近日，研究人员发现基于 Windows 的 Grandoreiro 特洛伊银行木马再次重新浮出水面。据悉，这是该木马在 2024 年 3 月份之后，又一次在全球范围内发动攻击。 IBM X-Force 表示，大规模网络钓鱼攻击活动可能由其他网络犯罪分子通过“推行”恶意软件即服务（MaaS）模式，针对遍布中美洲和南美洲，非洲，欧洲和印太地区的 60 多个国家 1500 多家银行，发动网络攻击行动。 值得一提的是，自出道以来，Grandoreiro 背后的运营商一直将“目光”锁定在了拉丁美洲、西班牙和葡萄牙等地区，也曾在这些地区发动了多次网络攻击活动，获得很多坏“名声”，但自从巴西当局试图关闭其基础设施后，该组织便开始了战略转变，谋求大规模自主扩张。 同时，Grandoreiro  恶意软件自身也进行了重大改进。 安全研究人员 Golo Mühr 和 Melissa Frydrych 指出， 在对 Grandoreiro  恶意软件进行详细分析后，发现其对字符串解密和域生成算法（DGA）进行了重大更新，并能在受感染主机上使用微软 Outlook 客户端进一步传播钓鱼电子邮件。 在进行网络攻击时，钓鱼邮件会指示收件人点击链接查看发票或付款（具体取决于诱惑的性质和邮件中假冒的政府实体），一旦点击了链接，用户会被重定向到一个 PDF 图标图像，最终被引导着下载一个包含 Grandoreiro 载入器可执行文件的 ZIP 压缩包。 自定义加载程序被人为地膨胀到 100 MB 以上，以绕过反恶意软件扫描软件。此外，它还负责确保受感染的主机不在沙盒环境中，将基本受害者数据收集到命令和控制 （C2） 服务器，以及下载和执行主要银行木马。 值得注意的是，该验证步骤还跳过了位于俄罗斯、捷克、波兰和荷兰的系统，以及位于美国且未安装杀毒软件的 Windows 7 机器。 特洛伊木马组件通过 Windows 注册表建立持久性开始执行，然后使用重新设计的 DGA 与 C2 服务器建立连接以接收进一步的指令，Grandoreiro 支持各种命令，允许威胁攻击者远程征用系统，执行文件操作并启用特殊模式，包括收集Microsoft Outlook数据并滥用受害者的电子邮件帐户以向其他目标发送垃圾邮件的新模块。 研究人员强调，为了与本地 Outlook 客户端进行交互，Grandoreiro 使用 Outlook 安全管理器工具，通过使用本地 Outlook 客户端发送垃圾邮件，Grandoreiro 可以利用电子邮件在受感染的受害者收件箱中传播，这很可能是导致从 Grandoreiro 中观察到大量垃圾邮件的原因。   转自Freebuf，原文链接：https://www.freebuf.com/news/401362.html 封面来源于网络，如有侵权请联系删除

安全研究人员发现了新的后门程序，分别名为LunarWeb和LunarMail，该程序被用于攻击欧洲政府在海外的外交机构。 此恶意软件被用来入侵在中东有多个外交使团的某欧洲国家外交部，该软件至少自2020年以来一直在活跃。 网络安全公司ESET的研究人员认为，这些后门程序可能与俄罗斯国家支持的黑客组织Turla有关。这一推测的可信度属于中等水平。 Lunar攻击链 ESET在其报告中表示，攻击从鱼叉式网络钓鱼邮件开始，这些邮件携带含恶意宏代码的Word文件，用来在目标系统上安装LunarMail后门程序。 VBA宏代码通过创建Outlook插件来在被感染的主机上建立持久性，并确保每次启动电子邮件客户端时该插件都会被激活。 恶意 Outlook 加载项 ESET分析人员还发现潜在滥用配置错误的开源网络监控工具Zabbix来投放LunarWeb有效载荷的证据。 具体来说，服务器上部署了一个模仿Zabbix代理日志的组件，在通过HTTP请求使用特定密码访问时，它会解密并执行加载器和后门组件。 LunarWeb通过多种技术持久存在于被入侵的设备上，技术包括创建组策略扩展、替换系统DLL文件以及作为合法软件的一部分进行部署。 研究人员称，这两个有效载荷由恶意软件加载器”LunarLoader”解密，该加载器使用RC4和AES-256加密算法解密来自加密数据块的内容。此加载器使用DNS域名进行解密操作，并确保仅在目标环境中运行。 一旦Lunar后门在主机上运行，攻击者可以通过指挥C2服务器直接发送命令，并使用被盗凭证和被入侵的域控制器在网络中进行横向移动。 活动中出现的两条感染链 LunarWeb和LunarMail 这两个Lunar后门程序旨在进行长期隐蔽监控、数据盗窃以及保持对受感染系统的控制，例如政府和外交机构等高价值目标。 LunarWeb部署在服务器上，通过伪造Windows和ESET产品更新的HTTP标头模拟合法流量。该后门程序接收隐藏在.JPG和.GIF图像文件中的命令，此命令通过隐写术技术隐藏，包括执行shell和PowerShell命令、收集系统信息、运行Lua代码、压缩文件以及以AES-256加密形式外传数据。 ESET研究人员在一次攻击中观察到，黑客在几分钟内将LunarWeb投放到欧洲外交部的三个外交机构。 攻击者之所以能够快速移动，可能是因为他们之前已经获得了该部域控制器的访问权限，利用它从网络上的其他机构移动到计算机。 LunarMail部署在安装了Microsoft Outlook的用户工作站上。 它使用基于电子邮件的通信系统（Outlook MAPI）与特定的Outlook配置文件进行数据交换，这些配置文件与C2链接，用以逃避在HTTPS流量监控较为严格的环境中的检测。 从C2发送的命令嵌入在电子邮件附件中，通常隐藏在.PNG图像中，后门程序解析该图像来提取隐藏指令。 LunarMail可以创建进程、截屏、写文件和运行Lua代码。Lua脚本执行允许它在需要的时间内直接运行shell和PowerShell命令。 LunarMail 操作图 基于Lunar工具集和过去活动的战术、技术和程序（TTPs）的相似性，ESET将此后门程序归因于俄罗斯黑客组织Turla，可信度为中等。 然而，研究人员注意到存在不同程度的复杂性，这表明该工具可能是由多人开发和操作的。 尽管入侵是最近发生的，但根据ESET发现的证据显示，这些后门至少自2020年以来一直在运作，并且成功地规避了检测。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

威胁情报公司 Recorded Future 周二对滥用合法 GitHub 配置文件传播信息窃取恶意软件的恶意活动发出警报。 作为该活动的一部分，在独立国家联合体 (CIS) 之外活动的俄语黑客通过冒充 1Password、Bartender 5、和 Pixelmator Pro进行攻击。 Recorded Future 在一份新报告中指出，恶意软件操作共享相同的命令与控制 (C&C) 基础设施，这表明在跨平台攻击中使用了集中式设置，可能会提高效率。 2024 年初的行业报告显示，AMOS 通过欺骗性网站、冒充合法 macOS 应用程序（包括 Slack 的安装文件）以及欺诈性 Web3 项目进行分发。 以这些报告为起点，Recorded Future 发现了 12 个宣传合法 macOS 软件的网站，但将受害者重定向到分发 AMOS 的 GitHub 配置文件。该配置文件还传播了 Octo Android 银行木马和各种 Windows 信息窃取程序。 该 GitHub 配置文件属于名为“papinyurii33”的用户，创建于 2024 年 1 月 16 日，仅包含两个存储库。Recorded Future 表示，其研究人员在 2 月和 3 月初观察到这些存储库中的文件发生了多次更改，但自 3 月 7 日以来没有新的活动。 调查还揭示了 FileZilla 文件传输协议 FTP 服务器用于恶意软件管理以及分发 Lumma 和 Vidar 信息窃取程序的情况。 此外，Recorded Future 表示，它发现了与该活动相关的多个 IP 地址，其中包括与 DarkComet RAT 的 C&C 基础设施相关的四个 IP，以及用于分发该活动的 FileZilla FTP 服务器。2023 年 8 月至 2024 年 2 月期间，Raccoon Stealer 也使用这些 FTP 服务器进行分发。 Recorded Future 与 Cyfirma、CERT-UA、Cyble 和 Malwarebytes 的报告证实了调查结果，得出的结论是，这些攻击是由同一攻击者精心策划的，是大规模活动的一部分。 该网络安全公司建议组织使用自动代码扫描工具对从外部存储库获取的所有代码进行代码评估，并识别潜在的恶意软件或可疑模式。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Y19DBCGlm-A79RFJ7Q18qg 封面来源于网络，如有侵权请联系删除

据ESET 研究人员表示，自 2009 年以来，一个名为 “Ebury “的恶意软件僵尸网络已经感染了近 40 万台 Linux 服务器，截至 2023 年底，仍有约 10 万台服务器受到攻击。 以下是 ESET 自 2009 年以来记录的 Ebury 感染情况，可见随着时间的推移，感染量明显增长。 在近日发布的最新更新中，ESET报告称，最近的一次执法行动使他们得以深入了解恶意软件在过去15年中的活动。虽然 40万是一个庞大的数字，但这的确是近 15 年来的入侵数量。不过这些并非是在同一时间被入侵的。 ESET解释说：在其他服务器被清理或退役的同时，不断有新的服务器被入侵。研究所掌握的数据并不能说明攻击者何时失去了对系统的访问权限，因此很难知道僵尸网络在任何特定时间点的规模。 Ebury 的最新策略 最近的 Ebury 攻击表明，操作者倾向于入侵托管提供商，并对租用被入侵提供商虚拟服务器的客户实施供应链攻击。 最初的入侵是通过凭证填充攻击进行的，使用窃取的凭证登录服务器。一旦服务器被入侵，恶意软件就会从 wtmp 和 known_hosts 文件中渗出入站/出站 SSH 连接列表，并窃取 SSH 身份验证密钥，然后利用这些密钥尝试登录其他系统。 ESET 的详细报告中写道：当 known_hosts 文件包含散列信息时，作案者会尝试对其内容进行暴力破解。 在 Ebury 操作员收集的 480 万个 known_hosts 条目中，约有 200 万个条目对其主机名进行了散列。在这些散列主机名中，40%（约 80 万个）是猜测或暴力获取的。 另外，在可能的情况下，攻击者还可能利用服务器上运行的软件中已知的漏洞来获得进一步的访问权限或提升他们的权限。 托管提供商的基础设施（包括 OpenVZ 或容器主机）可用于在多个容器或虚拟环境中部署 Ebury。 在下一阶段，恶意软件操作员通过使用地址解析协议（ARP）欺骗拦截这些数据中心内目标服务器上的 SSH 流量，将流量重定向到其控制的服务器。 一旦用户通过 SSH 登录受攻击的服务器，Ebury 就会捕获登录凭证。 在服务器托管加密货币钱包的情况下，Ebury 会使用捕获的凭据自动清空钱包。据悉，2023 年Ebury 使用这种方法攻击了至少 200 台服务器，其中包括比特币和以太坊节点。 不过，这些货币化策略各不相同，还包括窃取输入支付网站的信用卡信息、重定向网络流量以从广告和联盟计划中获取收入、利用被攻陷的服务器发送垃圾邮件以及出售捕获的凭据。 在 2023 年底，ESET 观察到该软件引入了新的混淆技术和新的域生成算法 (DGA) 系统，使僵尸网络能够躲避检测并提高其抵御拦截的能力。 而根据 ESET 的最新发现，通过 Ebury 僵尸网络传播的恶意软件模块有： HelimodProxy： 通过修改mod_dir.so Apache模块代理原始流量和转发垃圾邮件，允许被入侵的服务器运行任意命令并支持垃圾邮件活动。 HelimodRedirect： 通过修改各种 Apache 和 nginx 模块，将 HTTP 流量重定向到攻击者控制的网站，从而将一小部分网络流量重定向到恶意网站。 HelimodSteal： 通过添加一个输入过滤器，拦截并窃取通过网络表单提交的数据（如登录凭证和支付详情），从而从 HTTP POST 请求中窃取敏感信息。 KernelRedirect： 通过使用挂接 Netfilter 的 Linux 内核模块，在内核级别修改 HTTP 流量以重定向访问者，改变 HTTP 响应中的位置标头，将用户重定向到恶意 URL。 FrizzySteal： 通过挂钩 libcurl 来拦截和渗透 HTTP 请求，使其能够捕获和窃取被入侵服务器发出的 HTTP 请求中的数据。 ESET 的最新调查是与荷兰国家高科技犯罪小组（NHTCU）合作进行的，该小组最近查获了网络犯罪分子使用的备份服务器。 荷兰当局称，Ebury 的行为者使用通过 Vidar Stealer伪造或盗用的身份，有时甚至冒用其他网络犯罪分子的绰号来误导执法部门。 目前，NHTCU 正在调查在该服务器中发现的证据，包括包含历史记录和保存的登录信息等网络浏览痕迹的虚拟机，但目前还没有新发现。   转自FreeBuf，原文链接：https://www.freebuf.com/news/400974.html 封面来源于网络，如有侵权请联系删除

近日，网络安全研究人员发现黑客组织 FIN7 滥用 Google Ads ，散播、部署恶意软件 NetSupport RAT。 根据网络安全公司 eSentire 发布的一份报告来看，黑客组织 FIN7 在 Google Ads 传播恶意软件活动中主要冒充了包括 AnyDesk、WinSCP、BlackRock、Asana、Concur、《华尔街日报》、Workable 和 Google Meet 等在内的众多知名众品牌。 FIN7 网络犯罪团伙（又名 Carbon Spider 、Sangria Tempest）自 2013 年“出道”以来一直非常活跃。最初，该组织主要针对销售终端（PoS）设备开展攻击活动，窃取支付数据。后来，逐渐转向通过部署勒索软件，袭击大型公司以获取赎金。 多年来，FIN7 网络犯罪团伙已经多次改进其战术和恶意软件库，采用了 BIRDWATCH、Carbanak、DICELOADER（又名 Lizar 和 Tirion）、POWERPLANT、POWERTRASH 和 TERMITE 等各种自定义恶意软件。 FIN7 网络犯罪团伙使用的技术手段 2023 年 12 月，微软宣布观察到了 FIN7 网络犯罪团伙依赖谷歌广告诱导用户下载恶意的 MSIX 应用程序包，一旦安装就会执行一个基于 PowerShell 的内存驱动程序 POWERTRASH，用于加载 NetSupport RAT和 Gracewire。 微软还表示，FIN7 黑客组织是一个以金钱为“动机”的网络犯罪团伙，目前专注于开展网络入侵活动，通过盗窃、加密受害者的数据信息，直接向受害者索要大量钱财，或者通过部署勒索软件，”慢慢”讹诈受害者。 据悉，目前已经有多个威胁攻击者滥用 MSIX 作为恶意软件的分发媒介 ，研究人员表示黑客组织都喜欢用的原因或许是其能够绕过 Microsoft Defender SmartScreen 等安全机制。 网络安全公司 eSentire 在 2024 年 4 月观察到的网络攻击活动中发现，用户通过谷歌广告访问假冒网站时，会显示一个弹出消息，敦促他们立刻下载一个假的浏览器扩展（其中包含一个 PowerShell 脚本的 MSIX 文件）该脚本会收集系统信息。此后，会联系远程服务器获取另一个编码的 PowerShell 脚本（第二个 PowerShell 有效载荷会下载和执行 NetSupport RAT）。 Malwarebytes 也观察到了类似的恶意活动 ，并将网络攻击活动“描述”成通过模仿 Asana、BlackRock、CNN、Google Meet、SAP 和《华尔街日报》等知名品牌的恶意广告和模态窗口，针对企业用户，发起大规模网络攻击。值得一提的是，Malwarebytes  并没有将这一攻击活动归咎在 FIN7 身上。 最糟糕的是，赛门铁克指出，恶意软件一旦安装，通常会在任务调度程序中注册命令以保持持久性，即使在删除后也能持续安装新的恶意软件。   转自Freebuf，原文链接：https://www.freebuf.com/news/400742.html 封面来源于网络，如有侵权请联系删除 

近日，研究人员发现有恶意安卓软件伪装成谷歌、Instagram、Snapchat、WhatsApp 和 X（前 Twitter）从受攻击的设备上窃取用户的凭据。 SonicWall Capture Labs威胁研究团队在最近的一份报告中提到：这种恶意软件利用著名的安卓应用程序图标误导用户，诱使受害者在其设备上安装恶意应用程序。 该活动的传播媒介目前尚不清楚。但一旦被安装到用户手机上，就会要求用户授予它访问辅助服务和设备管理员 API 的权限。 一旦获得到这些权限，恶意应用程序就能迅速地控制设备，从而在受害者不知情的情况下执行从数据窃取到恶意软件部署等任意操作。 该恶意软件旨在与命令与控制（C2）服务器建立连接，以接收执行命令，使其能够访问联系人列表、短信、通话记录、已安装应用程序列表；发送短信；在网页浏览器上打开钓鱼网页，以及切换摄像头闪光灯。 这些钓鱼网址模仿了 Facebook、GitHub、Instagram、LinkedIn、微软、Netflix、PayPal、Proton Mail、Snapchat、Tumblr、X、WordPress 和雅虎等知名服务的登录页面。 博通公司旗下的赛门铁克公司（Symantec）就社交工程活动发出警告，该活动利用 WhatsApp 作为传播媒介，冒充与防御相关的应用程序，传播一种新的安卓恶意软件。 赛门铁克公司表示：成功发送后，该应用程序将以通讯录应用程序的名义安装自己。执行后，该应用程序会请求短信、通讯录、存储和电话的权限，随后将自己从视图中删除。 这也是继发现传播 Coper 等安卓银行木马的恶意软件活动之后的又一次发现，Coper 能够收集敏感信息并显示虚假的窗口覆盖，欺骗用户在不知情的情况下交出他们的凭据。 上周，芬兰国家网络安全中心（NCSC-FI）披露，有人利用钓鱼短信将用户引向窃取银行数据的安卓恶意软件。 该攻击链利用了一种名为 “面向电话的攻击发送（TOAD）”的技术，短信会敦促收件人拨打一个与讨债有关的号码。一旦拨通电话，另一端的骗子会先告知受害者该短信是诈骗短信，随后受害者将会在手机上安装杀毒软件进行保护。 此外，他们还会让接听电话的人点击第二条短信中发送的链接来安装所谓的安全软件，但实际上该软件是恶意软件，其目的是窃取网上银行账户凭证，并最终进行未经授权的资金转移。 虽然 NCSC-FI 没有确定这次攻击中使用的安卓恶意软件是哪一个，但很可能是 Vultr 。上月初，NCC 集团详细说明了 Vultr 利用几乎相同的程序渗透设备的情况。 最近几个月，Tambir 和 Dwphon 等基于安卓的恶意软件也在野外被检测到，它们具有各种设备收集功能，后者针对的是中国手机制造商生产的手机，主要面向俄罗斯市场。 卡巴斯基说：Dwphon作为系统更新应用程序的一个组件，表现出预装安卓恶意软件的许多特征。虽然确切的感染路径尚不清楚，但可以推测，受感染的应用程序被纳入固件可能是供应链攻击的结果。 俄罗斯网络安全公司分析的遥测数据显示，受到银行恶意软件攻击的安卓用户数量比上一年增加了32%，从57219人跃升至75521人。据报告，大部分感染发生在土耳其、沙特阿拉伯、西班牙、瑞士和印度。 卡巴斯基指出：虽然受个人电脑银行恶意软件影响的用户数量持续下降，但2023 年，遭遇移动银行木马的用户数量大幅增加。   转自FreeBuf，原文链接：https://www.freebuf.com/news/400593.html 封面来源于网络，如有侵权请联系删除

MITRE 于 4 月 19 日透露，黑客已瞄准其网络实验、研究和虚拟化环境 (NERVE)，这是一个用于研究、开发、和原型设计。 黑客通过利用 Ivanti Connect Secure VPN 设备 0Day 漏洞（编号为 CVE-2023-46805 和 CVE-2024-21887）获得了初步访问权限。 网络间谍组织（Mandiant 追踪为 UNC5221）利用 0day 漏洞进行了数周有针对性的攻击，直到其存在被曝光，Ivanti 发布了缓解措施。受害者名单中包括网络安全机构 CISA，该机构表示该事件可能影响多达 10 万人。 MITRE 最初将这次袭击归咎于国家支持的 APT 组织，但没有透露更多细节。在后续帖子中，该组织澄清说，在事件调查期间观察到的威胁检测指标 (IoC) 与 Mandiant 归因于 UNC5221 的指标重叠。 MITRE 最初表示攻击发生在 1 月初，但现在透露，第一个入侵证据可以追溯到 2023 年 12 月 31 日。当时黑客利用 Ivanti 0day 漏洞首次访问 NERVE 网络。 2024 年 1 月 4 日，黑客开始对环境进行分析，与 VMware vCenter 和 ESXi 主机进行交互。 MITRE 表示：“随后，他们通过 RDP 成功登录 NERVE 内的多个帐户，利用劫持的凭据访问用户书签和文件共享，以深入了解网络架构。” 第二天，攻击者开始操纵虚拟机并建立对受感染基础设施的控制。 在接下来的几天里，攻击者部署了一些恶意负载，包括名为 BrickStorm 的 vCenter 后门和 MITRE 名为 BeeFlush 的先前未知的 Web shell。 1 月 11 日，即 Ivanti 0day 漏洞曝光的第二天，攻击者部署了另一个名为 WireFire 的 Web shell，并开始准备窃取数据。数据泄露发生在 1 月 19 日，涉及另一个名为 BushWalk 的 Web shell。 MITRE 在 4 月份才发现此次入侵。2 月中旬至 3 月中旬期间，黑客在 NERVE 环境中持续存在并尝试横向移动，但未能转向其他资源。 MITRE 黑客攻击中使用的 Ivanti 产品漏洞自其存在被公开以来已被广泛利用，被利用来危害数百台设备，包括政府、电信、国防和技术组织所拥有的设备。适当的补丁在一月下旬才发布。 关于 Mitre Mitre Corporation（简称为MITRE Corporation和MITRE）是一家美国非营利组织，它管理着联邦政府资助的研发中心(FFRDC)，为航空、国防、医疗保健、国土安全和网络安全等领域的各个美国政府机构提供支持。 MITRE 成立于 1958 年，是一个军事智囊团，是从麻省理工学院林肯实验室的雷达和计算机研究部门分离出来的。 MITRE ATT&CK 框架于 2015 年推出，被《计算机周刊》描述为“免费、全球可访问的服务，为组织提供全面且最新的网络安全威胁信息”，被 TechTarget 描述为“全球知识”威胁活动、技术和模型的基础”。该框架已被美国网络安全和基础设施安全局以及联邦调查局使用。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/lrIaHnrBqtCWrSaByapzjg 封面来源于网络，如有侵权请联系删除

研究人员创造了一个生成式人工智能蠕虫，它能够通过互连的人工智能系统传播，并可能造成大规模破坏。 该项目由 Ben Nassi、Stav Cohen 和 Ron Bitton 组成的康奈尔科技团队领导，被称为“Morris II” ——指的是 1988 年在互联网上传播的臭名昭著的 Morris 计算机蠕虫。 他们的发现展示了 Morris II 如何利用生成式人工智能电子邮件助手，从电子邮件中窃取数据并发送垃圾邮件，甚至绕过 ChatGPT 和 Gemini 等流行人工智能系统中的一些安全措施。 大型语言模型 (LLM)作为生成人工智能的支柱，正日益变得多模态，不仅能够生成文本，还能够生成图像和视频。 LLM 通常通过处理提示来发挥作用 – 指导系统生成响应或创建内容的文本指令。然而，这些提示可以被武器化。 攻击方法包括“越狱”、绕过安全协议并迫使系统生成有害或攻击性内容，以及对话中毒，其中攻击者操纵 LLM 遵循一系列指令。大型语言模型 (LLM)还可能泄露他们可能接受过培训的私人数据。 研究人员表示，他们通过一种称为“对抗性自我复制提示”的新技术创造了Morris II，该技术欺骗人工智能模型生成另一个提示作为其响应的一部分。这种策略类似于 SQL 注入等传统网络攻击，对人工智能系统的完整性构成重大威胁。 为了展示蠕虫病毒的能力，研究人员构建了一个电子邮件系统，可以与ChatGPT、Gemini 和开源 LLaVA 模型等生成人工智能系统进行交互。 研究团队发现了两种利用方法：一种使用基于文本的提示，另一种在图像文件中嵌入恶意提示。 在一种情况下，研究人员模拟攻击者发送一封包含对抗性提示的电子邮件。该提示实际上是通过利用称为检索增强生成（RAG）的功能“毒害”电子邮件助理的数据库。RAG允许大型语言模型 (LLM)访问外部数据源以增强他们的响应能力。当通过 RAG 检索包含恶意提示的电子邮件并将其发送到 GPT-4 或 Gemini Pro 等系统进行处理时，它实际上越狱了 AI 服务，使其能够从电子邮件中窃取数据。 这些被盗数据嵌入生成的响应中，然后用于回复毫无戒心的用户电子邮件时感染新系统。 第二种方法涉及在图像中编码恶意提示，将任何图像文件变成蠕虫病毒的潜在载体。这使得受感染的电子邮件助手能够将受感染的消息转发给其他用户，从而进一步传播感染。 两种类型的应用程序可能面临来自类似于 Morris II 的现实世界蠕虫病毒的风险。第一个是 genAI 支持的应用程序，其执行流程取决于 genAI 服务的输出。第二种类型是使用 RAG 的应用程序。 研究人员表示，他们的工作旨在“作为创造 GenAI 蠕虫的可能性，以防止它们出现”。他们向 Google 和 OpenAI 报告了他们的发现。 OpenAI 承认了这项研究，并承认可能存在与未经充分过滤或检查的用户输入相关的漏洞。该公司表示正在努力提高系统弹性，并敦促开发人员实施防止恶意输入的方法。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/QYRFDho-lc4KTnsaOpyb5Q 封面来源于网络，如有侵权请联系删除

工业巨头霍尼韦尔发布了关于 USB 传播的恶意软件对工业组织构成威胁的第六份年度报告，警告其复杂性有所增加。 该报告基于该公司的全球分析、研究和防御 (GARD) 团队使用安全产品收集的数据进行的分析，该产品旨在检测和阻止客户工业环境中使用的 USB 驱动器上的恶意软件。 与前两年相比，过去一年的一些数据基本没有变化。在霍尼韦尔产品在 USB 驱动器上检测到的所有恶意软件中，31% 是已知针对工业系统或公司的攻击活动的一部分或与其相关。 与过去几年类似，超过一半的恶意软件旨在通过 USB 驱动器进行攻击或传播，这可以帮助恶意软件跨越隔离网络。此外，大约一半的恶意软件能够连接到远程 C&C 服务器。 同样与过去两年类似的是，80% 检测到的恶意软件能够对运营技术 (OT) 流程造成干扰，包括失去视野、失去控制或系统中断。这包括勒索软件、擦除器和专门设计用于操纵或破坏控制的恶意软件，例如Industroyer2和Black Energy。 霍尼韦尔在报告中表示：“这些指标共同支持了这样一种信念，即 USB 传播的恶意软件被故意利用作为针对工业目标的协调攻击活动的一部分，包括可能导致视野和/或控制丧失的功能。” 与往年相比，霍尼韦尔已开始监控更多指标。这揭示了向离地生活 (LotL) 策略的转变，以增加攻击者不被发现的机会。 霍尼韦尔表示：“新证据表明，对手正在追求 LotL 策略，将更复杂的检测规避和持久性技术与利用目标系统固有功能的执行技术相结合。” 大约 20% 的 USB 恶意软件是基于内容的，滥用现有的文档和脚本功能，而不是利用新的漏洞。 在被阻止的所有恶意软件中，超过 13% 专门利用了常见文档（如 Word 文档、电子表格、脚本等）的固有功能。另外 2% 的恶意软件专门针对常见文档格式中的已知漏洞，另外 5% 专门针对用于修改和创建这些文件类型的应用程序。 该公司还发现针对 Linux 和其他平台的恶意软件有所增加，其中包括专门为工业设施设计的恶意软件。 另一个令人担忧的趋势与恶意软件频率有关。霍尼韦尔表示，与去年相比，被阻止的恶意软件数量相对于扫描文件总数增加了约 33%，同比增长了 700%。 霍尼韦尔警告称：“连续第六年，试图进入工业/OT 环境的已知威胁的复杂程度、频率和潜在运营风险持续增加。” “USB 传播的恶意软件显然被用作针对工业目标的更大规模网络攻击活动的一部分。对 ATT&CK 技术的分析以及与主要网络物理攻击活动相关的恶意软件（例如 Stuxnet、Black Energy、Triton、Industroyer 和 Industroyer 2）的分析支持了这一迹象。” 霍尼韦尔国际（Honeywell International），是美国一家以电子消费品生产、工程技术服务和航空航天系统为主的跨国公司，总部位于北卡罗来纳州夏洛特。名列《财富》杂志100强公司，拥有约110,000名雇员，其中约44,000名在美国。 完整的2024 年霍尼韦尔 USB 威胁报告下载：https://www.securityweek.com/wp-content/uploads/2024/04/2024_Honeywell_Gard_USB_Threat_Report_Research_Paper.pdf   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/PLEBGh2rwNjL2FOS_EMntg 封面来源于网络，如有侵权请联系删除

近日，谷歌称其在过去一年时间里从应用商店中封禁了 33.3 万个不良账户，原因是这些账户试图分发恶意软件或屡次违反政策。同时，谷歌还拒绝了近 20万个提交到 Play Store的应用程序，以解决访问位置或短信等敏感数据的问题。 谷歌的Steve Kafka、Khawaja ShamsMohet Saxena 表示：2023年谷歌共阻止了228万个违反政策的应用程序在Google Play上发布。这主要得益于谷歌全新改进的安全功能、政策更新以及先进的机器学习和应用程序审查流程。 谷歌的这项执法工作以所谓的 SAFE 原则为基础，SAFE 原则包括：保护用户、倡导开发者保护、促进负责任的创新、加强平台防御。 最近推出的审查和安全措施加强了对恶意提交内容的识别和对 Google Play 上已有风险内容的删除，这些措施包括： 更严格的开发者注册和身份验证流程 为 Android VPN 应用程序引入独立的安全审查和徽章 增加实时扫描功能，阻止恶意软件执行 固件加固，使 SoC 级缺陷更难被利用 扩展 SDK 索引（现已覆盖 600 万个应用程序），帮助开发人员为其项目选择安全的 SDK 除了封禁了近 230 万个应用和暂停 33.3 万个违规发布商之外，谷歌还拒绝了 20 万个无正当理由请求访问短信内容和后台位置数据等风险权限的应用提交请求。 此外，谷歌还表示加强了开发者入职和审查流程，开始要求他们提供更多身份信息，并在设置 Play 控制台开发者账户时完成验证流程。这能够使其更好地了解开发者社区，并根除不良行为者利用该系统传播恶意应用程序的行为。 近年来，谷歌正在积极采取一系列措施以确保安卓生态系统的安全。 去年 11 月，谷歌将其于 2019 年 11 月发起的应用程序防御联盟转移到 Linux 基金会旗下，Meta 和微软也加入成为创始指导成员。 大约在同一时间，谷歌在代码层面推出了实时扫描功能，以应对新型安卓恶意软件，并在 Play Store 的数据安全版块为经过移动应用安全评估（MASA）审核的 VPN 应用提供了 “独立安全审查 ”徽章。 在面向用户的方面，谷歌也采取了措施，从 Play Store 下架了约 150 万个不针对最新 API 的应用程序。 此外，Google 还与 31 家 SDK 提供商合作，确保仅从安装了这些 SDK 的应用的设备中收集和共享最少量的敏感信息。 谷歌表示，这一举措直接影响了 Google Play 上可用的 79万应用程序，这意味着可能有数千万甚至更多用户。 就在上个月，研究人员在 Google Play 上发现了 17 个“免费”VPN 应用程序，这些应用程序使用恶意货币化 SDK，劫持 Android 设备充当不知情的住宅代理，可能用于网络犯罪和购物机器人。 谷歌建议 Android 用户仅从 Google Play 采购他们的应用程序，并避免从未经审查的第三方商店下载的 APK 应用程序安装软件。 同时，广大用户也应定期检查设备上的 Play 保护机制是否处于活动状态，定期检查后台电源和数据消耗以识别可疑进程，并移除授予应用核心功能不需要的权限。   转自Freebuf，原文链接：https://www.freebuf.com/news/399838.html 封面来源于网络，如有侵权请联系删除