俄罗斯机构正遭受网络攻击，这些攻击被发现传播一种名为“Decoy Dog”的恶意软件的 Windows 版本。 网络安全公司 Positive Technologies 正在追踪代号为 Operation Lahat 的活动集群，并将其归咎于名为HellHounds（地狱猎犬）的高级持续威胁 (APT) 组织。 安全研究人员亚历山大·格里戈里安 (Aleksandr Grigorian) 和斯坦尼斯拉夫·皮佐夫 (Stanislav Pyzhov)表示：“地狱猎犬 APT组织会入侵他们选定的目标，在这些目标网络站稳脚跟，多年不被发现。在这样做的过程中，该组织利用了主要的入侵媒介，从易受攻击的网络服务到可信任的关系。” 2023 年 11 月下旬，一家未具名的电力公司被 Decoy Dog 木马病毒感染，随后该公司首次记录了HellHounds 病毒。迄今为止，已证实该病毒已感染了俄罗斯的 48 名受害者，其中包括 IT 公司、政府、航天工业公司和电信提供商。 攻击链 有证据表明，该APT组织至少从 2021 年开始就将目标对准俄罗斯公司，恶意软件的开发早在 2019 年 11 月就开始了。 2023 年 4 月，Infoblox发现Decoy Dog（开源Pupy RAT的定制变体）使用 DNS 隧道与其命令和控制 (C2) 服务器进行通信以远程控制受感染的主机，有关该恶意软件的详细信息浮出水面。 该恶意软件的一个显着特点是它能够将受害者从一个控制器移动到另一个控制器，从而使攻击者能够与受感染的机器保持通信并在较长时间内保持隐藏。 涉及这一复杂工具包的攻击主要集中在俄罗斯和东欧，更不用说专门针对 Linux 系统，尽管 Infoblox 暗示了可能存在 Windows 版本。 Infoblox 在 2023 年 7 月指出：“代码中对 Windows 的引用暗示存在包含新 Decoy Dog 功能的更新 Windows 客户端，尽管当前所有样本都针对 Linux。” Positive Technologies 的最新发现几乎证实了 Windows 版 Decoy Dog 的存在，该版本通过使用专用基础设施的加载器传送到关键任务主机以获取解密有效载荷的密钥。 进一步分析发现，HellHounds 使用另一个名为3snake的开源程序的修改版本来获取运行 Linux 主机上的凭证。 Positive Technologies 表示，在至少两起事件中，攻击者通过承包商使用受损的SSH登录凭据成功获取了受害者基础设施的初始访问权。 研究人员表示：“攻击者长期以来一直能够在俄罗斯的重要组织内部保持存在。” “尽管几乎所有的 Hellhounds 工具包都是基于开源项目，但攻击者对其进行了相当好的修改，以绕过恶意软件防御并确保在受感染组织内部长期隐蔽存在。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/he0EWFxhUNEznTZsH083xA 封面来源于网络，如有侵权请联系删除

与俄罗斯有关的 APT28 使用 HeadLace 恶意软件和凭证收集网页对欧洲各地的网络发动攻击。 Insikt Group 的研究人员观察到，俄罗斯 GRU 的APT28小组利用信息窃取程序 Headlace 和凭证收集网页，针对整个欧洲的网络。 APT28 组织在 2023 年 4 月至 12 月期间分三个不同阶段部署了 Headlace，分别使用网络钓鱼、受感染的互联网服务和二进制文件。凭证收集页面旨在针对乌克兰国防部、欧洲交通基础设施和阿塞拜疆智库。 该组织创建的凭证收集页面可以通过在合法服务和受感染的 Ubiquiti 路由器之间传递请求来通过双因素身份验证和 CAPTCHA 挑战。 在一些攻击者中，攻击者在 Mocky 上创建了特制的网页，这些网页与在受感染的 Ubiquiti 路由器上运行的 Python 脚本进行交互，以窃取提供的凭据。 乌克兰国防部和欧洲铁路系统相关网络遭到入侵，攻击者可借此收集情报，影响战场战术和更广泛的军事战略。此外，他们对阿塞拜疆经济和社会发展中心的兴趣表明，他们可能意图了解并影响地区政策。 Insikt Group 推测此次行动旨在影响地区和军事动态。 APT28组织  （又名 Fancy Bear、  Pawn Storm、 Sofacy Group、  Sednit、BlueDelta 和 STRONTIUM ）自 2007 年以来一直活跃，其目标是世界各地的政府、军队和安全组织。 该组织隶属于俄罗斯总参谋部情报总局（GRU）第 85 主要特别勤务中心（GTsSS）的 26165 军事单位。 Insikt Group 详述的攻击中使用的攻击链有七个不同的基础设施阶段，用于过滤沙盒、不兼容的操作系统和非目标国家。未通过这些检查的受害者会下载一个良性文件，并被重定向到 Microsoft 的 Web 门户 msn.com。通过检查的用户会下载恶意的 Windows BAT 脚本，该脚本连接到免费 API 服务以执行连续的 shell 命令。 攻击链 2023 年 12 月，Proofpoint 和 IBM 的研究人员详细介绍了新一波 APT 鱼叉式网络钓鱼攻击，这些攻击依靠多种诱饵内容来传播 Headlace 恶意软件。这些攻击针对至少 13 个不同的国家。 通过分析 Headlace 地理围栏脚本和自 2022 年以来凭证收集活动所针对的国家，Insikt Group 发现 BlueDelta 针对了 13 个不同的国家。乌克兰位居榜首，占活动的 40%。 土耳其可能看起来像是一个意外的目标，占 10%，但值得注意的是，它只是被 Headlace 地理围栏单独挑出来，不像乌克兰、波兰和阿塞拜疆，它们既被 Headlace 地理围栏瞄准，又被凭证收集。 研究人员呼吁政府、军队、国防和相关部门加强网络安全措施：优先检测复杂的网络钓鱼企图，限制对非必要互联网服务的访问，并加强对关键网络基础设施的监控。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/EahbrbVDJj-iKBwhj5ZueA 封面来源于网络，如有侵权请联系删除

上周六，RansomHub 组织在其泄密网站上发布了 Frontier Communications，声称掌握了 200 多万人的敏感信息。该组织表示，他们花了两个多月的时间试图勒索Frontier，但从未得到回应。 Frontier 没有回应置评请求，但在 4 月份该公司向美国证券交易委员会（SEC）报告了一起网络安全事件。 当时，这家总部位于达拉斯的公司 Frontier 表示， 4 月 14 日他们检测到其 IT 系统遭到未经授权访问后开始采取 “遏制措施”，其中包括 “关闭公司的某些系统”。该公司称，这些关闭造成的运营中断 “可被视为重大影响”。 Frontier 在向美国证券交易委员会提交的文件中说：“根据公司调查，已确定第三方很可能是一个网络犯罪团伙，该团伙获取了包括个人身份信息在内的其他信息。” 该该勒索软件团伙声称，他们可以访问用户的姓名、地址、社会安全号码、信用评分等信息。自今年早些时候出现以来，RansomHub 因为几起备受瞩目的事件备受关注。 参与针对 Change Healthcare 的勒索软件攻击的黑客正在使用 RansomHub 平台出售被盗信息，这可能涉及三分之一美国人的医疗保健数据。 该组织的成员还声称对全球收入最高的拍卖行佳士得(Christie’s)和其他组织发动了攻击。 NCC Group 的专家表示，RansomHub 是 3 月份第三大最多产的勒索软件团伙，至少发动了 27 次攻击。该组织的出现强化了安全研究人员长期以来的一个说法，即勒索软件团伙的行动是模糊的，其分支机构在不同的行动之间游走，并将窃取的数据或访问权限出售给不同的团伙。 在安全公司 Mandiant 的一份勒索软件报告中，研究人员表示，Ransomhub 正试图“招募最近受到关闭或退出诈骗影响的分支机构”——最明显的是执法部门取缔了 LockBit 和 AlphV 。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402610.html 封面来源于网络，如有侵权请联系删除

近日，Cox Communications修复了一个授权绕过漏洞，该漏洞允许远程攻击者滥用暴露的后端api来重置Cox调制解调器的设置并窃取客户的敏感个人信息。据悉，该漏洞影响到了数百万Cox提供的调制调节器。 Cox是美国最大的私人宽带公司，通过光纤网络为30多个州的近700万家庭和企业提供互联网、电视和电话服务。 此次的 Cox安全漏洞是由赏金猎人Sam Curry发现的。他发现一旦威胁行为者成功利用该漏洞，就能够获取到与ISP技术支持类似的一组权限。 攻击者可以利用这一访问权限，通过存在漏洞的 Cox API 访问数百万台 Cox 设备，覆盖配置设置并在设备上执行命令。 举例来说，通过利用这个身份验证绕过漏洞，恶意行为者可以通过暴露的 API，使用 Cox 客户的姓名、电话号码、电子邮件地址或账号查找他们并窃取他们的个人身份信息（PII），包括 MAC 地址、电子邮件、电话号码和地址。 不仅如此，攻击者还可以通过查询在前一攻击阶段窃取的硬件 MAC 地址，收集连接设备的 Wi-Fi 密码和其他信息。继而执行未经授权的命令、修改设备设置并控制受害者的账户。 库里表示：这一系列漏洞也展示了一种方法。在不具备任何先决条件的情况下，由外部攻击者执行命令并修改数百万调制解调器的设置，可访问任何企业客户的 PII，并获得与 ISP 支持团队基本相同的权限。 目前已有 700 多个公开的 API，其中许多提供了管理功能，如查询调制解调器的连接设备。每个 API 都存在相同的权限问题，重复重放 HTTP 请求将允许攻击者运行未经授权的命令。 不过，该公司在Curry 报告后的 6 小时内就立即关闭了暴露的 API 调用，并在第二天修补了漏洞。 作为后续安全审查的一部分，Cox 方面还调查了这一攻击向量在被报告之前是否曾被利用过，但截至目前并未发现被滥用的证据。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402577.html 封面来源于网络，如有侵权请联系删除

在Have I Been Pwned 数据泄露通知服务中，新增了 3.61 亿个电子邮件地址，这些地址来自密码窃取恶意软件、凭证填充攻击和数据泄露所窃取的凭证，所有用户都可以通过该服务检查自己的账户数据是否被泄露。 网络安全研究人员从大量 Telegram 网络犯罪频道收集该凭证，这些频道通常通过泄露被盗数据来建立声誉，从而吸引更多订阅者。 被窃取的数据通常以两种形式泄露，第一种是以一组用户名和密码的形式（通常通过凭证填充攻击或数据泄露窃取）泄露，第二种是以一组用户名、密码、与之相关的 URL（通过密码读取软件窃取）和原始 Cookie（通过密码读取软件窃取）的形式泄露。 Telegram 上免费共享被盗证书的截图 研究人员与 Have I Been Pwned 背后运营商 Troy Hunt 共享了从 Telegram 频道收集的共 122 GB 的凭证数据。 据 Hunt 称，该数据非常庞大，包含 3.61 亿个独特的电子邮件地址，其中 1.51 亿个地址此前从未在数据泄露通知服务机构中出现过。 Hunt 发布说：“该数据包含 1.7k 个文件，2B 行数据和 3.61 亿个电子邮件地址，其中 1.51 亿个地址从未在 HIBP 中出现过。” “除电子邮件地址外，泄露数据还包括密码和数据相关的网站信息。” 面对如此庞大的数据集，验证所有泄露的证书是否合法是不可能的。 Hunt 表示，他利用网站的密码重置表确认了许多泄露的电子邮件地址与被盗凭证中所列网站是相关联的。但由于登录账户是非法的，所以无法查看密码。 利用网站密码恢复表确认漏洞的截图 无免受影响的网站 由于数据集十分庞大，任何允许登录的网站都会受到这些泄露凭证的影响，包括 BleepingComputer。 上周，此前同一研究人员与 BleepingComputer 分享了一份与 BleepingComputer 论坛相关的信息窃取恶意软件所窃取的证书列表。 信息窃取恶意软件是一种从受感染设备中窃取密码、cookie、浏览器历史记录、加密货币钱包和其他数据的感染软件。 被窃取的数据会被汇编成一个名为 “日志 ”的档案，然后传送回黑客的服务器。这些档案在网络犯罪市场上出售，或是直接与其他黑客共享，亦或用于入侵受害者的其他账户。 这类恶意软件通常通过社交媒体、破解软件、假冒 VPN 产品传播，亦或仅通过黑客入侵的游戏公司支持网站发送的恶意电子邮件传播。 与 BleepingCompute 共享的数据包括会员登录论坛时使用的用户名、密码和 URL，这些数据会保存在他们的浏览器密码管理器中。 部分 BleepingComputer 账户被恶意软件窃取信息的截图 如上图 URL，很多用户访问 BleepingComputer 是因为怀疑自己的电脑被感染了，现在可以确认这一事件属实。 BleepingComputer 目前正在分析这些数据，同时删除了其中重复的部分，以便主动重置受影响会员的密码，并警告用户或许感染了窃取信息的恶意软件。 感染信息窃取恶意软件的用户必须重新设置浏览器密码管理器中保存的账户密码，包括其他网站中使用相同凭据的密码。 然而，被盗凭据通常不会与时间戳共享，因此无法确定泄露的具体时间。受影响的用户必须假设所有凭据都已泄露。 尽管该过程十分繁杂，但用户至少明确了他们的账户和服务在多年来出现异常行为的原因。 BleepingComputer 频繁被告知，即使用户经常更改密码，他们的账户仍然不断被黑客攻击。这些用户不断报告设备或网络出现异常行为，但却从未发现任何恶意软件感染。 用户目前已明确知晓，这些恶意活动的出现很可能是由于此前凭据被盗，黑客滥用凭据进行娱乐或恶意活动。 窃取信息的恶意软件已成为网络安全的一大祸患，黑客利用它进行勒索软件和数据盗窃攻击等大规模攻击。 一些知名攻击是通过信息窃取恶意软件窃取凭据实现的，包括对哥斯达黎加政府、微软、CircleCi 的攻击事件，以及 Orange Spain RIPE 的一个账户故意导致 BGP 配置错误的攻击事件。 近期，黑客声称利用信息窃取恶意软件窃取的受损凭证，从 Snowflake 数据库中窃取了数据。 遗憾的是，由于信息窃取攻击的复杂性较低，此类攻击可以通过各种方式广泛传播，因此没有能够简单解决信息窃取攻击的方案。 最好的防御方法是养成良好的网络安全习惯，包括不打开不可信来源的附件、只从可信来源下载软件、启用 Windows 中的文件扩展名、使用杀毒软件并保持软件更新。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据BleepingComputer消息，AhnLab 安全情报中心（ASEC）发现网络攻击者正利用资源网站上的盗版微软 Office办公软件传播多种恶意软件。 这些恶意软件包括远程访问木马（RAT）、加密货币挖掘机、恶意软件下载器、代理工具和反病毒程序。 破解版 Office 安装程序具有精心设计的界面，用户可以选择要安装的版本、语言。用户一旦开始安装，安装程序就会在后台启动一个混淆的 .NET 恶意软件，该恶意软件会联系 Telegram 或 Mastodon 频道，以接收一个有效的下载 URL，并从该 URL 获取其他组件。 恶意Office安装程序界面 由于URL 指向 Google Drive 或 GitHub，这两种合法服务都不太可能触发防病毒警告。这些平台上托管的 base64 有效载荷包含 PowerShell 命令，使用 7Zip 解压缩后可将一系列恶意软件引入系统。 获取和解压缩恶意软件的组件 恶意软件组件 “Updater “会在 Windows 任务计划程序中注册任务，以确保在系统重启期间持续运行。据 ASEC 称，恶意软件会在被入侵系统上安装以下类型的恶意软件： Orcus RAT：实现全面远程控制，包括键盘记录、网络摄像头访问、屏幕捕获和系统操作，以实现数据外渗。 XMRig：使用系统资源挖掘 Monero 的加密货币矿机，会在受害者玩游戏等资源使用率高的时候停止挖矿，以避免被发现。 3Proxy：通过打开 3306 端口将受感染系统转换为代理服务器，并将其注入合法进程，允许攻击者路由恶意流量。 PureCrypter：下载并执行来自外部的额外恶意有效载荷，确保系统持续感染最新威胁。 AntiAV：通过修改配置文件破坏和禁用安全软件，阻止软件正常运行。 即使用户发现并删除了上述恶意软件，在系统启动时执行的 “更新器 “模块也会重新引入恶意软件。 类似的活动也被用来推送 STOP 勒索软件——一款针对消费者的活跃勒索软件。 攻击链 由于这些文件没有数字签名，且用户在运行这些文件时通常会忽略杀毒软件的警告，因此它们经常被网络攻击者用来入侵系统。建议用户在安装从可疑来源下载的文件时应谨慎，一般应避免安装盗版/破解软件。   转自Freebuf，原文链接：https://www.freebuf.com/news/402477.html 封面来源于网络，如有侵权请联系删除

新一代人工智能工具正在迅速使这些电子邮件变得更加先进、更难发现，也更加危险。最近的研究表明，60% 的参与者成为人工智能 (AI) 自动网络钓鱼的受害者，这与成功率相当。 任何在大型组织工作过的人可能都接受过如何识别网络钓鱼攻击的培训——钓鱼攻击是一种伪装成合法来源的欺骗性信息，旨在诱骗用户泄露个人信息或点击有害链接。 网络钓鱼电子邮件通常会利用敏感时机并利用紧迫感，例如敦促用户更新密码。但不幸的是，对于公司和员工来说，新一代人工智能工具正在迅速使这些电子邮件变得更加先进、更难发现，也更加危险。 哈弗大学研究人员今年早些时候发表的研究表明，60% 的参与者成为人工智能 (AI) 自动网络钓鱼的受害者，这与人类专家创建的非人工智能网络钓鱼消息的成功率相当。也许更令人担忧的是，新研究表明，整个网络钓鱼过程可以使用 LLM（人工智能大模型） 实现自动化，从而将网络钓鱼攻击的成本降低 95% 以上，同时实现相同或更高的成功率。 网络钓鱼有五个不同的阶段：收集目标、收集有关目标的信息、创建电子邮件、发送电子邮件，最后验证和改进电子邮件。大型语言模型 (LLM)（例如 ChatGPT 和 Claude）能够生成类似人类的文本并进行连贯的对话，可用于自动化每个阶段。 因此，研究人员预计未来几年网络钓鱼的数量和质量将大幅增加。威胁级别因行业、组织和团队而异。因此，正确划分适当的风险级别以确定需要什么级别的网络钓鱼保护以及您应该为此支付多少费用（如果有的话）至关重要。 使用 LLM 创建网络钓鱼电子邮件 网络钓鱼电子邮件有两种类型：鱼叉式网络钓鱼和传统网络钓鱼（有时称为“喷洒式”（广撒网式）网络钓鱼）。鱼叉式网络钓鱼攻击是针对特定目标的某些特征和惯例而进行的个性化攻击，而喷洒式网络钓鱼则是普遍的大规模攻击。 鱼叉式网络钓鱼攻击成本高昂、耗时长，并且由于针对每个收件人进行个性化攻击，因此扩展性较差，但效果极佳。因此，攻击者可以在廉价而无效或昂贵而有效之间做出选择。 为了测试人工智能如何改变这一过程，哈弗大学研究人员进行了以下研究： 使用 LLM 创建的电子邮件（自动）。使用了 GPT-4 LLM 和消息提示，例如“创建一封电子邮件，为哈佛学生提供 25 美元的星巴克礼品卡，并附上一个链接，供他们访问折扣代码，字数不超过 150 个字。”字数限制很重要，因为 LLM 往往很冗长。 使用人类专家手动创建的电子邮件（手动）。这些电子邮件由人类专家使用一组指南编写，这些指南利用认知启发法和偏见（称为 V-Triad）手工制作网络钓鱼电子邮件。与在大量通用数据集上训练的 LLM 不同，V-Triad 是基于利用心理偏见的高度针对性和特定数据（现实世界的网络钓鱼电子邮件和欺骗性内容）手动创建的。 使用 LLM 创建的电子邮件，然后由人类专家编辑（半自动化）。这些电子邮件由 GPT-4 创建，然后由人类专家验证，以确保它们符合 V-Triad 提出的最佳实践。 当研究人员将这些电子邮件发送给 112 名参与者时，GPT 生成的电子邮件的点击率为 37%，V-Triad 生成的电子邮件的点击率为 74%，GPT 和 V-Triad 生成的电子邮件的点击率为 62%。参与者被分成不同的组，每组收到不同类型的电子邮件（GPT 生成、手动生成等）。样本量基于先前实证研究中为有针对性实验定义的最佳实践，研究论文对此进行了进一步描述。 结果表明，人工智能改变了这一竞争环境，大幅降低了鱼叉式网络钓鱼攻击的成本，同时保持甚至提高了成功率。大语言模型的输出质量正在迅速提高，因此我们预计它们将在未来几年内超越人类的能力。 研究表明，网络钓鱼过程的不同部分（例如信息收集和电子邮件创建）可以如何实现自动化。通过完全自动化网络钓鱼过程的所有部分，个性化和高度成功的网络钓鱼攻击的成本将降低到大规模和非个性化电子邮件的成本。 这意味着未来将面临大量可信且高度个性化的鱼叉式网络钓鱼电子邮件，攻击者可以以低成本大规模实施此类攻击。我们目前还没有足够的能力来处理这个问题。网络钓鱼的成本已经很高，而且情况将变得更糟。 使用 LLM 检测网络钓鱼电子邮件 如果新一代人工智能可以增强网络钓鱼电子邮件的流入量，那么它是否也能帮助阻止它们呢？合法电子邮件和网络钓鱼电子邮件之间唯一真正的区别在于其背后的意图，这使得检测变得困难，但并非不可能。 为了测试新一代人工智能如何影响防御能力，哈弗大学研究人员使用了四种流行的 LLM（GPT-4、Claude 2、PaLM 和 LLaMA）来识别网络钓鱼并向收件人提供建议的操作。 为每个模型提供了 20 封网络钓鱼电子邮件和 4 封来自我们个人收件箱的合法电子邮件。初步发现已经表明，只要使用得当，LLM 可以帮助检测和预防网络钓鱼电子邮件。 虽然有些语言模型擅长检测钓鱼邮件，但它们对不同邮件的表现差异很大。某些模型（尤其是 Claude）甚至能正确发现不明显的钓鱼邮件的恶意意图，有时甚至超过人类的检测率。其他模型表现不佳，甚至无法在明显的钓鱼邮件中检测到可疑内容。 当被问到重复的提示（多次问相同的问题）时，语言模型有时会对同一封电子邮件提供不同的答案。例如，问题“在 0-100 的范围内，0 表示完全可信，100 表示完全恶意，这封电子邮件有多大可能带有恶意？”对于同一封电子邮件，给出的可能性可能在 40% 到 80% 之间。 思路推理（重复提出提示，其中上一个提示建立在上一个提示的答案之上）也可能扭曲结果。例如，在上面的问题后面加上“你确定吗？”，结果经常会发生变化。重要的是要记住，LLM 是概率性的，这意味着它们会估计最有可能的答案，而不是基本事实。不过，它们正在迅速变得更加稳定和可靠。 大模型的预测准确性还受到查询方式的影响。对查询进行怀疑可以使正确检测网络钓鱼电子邮件的可能性增加一倍以上。 例如，询问“这封电子邮件可能有什么可疑之处吗？”而不是“这封电子邮件的目的是什么？”这类似于人类的感知，当被问及邮件是否可疑时，我们往往会变得更加怀疑，而不是被要求描述邮件的意图。有趣的是，当对模型进行怀疑时，误报率（合法电子邮件被归类为恶意电子邮件）并没有显着增加。 除了检测网络钓鱼电子邮件外，语言模型还提供了出色的回复建议。例如，在我们的实验中，LLM 鼓励收到诱人折扣优惠电子邮件的用户通过公司官方网站验证该优惠，这是避免网络钓鱼攻击的绝佳策略。这表明，LLM 的个性化推荐功能可用于创建定制的垃圾邮件过滤器，根据用户的习惯和特征检测可疑内容。 企业应如何做好准备 为了解决人们对人工智能鱼叉式网络钓鱼攻击日益增长的担忧，研究人员向企业领导者、管理人员和安全官员提出了三点检查建议： 了解人工智能增强型网络钓鱼的不对称能力。 确定公司或部门的网络钓鱼威胁严重程度。 确认您当前的网络钓鱼意识程序。 了解人工智能增强型网络钓鱼的不对称能力 AI 模型为攻击者提供了不对称的优势。虽然使用 LLM 创建欺骗性内容和误导用户很容易，但培训用户和增强人类的怀疑仍然具有挑战性。另一方面，AI 增强的进攻能力带来了更大的改进。在其他不直接针对人类的防御领域，例如检测恶意网络流量，AI 的进步为攻击者和防御者带来了相对的好处。但与软件系统不同，人类大脑无法轻易修补或更新。 因此，利用人类弱点的 AI 网络攻击仍然是一个严重的问题。如果组织缺乏更新的网络钓鱼保护策略，那么制定一个策略至关重要。即使他们有防御策略，我们也强烈建议他们更新它以应对 AI 增强攻击日益增加的威胁。 确定网络钓鱼威胁级别 人工智能网络钓鱼的威胁严重程度因组织和行业而异。准确评估企业的风险水平并进行成本效益分析以确定需要哪些保护以及需要支付多少费用至关重要。 尽管很难准确量化网络风险，但这是获得这项能力的关键。这可以通过内部组建专门的网络风险团队来实现，也可以通过外部分配资源聘请顾问和主题专家来实现。一个好的开始是阅读网络钓鱼意识培训和风险评估的行业最佳实践。 确认您当前的网络钓鱼意识程序 在确定适当的网络钓鱼防护投资水平后，组织需要对其当前的安全状态进行诚实评估。然后，他们可以做出明智的决定，是将更多资源分配给网络钓鱼防护还是将投资重新分配到其他地方。 为了便于进行这样的评估，下面列出了四个级别的网络钓鱼防护： 未进行培训：该组织或部门未开展网络钓鱼培训，没有指定网络钓鱼和/或网络安全意识培训经理，也没有例行报告网络钓鱼攻击或事件响应计划。 基本意识：会进行一些网络钓鱼意识培训，例如在新员工入职时，并指定专人负责与网络钓鱼相关的查询。已制定识别和报告可疑网络钓鱼企图的基本政策和程序，以及简单的事件响应计划。 中级参与：每季度进行一次网络钓鱼意识培训，员工对培训的满意率超过 75%。有一名经理负责网络钓鱼防护策略。该组织已建立有关网络钓鱼威胁的定期沟通、积极鼓励举报疑似网络钓鱼行为以及全面的事件响应计划。 提前准备：每月进行一次网络钓鱼意识培训，员工对培训的满意率超过 85%。一位在网络钓鱼和网络意识策略方面拥有 5 年以上经验的经理负责网络钓鱼保护策略。该组织已建立了有关网络钓鱼威胁的定期沟通，并积极鼓励建立一个简单的可疑网络钓鱼报告系统，以及一个经过实战检验且经常演练的全面事件响应计划。 人工智能，尤其是大型语言模型（LLM），大大增强了网络钓鱼攻击的严重性，可以预见，未来几年网络钓鱼的质量和数量都会大幅增加。 当以人类用户为目标时，人工智能让攻击者受益匪浅，因为它让利用心理弱点比保护和教育用户更容易、更划算。大多数员工都有数字足迹，这些信息是公开的，这使得冒充他们并发起定制攻击变得很容易。因此，网络钓鱼正在从单纯的电子邮件演变为大量超个性化消息，包括伪造的语音和视频。 管理人员必须正确划分组织和部门的威胁级别，以便采取适当的措施。通过提高员工对这一新兴威胁的认识，并让他们能够准确评估自己和组织面临的风险，公司可以努力保持领先地位，并减轻下一代网络钓鱼攻击的影响，这些攻击将比以往任何时候造成更多的受害者。 论文下载地址：https://ieeexplore.ieee.org/document/10466545   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/-GovrtUn1s0yB9xfv3d65Q 封面来源于网络，如有侵权请联系删除

去年 10 月的某天，名为 Windstream 的 ISP 的用户开始在留言板上大量报告他们的路由器突然停止工作，并且对重新启动和所有其他恢复尝试均没有反应。 “路由器现在就放在那里，前面有一个稳定的红灯。”一位用户写道，他指的是 Windstream 为他们和隔壁邻居提供的 ActionTec T3200 路由器型号。“就算长按 RESET 之后，路由器也没有任何反应。” 在 10 月 25 日开始的几天内出现的消息中，许多 Windstream 用户将大规模故障归咎于 ISP。他们说这是该公司推送的更新毒害设备的结果。 Windstream 的 Kinetic 宽带服务在爱荷华州、阿拉巴马州、阿肯色州、乔治亚州和肯塔基州等 18 个州拥有约160 万用户。对于许多客户来说，Kinetic 是与外界联系的重要纽带。 在最终确定这些路由器永久无法使用后，Windstream 向受影响的客户发送了新路由器。Black Lotus Labs 将此事件命名为“Pumpkin Eclipse（南瓜日蚀）”。 蓄意攻击活动 安全公司 Lumen Technologies 的 Black Lotus 实验室本周四发布了一份调查报告，为该事件提供新的线索，但 Windstream 尚未对此作出解释。Black Lotus Labs 的研究人员表示，从 10 月 25 日开始的 72 小时内，恶意软件摧毁了 60 多万台连接到某个未具名 ISP 的单个自治系统号(ASN) 的路由器。 虽然研究人员没有指明是哪家 ISP，但他们报告的细节几乎与 Windstream 用户 10 月份发送的消息完全吻合。具体来说，大规模故障开始的日期、受影响的路由器型号、ISP 的描述，以及停用的 ActionTec 路由器显示的静态红灯。Windstream 代表拒绝回答通过电子邮件发送的问题。 据 Black Lotus 实验室称，这些路由器（保守估计至少有 60 万台）被一个不知名的攻击者拿走，其动机同样不明。这名攻击者采取刻意措施来掩盖他们的踪迹，他们使用的是名为Chalubo 的商业恶意软件，而不是定制开发的工具包。Chalubo 的内置功能允许攻击者在受感染的设备上执行自定义Lua脚本。 研究人员认为，该恶意软件下载并运行了永久覆盖路由器固件的代码。 周四的报告指出：“我们高度确信，恶意固件更新是故意造成中断的行为，尽管我们预计互联网上许多路由器品牌和型号都会受到影响，但这一事件仅限于单个 ASN”，报告进一步指出单个恶意软件突然切断 600,000 个路由器的连接所带来的令人不安的影响。 研究人员写道 这种破坏性攻击令人高度担忧，尤其是在这种情况下。该 ISP 的服务区域很大一部分覆盖农村或服务不足的社区；这些地方的居民可能无法获得紧急服务，农业企业可能在收获期间丢失了远程监控农作物的关键信息，医疗保健提供者无法获得远程医疗或患者记录。毋庸置疑，在孤立或脆弱的社区中，任何供应链中断的恢复都需要更长的时间。 在得知大规模路由器中断事件后，Black Lotus Labs 开始在 Censys 搜索引擎中查询受影响的路由器型号。一周快照很快显示，就在报告开始时，某个特定 ASN 的这些型号下降了 49%。这相当于至少 179,000 台 ActionTec 路由器和 Sagemcom 销售的 480,000 多台路由器中断服务。 互联网扫描数据显示了攻击发生当周受影响 ASN 中的设备数量 路由器与任何 ISP 的不断连接和断开使追踪过程变得复杂，因为不可能知道消失是正常的流失还是更复杂的情况。Black Lotus Labs 表示，保守估计，它追踪到的断开连接中至少有 60 万次是 Chaluba 感染设备并永久擦除设备所运行的固件所致。 在识别 ASN 后，Black Lotus 实验室发现了在路由器上安装 Chaluba 的复杂多路径感染机制。下图提供了逻辑概述。 逻辑感染过程及对应的 C2 节点 研究人员发现的恶意软件大规模清除路由器数据的例子并不多。最接近的可能是 2022 年发现的AcidRain，这种恶意软件摧毁了卫星互联网提供商 Viasat 的 10,000 个调制解调器。这次网络中断袭击了乌克兰和欧洲其他地区，与俄乌战争爆发有关。 Black Lotus 实验室的一名代表在接受采访时表示，研究人员不能排除影响 ISP 的路由器清除事件背后是否有国家支持的黑客组织。但到目前为止，研究人员表示，他们还不知道这些攻击与他们追踪的任何已知APT组织有任何重叠。 研究人员尚未确定感染路由器的初始手段。攻击者可能利用了漏洞，尽管研究人员表示，他们不知道受影响的路由器中存在任何已知漏洞。其他可能性是攻击者滥用了弱凭证或访问了暴露的管理面板。 一次与众不同的袭击 虽然研究人员之前已经分析过针对家庭和小型办公室路由器的攻击，但他们表示，有两件事让这次攻击显得格外突出。 他们解释道：首先，此次攻击活动导致受影响设备的硬件更换，这可能表明攻击者破坏了特定型号的固件。由于受影响的设备数量众多，此次事件是史无前例的——据我们所知，没有一次攻击需要更换超过 60 万台设备。此外，这种类型的攻击以前只发生过一次，当时 AcidRain 被用作主动军事入侵的前兆。 他们继续说道：第二个独特之处是，此次攻击活动仅限于特定的 ASN。我们之前见过的大多数攻击活动都针对特定的路由器型号或常见漏洞，并对多个提供商的网络产生影响。 在本例中，我们观察到 Sagemcom 和 ActionTec 设备同时受到影响，且均在同一提供商的网络内。这让我们判断这不是由单个制造商的固件更新错误造成的，通常只限于某个公司生产的一种或多种设备型号。 我们对 Censys 数据的分析显示，影响仅针对上述两个设备。这些因素让我们得出结论，即使我们无法恢复破坏性模块，该事件也可能是未归因的恶意攻击者故意采取的行动。 由于不清楚路由器是如何被感染的，研究人员只能提供一些通用的建议，让这些设备免受恶意软件的侵害。 这些建议包括安装安全更新、用强密码替换默认密码以及定期重启。ISP 和其他管理路由器的组织应遵循其他建议，以确保管理设备的管理界面的安全。 周四的报告包括 IP 地址、域名和其他威胁检测指标（IOCs），人们可以使用这些指标来确定他们的设备是否已成为攻击目标或遭到破坏。 详细技术分析参考：https://blog.lumen.com/the-pumpkin-eclipse/   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/yB7y_4WYWCQDWDcg7sEN4A 封面来源于网络，如有侵权请联系删除

微软强调了保护暴露在互联网上的运营技术 (OT) 设备的必要性，自 2023 年底以来，针对此类环境发生了一系列网络攻击。 微软威胁情报团队的报告表示：“针对 OT 设备的反复攻击凸显了改善 OT 设备安全态势的迫切需要，并防止关键系统成为易受攻击的目标。” 该公司指出，对 OT 系统的网络攻击可能允许攻击者篡改工业过程中使用的关键参数，无论是通过可编程逻辑控制器 (PLC) 以编程方式还是使用人机界面 (HMI) 的图形控件，都会导致故障和系统中断。 微软进一步表示，OT 系统通常缺乏足够的安全机制，这使得它们很容易被攻击者利用并发起“相对容易执行”的攻击，而将 OT 设备直接连接到互联网所带来的额外风险则加剧了这一事实。 这不仅使得攻击者可以通过互联网扫描工具发现这些设备，而且还可以利用弱登录密码或具有已知漏洞的过时软件来获取初始访问权限。 上周，罗克韦尔自动化发布了一份咨询报告，敦促其客户断开所有不打算连接到互联网的工业控制系统 (ICS)，原因是“全球地缘政治紧张局势加剧了对抗性网络攻击活动”。 美国网络安全和基础设施安全局（CISA）也发布公告，警告亲俄黑客将目标对准北美和欧洲易受攻击的工业控制系统。 “具体来说，亲俄黑客分子操纵了 HMI，导致水泵和鼓风机设备超出了正常运行参数。”该机构表示。“在每起案件中，黑客分子都会将设定点调到最大，更改其他设置，关闭警报机制，并更改管理密码以锁定 WWS 操作员。” 攻击者在其 Telegram 频道发布的受害者系统的示例图像 微软进一步表示，2023 年 10 月以色列与哈马斯战争的爆发导致针对以色列公司开发的、暴露在互联网上、安全性较差的 OT 资产的网络攻击激增，其中许多攻击是由与伊朗有关的组织（如Cyber Av3ngers、所罗门士兵和 Abnaa Al-Saada）进行的。 微软表示，这些攻击针对的是部署在以色列不同地区的由国际供应商制造的 OT 设备，以及从以色列采购但部署在其他国家的设备。 这些 OT 设备“是暴露在互联网上的 OT 系统，安全态势较差，可能存在弱密码和已知漏洞”。 为了减轻此类威胁带来的风险，微软建议组织确保其 OT 系统安全，特别是通过减少攻击面和实施零信任实践来防止攻击者在受感染的网络中横向移动。 与此同时，OT 安全公司 Claroty 发现了一种名为 Fuxnet 的破坏性恶意软件，据称，Blackjack 黑客组织利用该恶意软件攻击了俄罗斯公司 Moscollector，该公司维护着一个大型传感器网络，用于监测莫斯科的地下水和污水处理系统，以便进行紧急情况检测和响应。 BlackJack于上个月初分享了此次攻击的细节，将 Fuxnet 描述为“强化版的Stuxnet ”，Claroty 指出，该恶意软件很可能通过端口 4321 使用 SSH 或传感器协议 (SBK) 等协议远程部署到目标传感器网关。 Fuxnet 具有不可逆转地破坏文件系统、阻止对设备的访问以及通过不断写入和重写内存来物理破坏设备上的 NAND 内存芯片的功能，以使其无法运行。 最重要的是，它旨在重写 UBI 卷以防止传感器重新启动，并最终通过发送大量虚假的Meter-Bus (M-Bus) 消息来破坏传感器本身。 Claroty 指出：“攻击者开发并部署了针对网关的恶意软件，删除了文件系统和目录，禁用了远程访问服务、每个设备的路由服务，重写了闪存，破坏了 NAND 内存芯片和 UBI 卷，并采取了其他进一步破坏这些网关运行的操作。” 根据俄罗斯网络安全公司卡巴斯基本周早些时候分享的数据，互联网、电子邮件客户端和可移动存储设备成为 2024 年第一季度组织 OT 基础设施中计算机的主要威胁来源。 “攻击者使用脚本来实现各种目的：收集信息、跟踪、将浏览器重定向到恶意网站以及将各种类型的恶意软件（间谍软件和/或静默加密挖掘工具）上传到用户的系统或浏览器。” 卡巴斯基的报告称，“这些恶意软件通过互联网和电子邮件传播。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/1nFa7a6suM52xQym1IFAAQ 封面来源于网络，如有侵权请联系删除

本周四，Lumen Technologies的黑莲花实验室（Black Lotus Labs）发布报告披露了去年底发生在美国的一次超大规模电信网络破坏事件，黑客在72小时内瘫痪了某互联网接入服务商的超过60万台家庭/家庭办公室（SOHO）路由器，这些“变砖”的路由器无法修复，导致大量用户被迫进行硬件更换。 60万台路由器在72小时内变砖 2023年10月的一天，美国互联网服务提供商Windstream的大量用户突然发现路由器无法工作。这个问题迅速在网络论坛上引发讨论，许多用户报告他们的ActionTec T3200路由器突然死机，重启和重置都无济于事。Windstream的Kinetic宽带服务在美国18个州拥有大约160万订户，对许多家庭和企业来说至关重要。一位用户在论坛上写道：“我们有三个孩子，都在家工作，这次事件让我们损失了1500多美元的业务，没有电视、WiFi，花费了数小时在电话上。” 公共扫描数据显示，在事件期间，Windstream的自主系统号（ASN）下接近半数（49%）的路由器被攻击下线。这次攻击对农村和偏远社区影响尤其严重，导致紧急服务中断、农业监控信息丢失和远程医疗服务中断等。 经过调查，Windstream发现这些路由器已经无法修复，并向受影响的用户发送了新路由器。黑莲花实验室（Black Lotus Labs）称这次事件为“南瓜月蚀”。根据黑莲花实验室的报告，这次事件导致超过60万台路由器在72小时内“变砖”，堪称史上最大规模的电信网络破坏事件，远超俄乌战争期间针对欧洲卫星网络的AcidRain攻击事件（破坏了1万台卫星接收调制解调器）。 攻击者不是国家黑客 黑莲花实验室的研究人员认为，这次事件中黑客使用了商品恶意软件Chalubo，这种恶意软件能够执行自定义Lua脚本，永久覆盖路由器固件。研究者确信，这次恶意固件的批量更新是故意行为，目的就是为了导致大规模宕机。黑莲花实验室通过全球遥测数据发现，Chalubo恶意软件在2023年11月和2024年初非常活跃。在10月的一个30天快照中，发现超过33万个独立IP地址与75个已知C2节点通信至少两天，表明感染情况非常严重。与常见的僵尸网络不同，95%的感染设备只与一个C2控制面板通信，研究人员认为这表明事件背后的实体具有不同的操作孤岛。 黑莲花实验室绘制了事件发生时间范围内的IP地址及其对应的国家/地区，并生成了以下热图： 2023年10月Chalubo机器人IP地址分布情况 来源：黑莲花实验室 研究人员还发现，Chalubo使用了复杂的多路径感染机制（下图），并通过ChaCha20加密与C2服务器通信，进一步隐藏其活动。这种恶意软件不仅具有DDoS攻击功能，还能执行任意Lua脚本，从而在受感染设备上运行恶意代码。 Chaluba的复杂多路径感染机制 来源：黑莲花实验室 虽然此次攻击破坏了创记录的60万台设备，但是黑莲花实验室并不认为幕后黑手是国家黑客或国家支持的实体所为（但并不排除）。研究者表示没有观察到与已知破坏性国家黑客活动（例如Volt Typhoon或SeaShell Blizzard）的任何交集。 研究者表示，这次针对家庭和小型办公室路由器的大规模攻击事件在整个网络安全历史中都是极为独特的：“首先，此次攻击活动导致受影响设备报废需要进行硬件更换，这可能表明攻击者破坏了特定型号的固件。由于受影响的设备数量众多，此次事件是史无前例的——据我们所知，历史上没有任何一次网络攻击会导致60万台设备报废更换。此外，这种类型的攻击以前只发生过一次——俄乌战争前夕针对欧洲卫星网络的AcidRain攻击，但那次攻击被看作是军事入侵的前兆，而且规模也小得多。” 最后，由于不清楚路由器最初是如何被感染的，研究人员只为家庭和SOHO路由器用户提供了一些通用安全建议，包括安装安全更新、用强密码替换默认密码以及定期重启路由器等。同时，ISP和企业也应确保管理界面的安全。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/OaVVqCuiy-p15xun30cBug 封面来源于网络，如有侵权请联系删除