据国外媒体报道，大型科技公司及其附属的网络安全、人工智能产品很可能会推出类似的安全研究，尽管这会引起用户极度地隐私担忧。大型语言模型被要求提供情报机构信息，并用于帮助修复脚本错误和开发代码以侵入系统，这将很可能会成为常态。 由于科技巨头能够将其与伊朗、朝鲜和俄罗斯等其他主要国家支持的黑客团体联系起来。OpenAI和与其主要投资者微软之间将开展联合研究，结合微软庞大的威胁情报，对恶意账户进行检查与分析，并最终进行封禁。 某网络安全和隐私专家指出，这证明了，尽管大型科技和AI公司广泛推动将隐私标准内化到他们的产品中，但拥有AI产品的公司倾向于筛查聊天记录和用户互动中的滥用行为，最主要的理由是考虑网络和国家安全。 CyberSheath的首席执行官埃里克·努南说：“尽管微软和OpenAI的报告中未提及隐私方面的问题，但这很明显是客观情况，想要观察到恶意用户的活动就意味着有一定程度的监视或监控。” 微软威胁情报策略总监Sherrod DeGrippo则指出，微软和OpenAI采取行动对抗已知的恶意行为者——这些行为者是微软威胁情报持续跟踪的300多个威胁行为者中的一部分，包括160个国家支持的行为者，50个勒索软件团体，以及许多其他行为者。我们的重点是识别和阻止这些我们在威胁空间中活跃的已知恶意身份、特征和基础设施。 研究人员和官员在过去一年中警告说，像OpenAI的ChatGPT或微软的Copilot这样的面向消费者的AI聊天工具的出现，可能会帮助建立起来的国家支持的黑客增强他们的能力，或者使经验不足的网络犯罪分子能够自动化部署程序，从而关闭网站或从网络中窃取敏感信息。 安全专家经常强调，网络战中新兴的AI元素是双刃剑，它帮助防御者和攻击者一样多。但是这两家公司采取的传统方法最终只是浏览消息历史并关闭相关账户，类似于社交媒体巨头分析帖子中的仇恨内容并终止用户。 这种动态在未来的网络和AI研究中可能会继续，这意味着用户可能会期望科技公司有时会深入聊天历史，并将其与网络犯罪分子或国家相关的黑客集团联系起来。鉴于我们已经看到的AI用例示例，AI隐私担忧是完全有根据的，其中用于学习模型的数据泄露或不恰当地被发现，没有适当的防护措施来保护数据。 美国公民自由联盟的隐私和技术高级政策顾问科迪·文兹克表示，任何提供在线服务的大型公司经常会引发隐私担忧，尽管许多隐私法律承认公司在减轻欺诈或解决安全漏洞时的作用。问题在于科技公司关于如何使用收集的数据的透明度通常不清楚。例如检查AI聊天记录是否阻止了攻击者并为网络安全威胁创造了缓解措施，或者这类信息是否被用在其他地方？ 大型科技公司及其附属的AI或网络安全产品可能会在未来发布类似的报告，这些报告涉及扫描聊天记录以检测黑客。尽管这可能不会导致全面监控，但像Mandiant这样的网络安全巨头——其母公司谷歌最近将其Bard AI聊天机器人重新品牌化——将有动力使用他们手头的每一个工具来保障网络安全。   转自Freebuf，原文链接：https://www.freebuf.com/news/391967.html 封面来源于网络，如有侵权请联系删除

1月29日，美国联邦调查局（FBI）就快递服务被用于向技术支持和冒充政府诈骗的受害者收取金钱和贵重物品一事发出警告。 联邦调查局警告公众称：近期，有很多骗子诱导受害者，特别是老年人将资产变现为现金和/或购买黄金、白银或其他贵金属以保护他们的资金。然后犯罪分子会安排快递员与受害者本人见面，取走现金或贵金属。 这些骗子冒充自己是技术公司的技术支持人员、金融机构或美国政府的员工、美国政府官员等等，并声称受害者的金融账户已被泄露或受到迫在眉睫的威胁，让受害者尽快变现资产。受害者通常会被胁迫将资产兑换成现金或贵金属，或者被指示将资金汇给金属交易商，然后将其购买的金属直接运到受害者的住所。 骗子会安排快递员到受害者家中或各种公共场所取回钱款或贵金属。为了使诈骗进一步合法化，犯罪分子还可能向受害人提供密码，以验证与快递员的交易。 同时，骗子还会承诺将受害者的资产存入一个安全账户，然后就再也没有任何音讯，完成骗局的闭环。这种精心策划的骗局以弱势群体为目标，已经给无数受害者造成了重大经济损失。 联邦调查局警告称：自去年 5 月到 12 月，联邦调查局互联网犯罪投诉中心（IC3）发现此类活动的发生次数激增，已累计造成超过 5500 万美元损失。 如何防范诈骗企图 为防范此类诈骗，联邦调查局建议，切勿向合法企业或美国政府机构寄送黄金或其他贵金属。并呼吁大家千万不要在接到这类电话后，就立刻把家庭住址信息告知陌生人，也不要和其见面寄送现金和其他贵重物品。 联邦调查局还分享了以下提示，以大大降低成为类似欺诈企图受害者的风险： 不要点击电脑上未经请求的弹出窗口、短信链接或电子邮件链接和附件。 不要联系弹出窗口、短信或电子邮件中提供的陌生电话号码。 不要应与您联系的不明人士的要求下载软件。 不要让不明身份的人访问您的计算机。 同时FBI敦促此类骗局的受害者立即向联邦调查局举报骗子，并提供尽可能多的犯罪分子信息，例如，他们的姓名、通信方式、使用的银行账户、用于购买通过快递服务发送给骗子的黄金的金属交易商名称等等。 去年 10 月，联邦调查局警告说，影响老年人的 “幽灵黑客 “诈骗案激增，仅去年1-6月的受害者损失就超过 5.42 亿美元。 联邦调查局早在去年就曾警告称有骗子冒充金融机构的退款支付门户网站，利用金融机构的信誉欺骗受害者，尤其是老年人。   转自Freebuf，原文链接：https://www.freebuf.com/news/390935.html 封面来源于网络，如有侵权请联系删除

2023 年，ReversingLabs 在三个主要开源软件平台（npm、PyPI 和 RubyGems）中发现了近 11,200 个独特的恶意软件包。 软件供应链滥用 这些调查结果表明，恶意软件包数量较 2020 年增加了 1,300%，较 2022 年增加了 28%，当时检测到的恶意软件包略高于 8,700 个。 “多年来，我们密切监控软件供应链暴露和攻击的增加。这份新报告反映了恶意软件在开源和商业平台上的扩散。” ReversingLabs 首席执行官Mario Vuksan说道。“仅依赖遗留应用程序安全性的企业将继续成为受害者。事实上，我们预计软件开发流程将持续面临重大风险，风险和升级流程将成为监管机构的重点关注点。” mlicious npm 包显著下降 PyPI 平台上的威胁每年增加 400%，2023 年前三个季度发现了 7,000 多个恶意 PyPI 软件包实例。其中绝大多数被归类为“信息窃取者”。主要包管理器（npm、PyPI 和 RubyGems）中存在超过 40,000 个泄露或暴露开发秘密的实例。 与 2022 年全年发现的恶意 npm 软件包相比，2023 年前三个季度的恶意 npm 软件包实例减少了 43%。 过去 12 个月里，软件供应链攻击也降低了复杂性并提高了可访问性。ReversingLabs 编制的数据显示，供应链攻击的进入门槛在去年稳步降低，一切都表明这种情况将在 2024 年继续下去。 软件供应链攻击不再只是民族国家行为者的领域，越来越多地由低技能的网络犯罪分子实施，使用开源软件包支持商品网络钓鱼活动就证明了这一点，这些网络钓鱼活动提供统包式自动化攻击，用于促进盗窃受害者数据。威胁行为者已经认识到如何滥用软件供应链中的薄弱环节来支持有针对性和不加区别的活动。 暴露的身份验证凭证仍然是首要挑战 登录凭证、API 令牌和加密密钥等数字身份验证凭证的暴露是恶意行为者的重要目标，也是 2023 年的一项重大挑战。通过定期扫描 npm、PyPI、RubyGems 等平台， ReversingLabs 发现，身份泄露继续困扰着流行的应用程序和托管平台，例如 Slack、AWS、Google、微软的 GitHub 存储库和 Azure 云。 在这四个开源平台上检测到的 40,000 多个身份验证凭证中，Npm 占 77%，即 31,000 个。在 npm 上检测到的身份验证凭证中，56% 用于访问 Google 服务，而 9% 则用于访问亚马逊的 AWS 云服务。 该研究在 PyPI 上发现了类似的模式，占 2023 年观察到的泄露身份验证凭证的 18%。在这些情况下，用于访问 Google 服务的令牌仅占检测到的身份验证凭证的 24% 以上。与 AWS 相关的身份验证凭证约占 PyPI 上发现的身份验证凭证总数的 14%。 软件供应链攻击预计将激增 ReversingLabs 研究表明，2023 年软件供应链风险的变化格局将继续改变 2024 年的网络安全格局。即使恶意供应链参与者的方法和偏好不断变化，针对开源和商业第三方代码的威胁和攻击也将继续增长。 预计网络犯罪分子和黑客都会倾向于最有可能成功的平台和技术。在备受瞩目的攻击之后，软件生产商和最终用户组织应该会看到持续的高标准披露要求以及来自联邦政府的更有针对性的指导，包括在保护软件供应链时使用 SBOM。 “由于缺乏足够的可见性，软件生产商及其客户无法发现开发管道中代码篡改和滥用的迹象或隐藏在编译的软件工件中的威胁。到 2024 年，如果组织不解决威胁，我们预计软件供应链攻击将会升级。”Vuksan 补充道。 “企业必须从对软件完整性的盲目信任转向能够验证软件并确保其不存在重大风险的经过验证的工具和流程。这包括扫描他们构建或购买的任何软件中的原始代码和编译的二进制文件的能力，以查找可能表明恶意软件和篡改实例的行为和无法解释的更改。”   转自安全客，原文链接：https://www.anquanke.com/post/id/292865 封面来源于网络，如有侵权请联系删除

全球航空租赁巨头 AerCap 遭受勒索软件攻击，成为过去六个月中第四家被攻击的航空业公司。 爱尔兰 AerCap Holdings 被认为是全球最大的商用飞机和航空租赁提供商之一，他们在周一向美国证券交易委员会 (SEC) 提交了一份披露通知。 “2024 年 1 月 17 日，我们经历了一次与勒索软件相关的网络安全事件。” 这家总部位于都柏林的公司在提交给美国证券交易委员会（SEC）的 6K 表格中表示，这是专门针对外国私营公司的。 文件中提到：“我们完全掌控了所有 IT 系统，迄今为止，我们没有遭受与此事件相关的任何财务损失。” AerCap 表示，他们立即采取措施启动了调查，包括聘请第三方网络安全专家并通知执法部门。目前尚不清楚数据泄露或其他可能的影响，调查仍在进行中。 根据投资研究平台 Macrotrends 的数据，AerCap 在 2022 年和 2023 年的年收入超过 70 亿美元，比 2021 年增长约 35 %。 2023年，航空行业多次遭受了勒索软件攻击，其中包括 BianLian 勒索软件组织声称在 9 月对加拿大航空发起的攻击、LockBit 团伙在 11 月对航空巨头波音发起的攻击以及 ALPHV/BlackCat 对日本航空电子公司发起的攻击。 2024 年 1 月 8 日，非洲肯尼亚航空公司也遭受了 Ransomexx 组织声称的违规行为。 值得注意的是，加拿大航空和肯尼亚航空都是 AerCap 的租赁客户。这家爱尔兰租赁公司为全球其他数十家主要航空公司提供服务，其中包括达美航空、联合航空、英国航空、汉莎航空、法国航空、卡塔尔航空和亚洲航空等。   转自安全客，原文链接：https://www.anquanke.com/post/id/292841 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 堪萨斯州立大学（Kansas State University，简称 K-State）遭遇了一起网络安全事件，导致其部分网络和服务受到影响。 2023 年 1 月 16 日，K-State 大学宣布其某些网络系统出现故障，包括 VPN、K-State Today 邮件以及 Canvas 和 Mediasite 上的视频。 该大学立即对此事件展开调查。 “我们能够确认，这些中断是最近一次网络安全事件的结果，因此，我们希望您知道这些受影响的系统已经被下线，并将在调查继续的过程中保持下线。”大学在其网站上发布的消息中写道。“这还包括一些共享驱动器和打印机，以及大学的列表服务器。” 堪萨斯州立大学（Kansas State University，简称KSU、Kansas State或K-State）是一所位于堪萨斯州曼哈顿市的公立土地授予研究型大学。该大学被分类为“R1：博士大学 – 非常高的研究活动”。 堪萨斯州立大学的学术课程由九个学院管理，包括兽医学院和 Salina 的技术与航空学院。提供的研究生学位包括 65 个硕士学位项目和 45 个博士学位项目。 目前，堪萨斯州立大学拥有 20,000 名学生，并有超过 1,400 名学术教职工成员。 KSU 建议其工作人员和学生报告任何可疑活动。 2023 年 1 月 17 日，大学宣布电子邮件将于 1 月 18 日（星期四）以临时格式恢复。 2023 年 1 月 18 日，KSU Wireless 仍然不可用，大学建议在此期间使用 KSU Guest 进行无线连接。 截至目前，堪萨斯州立大学尚未提供有关安全漏洞的详细信息。   消息来源：securityaffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

COLDRIVER 针对非政府组织、前情报和军事官员以及北约政府中的知名人士等目标，以往该组织主要通过网络钓鱼活动窃取凭据。 谷歌周四警告（https://blog.google/threat-analysis-group/google-tag-coldriver-russian-phishing-malware/）称，以网络钓鱼攻击闻名的俄罗斯 APT 组织 ColdRiver 也一直在开发定制恶意软件。 谷歌安全团队共享了失陷检测指标 (IoC) 和 YARA 规则，以帮助防御者检测和分析威胁。 ColdRiver 还受到 Star Blizzard、Callisto Group、BlueCharlie、TA446 和 Dancing Salome 等其他公司的关注。该组织与俄罗斯联邦安全局的一个部门有联系，以开展网络间谍活动和影响力活动而闻名。 APT 组织通常针对美国、英国和其他北约国家的学术界、国防、政府、非政府组织和智库部门的组织。 美国和英国政府最近就 ColdRiver 的活动向各组织发出警告，并宣布对两名涉嫌成员实施制裁。 ColdRiver 的许多攻击都涉及旨在窃取凭据的鱼叉式网络钓鱼。谷歌的安全研究人员最近发现似乎是由该组织开发和使用的定制恶意软件。 该恶意软件名为 Spica，被描述为用 Rust 编写的后门，它使用基于 Websocket 的 JSON 进行命令和控制 (C&C)。Spica 可用于执行任意 shell 命令、窃取 Web 浏览器 cookie、上传和下载文件、获取文件系统内容以及窃取文档。 该恶意软件是通过向目标发送看似加密的良性 PDF 来传播的。当受害者通知发件人 PDF 已加密时，他们会收到一个据称可用于解密文档的可执行文件，这个可执行文件会部署恶意软件。 诱饵文档 Spica 于 2023 年 9 月被 Google 发现，但 ColdRiver 可能至少从 2022 年 11 月起就开始使用它。该公司的研究人员只能获得该恶意软件的单个样本，他们认为该样本可能在 8 月份就被使用过。 谷歌研究人员表示：“我们认为 SPICA 后门可能有多个版本，每个版本都有不同的嵌入诱饵文档，以匹配发送给目标的诱饵文档。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Yk0WmhcN5MhUvZNjTUEtuw? 封面来源于网络，如有侵权请联系删除

1月16日，美国联邦调查局 (FBI) 和网络安全与基础设施安全局 (CISA)发布了一份关于该恶意软件的联合公告，称名为Androxgh0st 恶意软件的幕后黑客正在创建一个强大的僵尸网络。 Androxgh0st最早可以追溯到 2022 年 12 月，当时 Lacework 的研究人员发现该恶意软件被用于窃取各种凭证，这些凭证来自很多主流应用，例如 Amazon Web Services、Microsoft Office 365、SendGrid 和 Twilio。 研究人员表示，由Androxgh0st 组建的僵尸网络会搜索 .env 文件，这类文件通常被用来存储凭证和令牌。恶意软件还支持许多能够滥用简单邮件传输协议 (SMTP) 的功能，例如扫描和利用暴露的凭据和应用程序编程接口 (API) 以及 Web shell 部署。 此外，该恶意软件还使用 Laravel 框架（一种用于开发 Web 应用程序的工具）漏洞搜索网站。一旦僵尸网络发现又使用 Laravel 的网站，就会尝试确定某些包含凭证的文件是否暴露。 而这框架一漏洞被追踪为CVE-2018-15133，CISA于1月16日将该漏洞添加到其已知利用漏洞目录中。美国联邦民事机构必须在 2 月 6 日之前对其进行修补。 网络安全专家约翰·史密斯（John Smith） 表示，AndroxGh0st 是云基础设施面临的威胁日益增长的另一个例子。 该恶意软件用于加密劫持、垃圾邮件或恶意电子邮件活动，并利用 Web 应用程序中未修补的漏洞进行横向移动，并通过创建帐户和提升权限来维持持久性。 史密斯指出，由于 AndroxGh0st 正在利用暴露的 .env 文件和未修补的漏洞，因此建议用户定期检查和监控云环境是否存在任何暴露，并制定带外修补策略。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/389879.html 封面来源于网络，如有侵权请联系删除

最近，Fortinet专家发现了一种新的网络威胁：攻击者正利用与盗版软件相关的YouTube视频分发名为Lumma的数据窃取程序。 这些视频通常包含有关被黑客入侵的应用程序的信息，其安装说明相似，并包含恶意URL。这些URL通常通过服务如TinyURL和Cuttly进行缩短。 长期以来，这种方法一直被用来传播各种恶意软件，包括数据盗窃、加密货币和非法挖矿恶意软件。需要注意的是，这些欺诈视频有可能在热门视频平台上保留较长时间，然后被删除，但很快之后又会被大量重新上传。 在最近发生的网络攻击中，攻击者有针对在YouTube上搜索合法视频编辑器（例如Vegas Pro）的用户。攻击手法包括在网络钓鱼视频中使用社会工程技术，诱使观看者点击视频描述中的链接。这导致用户从MediaFire文件共享服务下载被植入恶意代码的安装程序。 安装程序包含一个伪装成安装可执行文件的恶意LNK文件。该LNK文件会通过从GitHub存储库进行静默下载，获取.NET加载程序。随后，Lumma Stealer除了检查虚拟机上是否正在运行恶意软件之外，还开始在受感染的系统上执行操作。 Lumma infostealer是一款使用C语言编写的恶意软件，自从2022年底以来已在地下论坛上出售。该恶意软件具备收集敏感数据的能力，并将这些数据传输到攻击者控制的服务器。据一些报告称，Lumma infostealer首次在2018年的实际攻击中被发现。 在2023年10月，我们发布了一份报告，详细描述了这种恶意软件通过Discord机器人，利用游戏玩家流行平台的API进行传播的情况。 为了有效防范Lumma等信息窃取者和其他网络威胁，建议在下载应用程序之前三思而后行，尽量使用官方渠道下载任何软件，并获得可靠的防病毒解决方案以进一步提高安全性。   转自安全客，原文链接：https://www.anquanke.com/post/id/292492 封面来源于网络，如有侵权请联系删除

2023 年总共分配了超过 28,000 个 CVE ID，并命名了 84 个新的 CVE 编号机构 (CNA)。 与上一年相比，2023 年指定 CVE 编号机构 (CNA) 的组织数量以及分配的常见漏洞和暴露 (CVE) 标识符的数量有所增加。 思科威胁检测与响应首席工程师 Jerry Gamblin 表示，2023 年发布了 28,902 个 CVE，高于 2022 年的 25,081 个。平均每天有近 80 个新 CVE。自 2017 年以来，已发布的 CVE 数量一直在稳步增加。 从严重程度来看，2023 个 CVE 的平均 CVSS 评分为 7.12，其中 36 个漏洞的评分为 10。 根据MITRE 维护、美国政府赞助的 CVE 计划的数据，2023 年宣布的新 CNA 数量从 2022 年的 56 个增加到 84 个。目前，有来自 38 个国家的近 350 个 CNA。 CNA 是供应商、网络安全公司和其他组织，它们被允许将 CVE 标识符分配给自己的产品和/或其他产品中发现的漏洞。 新的 CNA 名单包括独立黑客组织，例如 Austin Hackers Anonymous；ServiceNow、开放设计联盟等软件组织；Schweitzer Engineering Laboratories、AMI、Moxa、Phoenix Technologies 和 Arm 等硬件制造商；政府机构，例如芬兰国家网络安全中心 (NCSC-FI)；网络安全公司，例如 Mandiant、Checkmarx、Otorio、VulnCheck、CrowdStrike、SEC Consult、Illumio 和 HiddenLayer；以及印刷巨头利盟、佳能（欧洲、中东和非洲）和施乐。 Gamblin 指出，2023 年有 250 个 CNA 发布了至少一个 CVE。排名靠前的 CNA 包括 Microsoft、VulDB、GitHub 和 WordPress 安全公司 WPScan 和 PatchStack。VulDB、GitHub、WPScan 和 PatchStack 去年总共分配了超过 6,700 个 CVE。 最常分配的常见弱点枚举 (CWE) 标识符类型是 CWE-79，即网页生成期间输入的不正确中和，也称为跨站点脚本攻击 (XSS)。去年，超过 4,100 个 CVE 被分配给 XSS 漏洞。 XSS 紧随其后的是 SQL 注入漏洞，此类安全漏洞大约有 2,000 个。 转自FreeBuf，原文链接：https://www.anquanke.com/post/id/292487 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处：   知名律师事务所 Orrick，Herrington&Sutcliffe 近期披露了一起数据泄露事件，超过 60 万人受该事件影响。 据了解，此次数据泄露事件发生在 2023 年 2 月 28 日至 3  月 13 日，攻击者在入侵该公司网络后，获得了一个数据存储区，其中包括该律所的相关客户文件。在该事件发生后，Orrick 采取了对应措施来阻止未经授权的访问，并启动了对安全事件的调查。 Orrick 补充到：自该事件发生以来，暂未发现进一步的未经授权行为。 在这次安全事件中，可能受到影响的信息包括：姓名、地址、电子邮件地址、出生日期、社会安全号码、驾驶执照或其他政府发行的身份证明号码、护照号码、金融账户信息、纳税人识别号码、医疗治疗和/或诊断信息、索赔信息（日期、服务费用和索赔标识符）、健康保险信息等。 据路透社报道，去年12月，该律师事务所宣布已初步与数据泄露相关的四起集体诉讼达成和解。 Orrick 于 1863 年在旧金山成立，主要为金融、政府、基础设施、技术和其他类型的组织提供交易、诉讼和监管事务咨询。     Hackernews 编译，转载请注明出处 消息来源：securityweek，译者：dengdeng