库攻击，并获得了约 60,000 个账户的访问权限。在某些情况下，该男子及其同伙能够向受感染的账户添加新的支付方式，通过新的支付方式向该账户存入 5 美元以验证该方式，然后通过受害人账户提取所有现有资金。新的付款方式。根据法庭文件，骗子从大约 1,600 个被盗账户中窃取了大约 60 万美元。 根据法庭文件，2022 年 11 月 18 日，Garrison 对该博彩网站发起了攻击，获得了约 60,000 个用户帐户的访问权限。 警方在该男子的电脑上发现了近4000万条凭证，可用于凭证填充攻击。 “执法部门于 2023 年 2 月对 GARRISON 的家进行了搜查。在这次搜查中，他们找到了通常用于撞库攻击的程序。这些程序需要目标网站的个性化“配置”文件来发起撞库攻击，执法部门在 GARRISON 的计算机上找到了数十个不同公司网站的大约 700 个此类配置文件。” 阅读司法部发布的新闻稿。“执法部门还在 GARRISON 的计算机上发现了包含近 4000 万个用户名和密码对的文件，这些文件也用于撞库攻击。” 对加里森手机的分析揭示了他和同谋之间的对话，内容涉及如何入侵博彩网站以及如何直接或通过出售受害者账户的访问权限从受害者账户窃取资金。 据 SecurityWeek 报道，博彩网站 DraftKings 于 2022 年 11 月宣布，约 68,000 个账户在撞库攻击中遭到破坏。   转自安全客，原文链接：https://www.anquanke.com/post/id/291432 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： FBI 和 CISA 在一份联合报告中透露，自 2022 年 9 月以来，Royal 勒索软件团伙已经入侵了全球至少 350 个组织的网络。 在 3 月份发布的原始报告的更新中，这两家机构还指出，勒索软件行动与超过 2.75 亿美元的赎金要求有关。更新中包含了联邦调查局调查期间发现的额外信息。 报告中写道：“自 2022 年 9 月以来，Royal 已经在全球范围内锁定了 350 多名已知受害者，勒索软件的需求超过了 2.75 亿美元。” “Royal 在加密之前进行数据泄露和勒索，然后在没有支付赎金的情况下将受害者的数据发布到泄露网站。网络钓鱼邮件是 Royal 团伙最初访问的最成功的媒介之一。” 今年 3 月，FBI 和 CISA 首次共享了入侵指标和战术、技术和程序(TTPs)清单，以帮助防御者检测和阻止在其网络上部署皇家勒索软件有效载荷的企图。 美国卫生与公众服务部(HHS)安全团队于 2022 年 12 月透露，勒索软件是针对美国医疗机构的多起攻击的幕后黑手，随后发布了这份联合咨询。 从 Royal 到 BlackSuit? 最新的咨询报告还指出，Royal 可能会计划一个品牌重塑计划和/或衍生版本，BlackSuit 勒索软件将展示与 Royal 共享的几个编码特征。 BleepingComputer 在 6 月份报道称，Royal 勒索软件团伙一直在测试一种新的 BlackSuit 加密器，它与该组织常用的加密器有许多相似之处。 虽然人们认为，自 5 月份 BlackSuit 勒索软件行动浮出水面以来，Royal 勒索软件行动将会重塑，但实际上从未发生过。Royal 仍在积极利用 BlackSuit 对企业组织进行有限的攻击。 由于 BlackSuit 是一个独立的行动，Royal 可能计划成立一个专注于某些类型受害者的组织，因为一旦发现两个加密器之间的相似性，重新命名就不再有意义了。 “我相信我们很快就会看到更多类似 BlackSuit 的东西。但到目前为止，似乎新的载入程序和新的 Blacksuit 加密器都是失败的，”RedSense 的合伙人兼研发主管 Yelisey Bohuslavskiy 告诉 BleepingComputer。 与 Conti 网络犯罪团伙的联系 Royal 勒索软件是由技术高超黑客组成的一个私人组织，他们曾与臭名昭著的 Conti 网络犯罪团伙合作。 尽管在2022年1月首次被发现，但自同年9月以来，他们的恶意活动强度才有所增加。 虽然他们最初使用的是来自 ALPHV/BlackCat 等其他行动的勒索软件加密器，可能是为了避免引起注意，但该团伙后来转向部署自己的工具。 虽然他们的第一个加密器 Zeon 放弃了让人想起 Conti 生成的勒索信，但他们在2022年9月中旬进行了品牌重塑后改用了 Royal 加密器。最近，该恶意软件已经升级到在针对 VMware ESXi 虚拟机的攻击中加密 Linux 设备。 尽管他们通常通过可公开访问设备的安全漏洞渗透目标网络，但 Royal 运营商也以回调网络钓鱼攻击而闻名。 在这些攻击中，当目标拨打嵌入在电子邮件中的电话号码时，攻击者巧妙地伪装成订阅续订，利用社会工程策略诱骗受害者安装远程访问软件，授予他们访问目标网络的权限。 Royal 攻击者的手法包括对目标的企业系统进行加密，并要求每次攻击的赎金从25万美元到数千万美元不等。       Hackernews 编译，转载请注明出处 消息来源：bleepingcomputer，译者：Serene

本周发生的勒索软件攻击已使德国西部多个城市和地区的地方政府服务陷入瘫痪。周一早些时候，一个未知的黑客组织对当地市政服务提供商Südwestfalen IT的服务器进行了加密。为了防止恶意软件传播，该公司限制了70多个城市的基础设施访问，主要是在德国西部的北莱茵-威斯特法伦州。 该公司在一个临时网站上发布的声明中表示，此次袭击使当地政府服务“受到严重限制”，因为事件发生后，其主网站无法访问。 该地区几乎所有的市政厅都受到了黑客攻击的影响。 袭击发生当天，德国城市锡根的行政部门取消了与公民的预约，因为其大部分IT系统都被关闭了。截至周二，政府的大部分在线服务仍然无法使用。Wermelskirchen和Burscheid市政府的网站也在周三关闭。Wermelskirchen的一位女发言人告诉德国媒体：“由于中断，我们无法访问通过Südwestfalen IT运行的所有应用程序。”。这影响了该市的财政、居民、墓地和登记处。  政府在公开讨论此次袭击的影响时表示，尽管在线系统已经关闭，但他们仍在为公民提供面对面的服务。政府的内部和外部沟通，包括电子邮件和电话服务，大多是无效的。德国警方和网络安全机构正在调查此次黑客攻击，并努力恢复城市管理部门的服务。 Burscheid的一位发言人说：“但我们不能告诉我们的客户任何具体的事情，这给人们带来了很大的压力。” 德国网络安全专家表示，攻击的时间特别敏感，因为地方政府通常在月底进行金融交易。专家表示，此次袭击可能会阻碍工资、社会援助和护理基金转账等支付。 德国联邦信息安全办公室（BSI）表示，它知道这起全事件，并正在与受影响的服务提供商联系。然而，由于调查仍在进行中，它无法对进一步的细节发表评论。 参与调查的德国检察官告诉当地媒体，他们目前正在努力确定损失的程度，哪些服务受到影响，以及谁应对袭击负责。他们预计将进行“复杂而漫长的调查”。 转自E安全，原文链接：https://mp.weixin.qq.com/s/GB3s2e4eVwHqVguP6a01Vw 封面来源于网络，如有侵权请联系删除

安全研究人员发布了针对 Wyze Cam v3 设备的概念验证 (PoC) 漏洞，该漏洞可打开反向 shell 并允许接管易受攻击的设备。 Wyze Cam v3 是一款最畅销、价格低廉的室内/室外安全摄像头，支持彩色夜视、SD 卡存储、用于智能手机控制的云连接、IP65 防风雨等。 安全研究员 Peter Geissler（又名bl4sty）最近在最新的 Wyze Cam v3 固件中发现了两个缺陷，这些缺陷可以链接在一起以便在易受攻击的设备上远程执行代码。 第一个是“iCamera”守护进程中的 DTLS（数据报传输层安全）身份验证绕过问题，允许攻击者在 TLS 握手期间使用任意 PSK（预共享密钥）来绕过安全措施。 第二个缺陷在客户端发送 JSON 对象时建立 DTLS 身份验证会话后出现。由于特定数组处理不当，解析该对象的 iCamera 代码可能会被利用，从而导致堆栈缓冲区溢出，其中数据被写入内存的非预期部分。 攻击者可以利用第二个漏洞覆盖堆栈内存，并且鉴于 iCamera 代码中缺乏堆栈金丝雀和位置无关执行等安全功能，攻击者可以在相机上执行他们自己的代码。 Geissler 在 GitHub 上发布的漏洞利用这两个缺陷，为攻击者提供了交互式 Linux root shell，将易受攻击的 Wyze v3 摄像头转变为持久后门，并允许攻击者转向网络中的其他设备。 DTLS 身份验证绕过 Wyze 有一个守护进程 (iCamera)，它监听 UDP 端口 32761，讲一些TUTK 协议的衍生协议。协议的外层由使用有趣常数的加扰/异或帧组成。在此自定义帧格式内，您可以与相机建立 DTLS 会话。唯一受支持的密码套件是ECDHE-PSK-CHACHA20-POLY1305，典型的攻击者无权访问（设备唯一的）PSK。然而，有一种后备方法，您可以在 TLS 握手期间指定以“AUTHTKN_”开头的 PSK 身份，以便能够选择任意选择的 PSK。 JSON 解包中的堆栈缓冲区溢出 在与摄像机建立经过身份验证的 DTLS 会话后不久，客户端会发送一个数据包，其中包含 JSON 对象 blob，其属性名为cameraInfo. 在这个对象内部有一个包含数字的数组，称为audioEncoderList。负责解析此 JSON 对象的 iCamera 代码将循环遍历所有audioEncoderList条目并将它们复制到堆栈上固定大小的整数数组。 当然，既然现在是 2023 年，而且这是物联网的废话，我们不应该指望他们用堆栈金丝雀编译二进制文件，甚至作为位置无关的可执行文件。 因此，不需要任何额外的信息泄漏来绕过 ASLR 值，就可以 ROP 取得胜利！ 该漏洞经过测试并确认可在固件版本 4.36.10.4054、4.36.11.4679 和 4.36.11.5859 上运行，Wyze 于 2023 年 10 月 22 日发布了 固件更新版本 4.36.11.7071，解决了已发现的问题，因此建议用户尽快应用安全更新。 补丁争议  在一次私下讨论中，Geissler 向 BleepingComputer 解释说，他在大多数 Wyze 用户应用补丁之前就向公众公开了他的漏洞，以表达他对 Wyze 补丁策略的不满。 第一个是“iCamera”守护进程中的 DTLS（数据报传输层安全）身份验证绕过问题，允许攻击者在 TLS 握手期间使用任意 PSK（预共享密钥）来绕过安全措施。 第二个缺陷在客户端发送 JSON 对象时建立 DTLS 身份验证会话后出现。 由于特定数组处理不当，解析该对象的 iCamera 代码可能会被利用，从而导致堆栈缓冲区溢出，其中数据被写入内存的非预期部分。 攻击者可以利用第二个漏洞覆盖堆栈内存，并且鉴于 iCamera 代码中缺乏堆栈金丝雀和位置无关执行等安全功能，攻击者可以在相机上执行他们自己的代码。 Geissler 在 GitHub 上发布的漏洞利用这两个缺陷，为攻击者提供了交互式 Linux root shell，将易受攻击的 Wyze v3 摄像头转变为持久后门，并允许攻击者转向网络中的其他设备。 该漏洞经过测试并确认可在固件版本 4.36.10.4054、4.36.11.4679 和 4.36.11.5859 上运行。 Wyze 于 2023 年 10 月 22 日发布了 固件更新版本 4.36.11.7071，解决了已发现的问题，因此建议用户尽快应用安全更新。   转自安全客，原文链接：https://www.anquanke.com/post/id/291113 封面来源于网络，如有侵权请联系删除

Lazarus 集团被认为是一场新活动的幕后黑手，在该活动中，一家未透露姓名的软件供应商通过利用另一款备受瞩目的软件中的已知安全漏洞而受到损害。 卡巴斯基表示，这些攻击序列最终导致了 SIGNBT 和LPEClient等恶意软件系列的部署，这是威胁行为者用来进行受害者分析和有效负载传输的已知黑客工具。 安全研究员 Seongsu Park表示：“对手表现出了高度的复杂性，他们采用了先进的规避技术，并引入了 SIGNBT 恶意软件来控制受害者。” “这次攻击中使用的 SIGNBT 恶意软件采用了多样化的感染链和复杂的技术。” 这家俄罗斯网络安全供应商表示，开发被利用软件的公司曾多次成为 Lazarus 攻击的受害者，这表明有人试图窃取源代码或毒害软件供应链，就像3CX 供应链攻击的情况一样。 Park 补充道，Lazarus 集团“继续利用该公司软件中的漏洞，同时瞄准其他软件制造商”。作为最新活动的一部分，据称截至 2023 年 7 月中旬，已有多名受害者被挑选出来。 根据该公司的说法，受害者是通过一种合法的安全软件成为目标的，该软件旨在使用数字证书加密网络通信。该软件的名称并未公开，该软件被武器化以分发 SIGNBT 的确切机制仍然未知。 除了依靠各种策略来建立和维护受感染系统的持久性之外，攻击链还采用内存加载程序作为启动 SIGNBT 恶意软件的渠道。 SIGNBT 的主要功能是与远程服务器建立联系并检索进一步的命令以在受感染的主机上执行。该恶意软件因其在基于 HTTP 的命令和控制 (C2) 通信中使用前缀为“SIGNBT”的独特字符串而得名 – SIGNBTLG，用于初始连接 SIGNBTKE，用于在从 C2 服务器接收到 SUCCESS 消息后收集系统元数据 SIGNBTGC，用于获取命令 SIGNBTFI，通讯失败 SIGNBTSR，为了成功的沟通 Windows 后门本身具有多种功能来对受害者的系统进行控制。这包括进程枚举、文件和目录操作以及 LPEClient 和其他凭证转储实用程序等有效负载的部署。 卡巴斯基表示，它在 2023 年发现了至少三个不同的 Lazarus 活动，使用不同的入侵向量和感染程序，但始终依赖 LPEClient 恶意软件来传播最终阶段的恶意软件。 其中一项活动为代号为Gopuram的植入程序铺平了道路，该植入程序通过利用 3CX 语音和视频会议软件的木马版本，用于针对加密货币公司的网络攻击。 最新的发现只是与朝鲜有关的网络行动的最新例子，此外也证明了拉撒路集团不断发展和不断扩大的工具、策略和技术库。 “在当今的网络安全领域，拉撒路集团仍然是一个高度活跃和多才多艺的威胁参与者，”帕克说。 “威胁行为者表现出了对 IT 环境的深刻理解，改进了他们的策略，包括利用知名软件中的漏洞。这种方法使他们能够在实现初始感染后有效地传播恶意软件。”   转自安全客，原文链接：https://www.anquanke.com/post/id/291090 封面来源于网络，如有侵权请联系删除

属于乌克兰IT军组织的黑客在俄罗斯军队占领的一些领土上，暂时瘫痪了互联网服务。 在入侵克里米亚和乌克兰东部后，乌克兰的电信基础设施被俄罗斯士兵破坏。 黑客对“Miranda-media”、“Krimtelekom”和“MirTelekom”三家俄罗斯互联网服务提供商进行了DDoS攻击。IT军正在邀请支持者安装他们的软件，共同作战。 乌克兰IT军组织在其Telegram频道上发布道： 我们瞄准互联网和电信供应商，以破坏敌人的通信。今天，我们的情报部门策划了一场”thousand proxies”袭击，瘫痪了“Miranda-media”、“Krimtelekom”和“MirTelekom”，这不仅影响到克里米亚，还影响到赫尔松、扎波罗热、顿涅茨克和卢甘斯克地区被占领的部分地区。我们的网络军队又一次在前线破坏了敌人的军事通讯。 Miranda-media网络服务商周五宣布，它正面临大规模的DDoS攻击，公告中提到： “自2023年10月27日上午9点05分以来，数字服务运营商Miranda-Media一直在记录来自乌克兰黑客组织前所未有的DDoS攻击。因此，Miranda-Media、Krymtelecom和MirTelecom的服务暂时无法使用。公司的所有技术和IT服务都处于高度戒备状态。正在采取一切必要措施恢复网络的功能。” 俄罗斯的互联网服务商设法在周五结束时减轻了攻击，周五晚上恢复了部分服务。 电信基础设施和互联网服务是关键基础设施，是俄罗斯和乌克兰黑客的目标。 乌克兰计算机应急响应小组(CERT-UA)报告称，与俄罗斯有关的APT组织“沙虫”(UAC-0165)在2023年5月至9月期间入侵了乌克兰的11家电信服务商。根据公开消息来源，黑客攻击了至少11家乌克兰电信服务商的信息通信系统，导致其服务中断。     Hackernews 编译，转载请注明出处 消息来源：SecurityAffairs，译者：Serene

一个名为 StripedFly 的跨平台恶意软件在网络安全研究人员的眼皮底下潜伏了 5 年，期间感染了 100 多万台 Windows 和 Linux 系统。 卡巴斯基去年发现了这个恶意框架，并找到了它从2017年开始活动的证据。 分析师表示，StripedFly拥有复杂的基于 TOR 的流量隐藏机制、来自可信平台的自动更新、蠕虫式传播能力，以及在公开披露漏洞之前创建的自定义 EternalBlue SMBv1 漏洞利用程序。 虽然目前还不清楚这个恶意软件框架是用于创收还是网络间谍活动，但卡巴斯基表示，它的复杂性表明这是一个 APT（高级持续威胁）恶意软件。 根据该恶意软件的编译器时间戳，StripedFly最早的已知版本是2016年4月，其中包含一个EternalBlue漏洞，而Shadow Brokers组织的公开泄露发生在2016年8月。 StripedFly感染超 100 万个系统 卡巴斯基首次发现StripedFly恶意软件框架是在WININIT.EXE进程中注入了该平台的shellcode之后，WININIT.EXE进程是一个合法的Windows操作系统进程，负责处理各种子系统的初始化。 在对注入的代码进行调查后，他们确定该代码会从 Bitbucket、GitHub 和 GitLab 等合法托管服务下载并执行 PowerShell 脚本等其他文件。 进一步调查显示，受感染的设备很可能是首先使用定制的 EternalBlue SMBv1 漏洞利用程序入侵的，该漏洞针对的是暴露在互联网上的计算机。 StripedFly的最终有效载荷（system.img）采用了定制的轻量级TOR网络客户端，以保护其网络通信不被拦截，能够禁用SMBv1协议，并使用SSH和EternalBlue传播到网络上的其他Windows和Linux设备。 该恶意软件的命令和控制（C2）服务器位于 TOR 网络上，与它的通信需要频繁发送包含受害者唯一 ID 的信标信息。 StripedFly的感染链 为了在 Windows 系统上持久运行，StripedFly 会根据其运行的权限级别和 PowerShell 的存在调整其行为。 如果没有 PowerShell，它会在 %APPDATA% 目录中生成一个隐藏文件。在有 PowerShell 的情况下，它会执行用于创建计划任务或修改 Windows 注册表键值的脚本。 在 Linux 上，恶意软件的名称为 “sd-pam”。它使用 systemd 服务、自动启动 .desktop 文件或修改各种配置文件和启动文件来实现持久性。 在 Windows 系统上提供最后阶段有效载荷的 Bitbucket 存储库显示，从 2023 年 4 月到 2023 年 9 月，已经有近 60000 次系统感染。 据估计，自 2022 年 2 月以来，StripedFly 已感染了至少 22 万个 Windows 系统，但该日期之前的统计数据无法查明，而且该存储库创建于 2018 年。 不过，卡巴斯基估计有超过 100 万台设备感染了 StripedFly 框架。 恶意软件模块 该恶意软件以单体二进制可执行文件的形式运行，并带有可插拔模块，这使其具备了通常与 APT 行动相关的多功能操作性。 以下是卡巴斯基报告中对 StripedFly 模块的总结： 配置存储： 存储加密的恶意软件配置。 升级/卸载： 根据 C2 服务器命令管理更新或删除。 反向代理： 允许在受害者网络上进行远程操作。 杂项命令处理程序： 执行各种命令，如截图捕获和 shellcode 执行。 凭证收集器： 扫描并收集密码和用户名等敏感用户数据。 可重复任务： 在特定条件下执行特定任务，如麦克风录音。 侦察模块： 向 C2 服务器发送详细的系统信息。 SSH 感染器： 使用获取的 SSH 凭据渗透其他系统。 SMBv1 感染者： 使用定制的 EternalBlue 漏洞利用程序入侵其他 Windows 系统。 Monero 挖矿模块： 在伪装成 “chrome.exe “进程的同时挖掘 Monero。 卡巴斯基在报告中写道：恶意软件的有效载荷包含多个模块，使行为者能够以 APT、加密货币矿工甚至勒索软件群组的身份执行任务。 值得注意的是，该模块开采的Monero加密货币在2018年1月9日达到峰值542.33美元，而2017年的价值约为10美元。截至2023年，其价值一直维持在150美元左右。 卡巴斯基专家强调，挖矿模块是该恶意软件能够长期逃避检测的主要因素。   转自Freebuf，原文链接：https://www.freebuf.com/news/382025.html 封面来源于网络，如有侵权请联系删除

云计算巨头 VMware 本周警告称，存在影响 VMware vSphere 和 Cloud Foundation (VCF) 产品中服务器管理产品的新漏洞。 受影响的产品 VMware vCenter Server 提供了一个用于控制客户 vSphere 环境的集中平台。 周二，该公司发布了一份咨询和常见问题解答文件，概述了对CVE-2023-34048 的担忧，该漏洞的 CVSS 严重程度评分为 9.8（满分 10）。 该漏洞由趋势科技零日计划的 Grigory Dorodnov 发现，允许黑客攻击易受攻击的服务器。 VMware 指出，虽然在大多数公告中通常不会提及停产产品，但“由于此漏洞的严重性以及缺乏解决方法，VMware 已针对 vCenter Server 6.7U3、6.5U3 和 VCF 发布了普遍可用的补丁3.x”。 VMware指出，由于它影响了流行的vCenter Server，“影响范围很大”，客户应将其视为“紧急变化”，需要“迅速采取行动”。 该公司目前并不知道“野外”存在剥削行为。 Viakoo Labs 副总裁 John Gallagher 表示，该漏洞“非常严重”，因为 vCenter Server 是一个广泛使用的用于管理多个 VMware 实例的集中式平台，并被广泛的组织和工程团队使用。 “成功利用此 CVE 可以完全访问环境，并启用远程代码执行以进行进一步利用。从 VMware 为较旧的、已终止支持/终止生命版本的产品发布补丁的方式可以看出这种情况的严重性。”Gallagher 说。 “考虑到使用的广泛性以及旧版本仍在使用的情况，修补可能需要一些时间，从而使‘漏洞之窗’打开一段时间。” Qualys 威胁研究总监 Irfan Asrar 支持 Gallagher 的评估，并警告说受影响的产品是“全球大型企业客户非常普遍的应用程序”。 “鉴于这是一个严重程度较高的远程代码利用，组织应该非常认真地对待这一问题，特别是在当前的地缘政治气候下，”阿斯拉尔补充道。“除了作为勒索软件载体的明显用例之外，这还可以用于黑客活动议程上的威胁行为者发送消息。” 勒索软件团伙有针对 VMWare vCenter 服务器进行攻击的历史，其中多个团伙使用 Log4Shell 攻击来追查产品。     转自安全客，原文链接：https://www.anquanke.com/post/id/291039 封面来源于网络，如有侵权请联系删除

IBM 的一项新研究表明，当前的生成式人工智能 (AI) 模型已经非常擅长编写看似高度可信的网络钓鱼电子邮件，并且可以为攻击者节省大量时间。 在IBM针对一家未透明名称的全球医疗保健公司1600 名员工进行的测试中，各有一半的员工分别收到了来自由真人和AI编写的钓鱼邮件，结果显示，14% 的员工误入了真人编写的钓鱼电子邮件并点击了恶意链接，11% 的员工则陷入了由ChatGPT 编写的钓鱼邮件。  ChatGPT 制作的钓鱼电子邮件（由 IBM 提供） 虽然由真人编写的钓鱼邮件在欺骗度上高于AI，但差距已经不大，更重要的是，研究人员只用了五分钟就让 ChatGPT 写出了一封钓鱼邮件。 领导这项实验的 IBM 首席人力黑客斯蒂芬尼·卡拉瑟斯（Stephanie Carruthers） 说道：““我的团队通常需要大约 16 个小时来构建网络钓鱼电子邮件，而且这还不考虑基础设施设置。因此，攻击者可以通过使用生成式人工智能模型节省近两天的工作时间。” 虽然ChatGPT 开发商 OpenAI 已经采取了保护措施，防止聊天机器人响应网络钓鱼电子邮件、恶意软件或其他恶意网络工具的直接请求。但卡拉瑟斯和她的团队已经找到了解决方法。 团队首先要求 ChatGPT 列出医疗保健行业员工关注的主要领域，然后提示 ChatGPT在电子邮件中列出最重要的社交工程和营销技术，以提高更多员工点击电子邮件中恶意链接的可能性。接着，提示询问 ChatGPT 发件人应该是谁——公司内部人员、供应商或外部组织。最后，要求ChatGPT根据刚刚提供的信息制作一封电子邮件。 “我拥有近十年的社会工程经验，制作了数百封网络钓鱼电子邮件，我甚至发现人工智能生成的网络钓鱼电子邮件相当有说服力，”卡拉瑟斯说。 她解释说，在创建网络钓鱼电子邮件方面，人仍然比机器更好，因为生成式人工智能模型仍然缺乏欺骗更多人所需的情商。 然而，IBM X-Force 已经观察到，诸如 WormGPT 之类的工具在各种宣传网络钓鱼功能的论坛上出售，表明攻击者正在测试人工智能在网络钓鱼活动中的使用，而且该技术正在不断改进。   转自Freebuf，原文链接：https://www.freebuf.com/news/381833.html 封面来源于网络，如有侵权请联系删除

哈马斯对以色列发动致命袭击大约 11 天后， Telegram 频道一黑客组织发布消息声称，以色列内瓦蒂姆空军基地的计算机系统遭到破坏，该组织已收集了有关该设施飞行员、其他人员及其家人的信息。该消息包括据称从基地附近的安全摄像头拍摄的屏幕截图和视频。其中一张图片上的标题写道：“你不会安全。” 内瓦蒂姆位于以色列南部，是该国最大的空军基地之一，定期驻扎美国军事资产，并接收了多批美国军事援助物资。 以色列驻华盛顿大使馆周二没有回应置评请求，目前尚不清楚该组织的说法是否准确。对于与哈马斯结盟的黑客来说，对内瓦蒂姆系统的破坏将构成一次重大的公关政变。 这些类型的潜在爆炸性但难以验证的主张已成为寻求影响冲突的黑客活动组织的惯用手段。 周末，一个亲伊朗组织声称，为了报复美国对以色列的支持，它已经获取了数千名美国军方、执法和情报人员的数据，并以大约 2,000 美元的比特币价格出售。该组织发布的样本似乎包括数十名美国军人的身份证和相关文件。 美国军方发言人没有回复置评请求，执法官员周二也拒绝置评。 在以色列和哈马斯之间持续两周多的战斗之后，随着黑客活动组织加大行动力度，诸如此类未经证实的说法变得越来越普遍。针对 内瓦蒂姆空军基地的攻击是否真的发生尚不清楚，但专家警告说，随着冲突的持续，一系列微不足道的攻击 – 以及声称更为严重的攻击 – 可能预示着更重要的网络行动。 SentinelLabs 首席威胁研究员汤姆·黑格尔 (Tom Hegel) 告诉 CyberScoop：“我们可以预见，人们会越来越依赖旨在影响全球对冲突看法的信息行动，特别是在该地区复杂的地缘政治背景下。国家支持的威胁行为者通过各种手段加强其信息行动，包括操纵社交媒体平台、创建虚构的黑客组织以及实施旨在影响全球媒体的战略活动。” 驻英国的伊朗反对派活动家兼独立网络间谍研究员纳里曼·加里布 (Nariman Gharib) 告诉 CyberScoop，伊朗黑客组织“不断针对西方和以色列”。例如，与伊朗有关的人物已经表现出愿意通过窃取和发布有关性取向和艾滋病毒状况等敏感问题的个人数据来恐吓普通民众。 中东是黑客组织的沃土，而最近的网络行动历史是专家们如此担心随着以色列和哈马斯之间的战争拖延而对数字系统的攻击可能升级的原因之一。 被认为与哈马斯、真主党和伊朗有联系的组织多年来一直很活跃，开展的活动包括网络间谍、数据盗窃、黑客攻击和泄密活动，以及以工业控制设施为目标。 SentinelLabs 的高级威胁研究员在周二发布的区域参与者概要中写道。 与以色列有关的网络行动以伊朗政府资产为目标，发起令人尴尬的攻击，导致燃料分配系统关闭并损坏工业设施。 展望未来，黑格尔和米伦科斯基警告说，国家支持的黑客组织可能会利用黑客活动组织作为幌子来掩盖其攻击的起源，而伊朗黑客组织构成了特殊的威胁。 研究人员写道：“伊朗网络威胁行为者的多样性和适应性使他们成为未来全球威胁格局的重要且多方面的组成部分。” “必须将伊朗作为直接网络攻击行动和哈马斯和真主党等与伊朗有联系的组织支持的代理行动的潜在来源。”   转自安全客，原文链接：https://www.anquanke.com/post/id/291017 封面来源于网络，如有侵权请联系删除