Cybersecurity information flow

随着大语言模型（LLM）开始整合多模态功能，攻击者可能会在图像和音频中隐藏恶意指令，利用这些指令操纵AI聊天机器人（例如ChatGPT）背后的LLM对用户提示的响应。在2023年欧洲黑帽大会上表示，研究人员指出，这样的攻击方式将很快称为现实。 简单来说，攻击者可能会利用这些所谓的“间接提示注入”攻击，将用户重定向到恶意URL，从用户那里提取个人信息，传递有效载荷，以及采取其他恶意行动。随着LLM日益成为多模态或能够对结合文本、音频、图片乃至视频的上下文输入作出回应，此类攻击可能会成为一个重大问题。 隐藏在图像和音频中的恶意指令 在本周举办的2023年欧洲黑帽大会上，康奈尔大学的研究人员将展示他们开发的一种攻击，该攻击利用图像和声音向多模态LLM注入指令，导致模型输出攻击者指定的文本和指令。他们的概念验证攻击示例针对的是PandaGPT和LLaVa多模态LLM。 研究人员在一篇题为“滥用图像和声音进行多模态LLM中的间接指令注入”的论文中写道：“攻击者的目标是引导用户与多模态聊天机器人之间的对话。”为此，攻击者将提示融入图像或音频片段，并操纵用户询问聊天机器人有关它的问题。”研究人员计划展示一旦聊天机器人处理了输入，它将输出隐藏在音频或图像文件中的攻击者注入的提示，或者遵循攻击者可能在提示中包含的任何指令。 例如，研究人员将一条指令混合到在线可用的音频片段中，导致PandaGPT响应攻击者特定的字符串。如果用户将音频片段输入聊天机器人，并要求描述声音，模型的响应将指导用户访问一个恶意URL，表面上是为了了解更多关于制造声音的“非常罕见的鸟”。 在另一个示例中，研究人员将指令混合到一幢建筑物的图像中，如果用户将图像输入聊天机器人并询问有关它的问题，那么LLaVa将会像哈利·波特一样聊天。 康奈尔大学的研究员、报告的作者之一本·纳西（Ben Nassi）表示，他们研究的目标之一是找到一种方式，可以以用户无法察觉的方式间接地将提示注入到多模态聊天机器人中。另一个目标是确保他们能够“扰动”图像或音频，而不影响LLM正确回答有关输入的问题。 纳西将这项研究描述为建立在其他人的研究基础上，这些研究展示了LLM如何容易受到提示注入攻击的影响，其中敌手可能以这样的方式设计输入或提示，以故意影响模型的输出。一个最近的例子是谷歌DeepMind和六所大学的研究人员进行的一项研究，该研究表明，通过简单地引导ChatGPT重复某些单词，如

最近发现黑客找到了一种使用第三方键盘绕过 iPhone 安全性的方法。根据 Certo Software 的 Russell Kent-Payne 的一份报告，攻击者正在使用这些键盘记录私人消息、浏览器历史记录，甚至 iPhone 用户密码。 在许多有关网络跟踪的报道之后，开始对此威胁进行研究。在调查过程中，发现所有受影响的设备都安装了恶意键盘。 左侧为默认的 iOS 键盘，右侧为用作键盘记录器的自定义键盘 这种攻击的特殊之处在于，黑客不需要破解设备或获取 iCloud 的访问权限。相反，他们使用苹果的 TestFlight 平台来分发键盘，因为该平台上的应用程序不会像 App Store 上的应用程序那样经过严格的安全审查。 通过设备设置安装恶意键盘后，黑客将标准的iPhone键盘替换为自己的键盘，与原来的键盘没有区别。这样的键盘可以记录用户输入的所有内容并将数据发送到黑客的服务器。 如何检查和保护 要检查 iPhone 是否安装了恶意键盘，先打开“设置”，转到“键盘”，然后检查已安装键盘的列表。如果发现启用了完全控制权限的陌生键盘，建议删除可疑键盘。 还值得考虑使用 Mac 防病毒软件，它可以扫描的 iPhone 或 iPad 是否存在恶意软件，但需要通过 USB 连接到Mac。目前，苹果尚未对这种攻击方法发表评论。   转自安全客，原文链接：https://www.anquanke.com/post/id/291678 封面来源于网络，如有侵权请联系删除

自巴以冲突爆发以来，齐夫医疗中心已遭受三次袭击。 一个据信与伊朗有关的黑客组织声称从以色列齐夫医疗中心医院窃取了数千份医疗记录。据他们称，被盗数据包括以色列军事人员的记录。 位于叙利亚和黎巴嫩边境附近萨法德市的医院遭到袭击，导致去年的 500 GB 数据遭到未经授权的访问。这些数据包括约 70 万份文档，其中包含患者的个人和医疗信息，例如疾病类型和处方药物。 在他们的Telegram频道中，一个自称 Malek Team 并声称对此次袭击负责的组织开始发布文件，其中包括来自以色列武装部队 ( IDF ) 的据称数据。 医院遭到袭击的日期没有具体说明，但以色列国家网络安全局上周 警告称 ，齐夫医疗中心计算机系统受到影响。 声明称，事件很快被发现并得到遏制，没有影响医疗中心的工作。作为预防措施，医院暂时关闭了电子服务器和部分计算机系统。 安全团队已展开调查，以确定黑客所说的信息泄露事件是否真的发生过。不过，这项调查的结果尚未公布。 据 以色列报纸《耶路撒冷邮报》报道，这是过去四个月内对 Ziv 医疗中心的第三次网络攻击。据当地媒体报道，医院和以色列数据保护机构承认，医院系统存在信息泄露的迹象。 以色列当局禁止使用、转移或传播任何被盗信息，并宣布打算对参与这一事件的所有人提出指控。 Malek Team 黑客还声称对以色列其他目标的网络攻击负责，其中包括小野学院以及一些以色列技术和媒体公司。 黑客公布了大量被盗数据的证据，包括大学课程和候选人采访的视频，以及受害者护照和文件的扫描件。这些数据的真实性尚未得到独立评估。 在以色列和巴勒斯坦军事组织哈马斯之间的冲突中，网络攻击的数量呈指数级增长。在这方面，以色列的医院和其他医疗机构应更好地保护其网络安全，以保护患者的机密信息免受恶意者的侵害。   转自安全客，原文链接：https://www.anquanke.com/post/id/291680 封面来源于网络，如有侵权请联系删除

Web 应用程序漏洞测试 公司VulnCheck 的一项新研究发现， GitHub上 有超过 15,000 个Go模块存储库容易受到存储库劫持或“RepoJacking”攻击。 这种类型的攻击允许黑客恶意利用其合法所有者执行的名称更改或完全删除 GitHub 帐户。为此，攻击者创建一个与旧存储库同名的全新存储库，然后利用其与软件供应链其他部分的连接来分发恶意代码。 据 VulnCheck 称，已在超过 15,000 个 Go 模块存储库中发现了此类攻击的漏洞。“由于 GitHub 用户名更改，超过 9,000 个存储库容易受到攻击。另有 6,000 多个账户因账户删除而被删除，”该公司首席技术官 Jacob Baines 对结果评论道。 这些存储库总共包含至少 80 万个版本的 Go 模块，供世界各地的开发人员使用。因此，即使捕获这些存储库的一部分，也可能对许多软件产品的网络安全造成严重后果。 用 Go 编程语言编写的模块构成了特殊的威胁。与npm或PyPI等具有集中存储库的其他解决方案不同，Go 模块是在 GitHub 或Bitbucket等平台上分散发布的。 “任何人都可以指示 Go 模块镜像和 pkg.go.dev 绕过存储库来缓存模块详细信息，”Baines 指出。因此，攻击者只需要捕获旧用户的名称和流行存储库的名称，而无需直接与 GitHub 交互。 GitHub 正试图通过阻止使用先前删除的流行名称创建存储库来对抗此类攻击。但这对于 Go 模块来说并不有效，这些模块是绕过主存储库进行缓存的。 “不幸的是，缓解所有这些潜在的存储库接管对于 Go 或 GitHub 公司来说是一个挑战。第三方无法合理注册 15,000 个安全账户，”Baines 表示。他鼓励 Go 开发人员保持警惕并仔细监控他们使用的模块和存储库的状态。 因此，存储库劫持攻击的威胁对于 GitHub 生态系统来说非常严重，可能对整个网络安全造成重大损害。GitHub 和 Go 应迅速制定有效的对策来保护模块和存储库免受此类攻击。   转自安全客，原文链接：https://www.anquanke.com/post/id/291683 封面来源于网络，如有侵权请联系删除

AI 网络安全初创公司 Lasso 发现了代码存储库中暴露的 1,600 多个有效 Hugging Face API 令牌，可提供对数百个组织帐户的访问。 泄露的秘密（例如代币）长期以来一直是代码托管平台和安全研究人员关注的焦点，因为它们落入坏人之手时会带来很高的风险。 Hugging Face API 令牌也不例外，它允许开发人员和组织集成大型语言模型 (LLM) 并管理 Hugging Face 存储库。 Hugging Face 是构建机器学习 (ML) 应用程序的工具提供商，是法学硕士项目开发人员的热门资源，使他们能够访问其存储库中的数十万个人工智能模型和数据集。 2023 年 11 月，Lasso 的研究人员开始在 Hugging Face 和 GitHub 上寻找暴露的 Hugging Face API 令牌，最终在两个平台上识别出 1,681 个泄露的有效令牌。 研究人员表示，这些代币可以访问 723 个组织的帐户，其中一些属于 Google、Meta、微软、VMware 等大型组织。 “在这些帐户中，我们发现 655 个用户的代币具有写入权限，其中 77 个用户的代币具有不同组织的权限，这使我们能够完全控制几家知名公司的存储库，”Lasso 指出。 该安全公司表示，其中一些代币提供了对拥有数百万下载量模型的组织帐户的完全访问权限。 “通过控制一个拥有数百万下载量的组织，我们现在拥有操纵现有模型的能力，有可能将它们变成恶意实体。这意味着一个可怕的威胁，因为损坏模型的注入可能会影响数百万依赖这些基础模型进行应用程序的用户，”Lasso 指出。 Lasso 表示，泄露的代币还会使存储库面临私有模型盗窃和训练数据中毒的风险，这是一种影响完整性或机器学习模型的攻击技术。 在 Lasso 调查期间，Hugging Face 弃用了其 org_api 令牌并阻止其在其 Python 库中使用。虽然这实质上删除了受影响存储库的写入权限，但它并没有阻止读取权限。 Lasso 表示，它已将调查结果告知受影响的用户和组织，其中许多用户和组织立即采取了行动，撤销了令牌并删除了公共访问令牌代码。Hugging Face 也获悉了调查结果。   转自安全客，原文链接：https://www.anquanke.com/post/id/291690 封面来源于网络，如有侵权请联系删除

间谍软件已在该设施的网络中隐藏了 8 年。 英国塞拉菲尔德核设施的IT系统遭到黑客攻击。 《卫报》的一项调查 发现，该工厂的高级员工经常隐瞒有关袭击的信息。目前尚不清楚这些系统何时首次遭到破坏，但第一次违规行为是在 2015 年发现的。在塞拉菲尔德网络中发现了休眠的恶意软件，该恶意软件至今仍可用于间谍活动。 黑客可能已经获得了该设施中最敏感的材料。由于塞拉菲尔德未能及时向监管机构发出警报，丢失的数据和持续存在的系统风险的全部范围仍然未知。 调查还发现该设施长期存在网络安全缺陷。2013年，发现对Sellafield服务器的外部访问，引起了严重关注。据消息人士透露，塞拉菲尔德不符合高网络安全标准，目前正受到更严格的监管审查。 塞拉菲尔德是世界上最危险的核设施之一，占地6平方米。位于坎布里亚郡海岸数千公里处，拥有地球上最大的钚储量，以及武器计划和数十年核能生产产生的大量核废料堆。 该设施由武装警察把守，并存放着发生外国袭击或灾难时的应急计划文件。核监管办公室 (ONR) 证实塞拉菲尔德不符合网络安全标准，但拒绝就数据泄露或掩盖指控发表评论。   转自安全客，原文链接：https://www.anquanke.com/post/id/291692 封面来源于网络，如有侵权请联系删除

谷歌周一宣布，2023 年 12 月的 Android 安全更新针对 94 个漏洞提供了补丁。 更新的第一部分—— 2023年12月1日安全补丁级别——解决了Android框架和系统组件中的33个漏洞。其中三个被评为“严重”。 谷歌在其公告中指出：“这些问题中最严重的是系统组件中的一个关键安全漏洞，可能导致远程（近端/相邻）代码执行，而无需额外的执行权限。 ” 这家互联网巨头解释说，该 RCE 缺陷被追踪为 CVE-2023-40088，影响 Android 11、12、12L、13 和 14，并且不需要用户交互即可成功利用。 最新的 Android 更新还解决了系统组件中的 15 个其他问题，即 10 个权限提升问题和 5 个信息泄露错误。所有这些都被评为“高严重性”。 该更新还修复了 Framework 组件中的 17 个漏洞，其中包括两个导致特权提升和信息泄露的严重错误。 本月 Android 更新的第二部分（ 2023 年 12 月 5 日安全补丁级别）总共解决了 61 个问题，其中包括两个严重缺陷。 这些错误影响 System、Arm、Imagination Technologies、MediaTek、Misc OEM、Unisoc 和 Qualcomm 组件。 2023-12-05 安全补丁级别解决了 2023-12-01 安全补丁级别中解决的所有 61 个问题和漏洞。 周一，谷歌还宣布，2023 年 12 月的 Wear OS 安全更新中包含了针对权限提升漏洞 (CVE-2023-40094) 的补丁。2023 年 12 月 Android Automotive 安全公告中未提及 CVE。 该公司尚未发布安全公告来描述本月 Pixel 设备的更新。谷歌没有提及本月解决的任何漏洞正在被利用。   转自安全客，原文链接：https://www.anquanke.com/post/id/291694 封面来源于网络，如有侵权请联系删除

ENISA发布了 ENISA DoS 攻击威胁态势报告，为 DoS 威胁态势带来了新的见解。 拒绝服务 (DoS) 攻击给组织带来了持续且重大的安全风险。在过去几年中，黑客越来越多地获得具有成本效益且高效的手段和服务来实施此类攻击。持续不断的全球冲突助长了 DoS 攻击浪潮，新兴威胁组织有选择地针对不同实体。 ENISA DoS 攻击威胁态势报告旨在提供有关 DoS 威胁态势的宝贵见解。它分析了 DoS 攻击的动机和影响，还旨在支持组织在发生攻击时增强防御能力。 本文提出的见解是对 2022 年 1 月至 2023 年 8 月期间 DoS 事件进行彻底映射和分析的结果。 DoS 攻击影响所有部门，其中政府服务始终是最有针对性的。这些部门似乎多次被选为 DoS 攻击的主要焦点，主要是出于对政治行动和言论的报复动机。 以下是该报告的主要亮点： 一种新颖的分类方案，可根据有关攻击和目标的信息对 DoS 攻击进行分类，从而实现更系统的分析方法。 作为拟议分类的一部分，对 DoS 攻击的动机和目标进行分析，不仅可以分析攻击的技术演变，还可以分析最初触发攻击的根源的变化。 对 2022 年 1 月至 2023 年 8 月期间总共 310 起经验证的 DoS 事件的分析。但这并不是该期间的事件总数。 受影响最严重的部门是公共管理部门，受到 46% 的攻击。 据估计，66% 的攻击是出于政治原因或激进议程。 总体而言，50%的事件被发现与俄罗斯侵略乌克兰的战争有关。 研究表明，56.8% 的攻击对目标造成了彻底破坏。 该报告还强调了网络作为战争中力量倍增器或支持载体的重要性、网络给形势带来的变化，以及组织制定预防和补救策略至关重要。此外，该报告还提高了人们对 DoS 攻击报告不够成熟的认识，DoS 攻击尚未达到与其他类型的网络安全威胁相同的水平。   转自安全客，原文链接：https://www.anquanke.com/post/id/291698 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，IT 服务和商业咨询公司 HTC Global services 在 ALPPV 勒索软件团伙泄露被盗数据截图后，才证实了其遭到网络攻击。HTC Global Services 是一家管理服务提供商，主要为医疗保健、汽车、制造和金融行业提供技术和业务服务。 ALPPV 勒索软件团伙发布被盗数据截图后，HTC Global Services 没有立刻在公司网站上发布安全声明，但在其 X 上发布了一则简短公告，确认了自身遭到了网络攻击，推文如下： 我们的团队一直在积极调查和处理这一情况，以确保用户数据的安全性和完整性。目前，公司已经邀请了网络安全专家，正在努力解决安全问题，您的信任是公司的首要任务。 从 ALPHV (BlackCat) 勒索软件团伙在其数据泄露网站上列出的截图来看，被盗的数据包括护照、联系人名单、电子邮件和一些机密文件。 ALPHV 数据泄漏网站上列出的 HTC Global Services 被盗数据 目前来看，虽然有关 HTC Global Services 遭受网络攻击的详细信息很少，但网络安全专家凯文-博蒙特（Kevin Beaumont）认为，网络攻击者是利用 Citrix Bleed 漏洞入侵了该公司。博蒙特指出，HTC Global Services 的一个业务部门 CareTech 操作着一个易受攻击的 Citrix Netscaler 设备，该设备可能被网络攻击者利用，以此对公司网络进行初始访问。 数据被盗事件发生后，Bleeping Computer 联系了 HTC Global Services，以期询问有关此次攻击以及他们是否被 Citrix Bleed 入侵的问题，但没有立即得到回复。 ALPHV 勒索软件正在疯狂“收割”受害者 2021 年 11 月，ALPHV/BlackCat 勒索软件开始活跃在互联网空间，据信是 DarkSide 和 BlackMatter 勒索软件的“品牌重塑”。（DarkSide 勒索软件组织在遭到国际执法机构“打压”后，于 2021 年 7 月再次改名为 BlackMatter，但在 2021 年 11 月，执法当局查封了他们的服务器，安全公司 Emsisoft 利用勒索软件漏洞创建了解密程序，至此，这伙网络犯罪分子慢慢销声匿迹了） 最近一次网络攻击事件中，一个被追踪为 Scattered Spid

Hackernews 编译，转载请注明出处： 个人基因公司 23andMe 周二证实，黑客使用窃取的密码访问了约 690 万会员的个人信息。 23andMe 的一名发言人在回答法新社的询问时表示，虽然黑客只能进入大约1.4万个账户，占该公司客户的0.1%，但他们能够看到 23andMe 基因相关亲属共享的信息。 23andMe 正在通知受影响的客户，并通过要求用户重置密码和设置双重身份验证方法来加强账户安全。 该公司表示，10月初，他们发现数据窃贼已经进入了由从其他网站回收的登录信息保护的账户。这位发言人表示：“没有任何迹象表明我们的系统出现了漏洞或数据安全事件，也没有迹象表明 23andMe 是这些攻击中使用的账户凭证的来源。” 据 23andMe 称，在被黑的 690 万个账户中，有 550 万个包含基因匹配信息，如果用户提供的话，可能还包括出生日期和地点。另外 140 万个被黑客入侵的账户被限制访问一些 DNA 档案信息，作为“家谱”功能的一部分。 23andMe 公司成立于2006年，总部位于加州山景城，谷歌的总部也在这里。     Hackernews 编译，转载请注明出处 消息来源：securityweek，译者：Serene

美国网络安全和基础设施安全局 (CISA) 警告黑客积极利用 Adobe ColdFusion 中的一个关键漏洞（CVE-2023-26360）来获取对政府服务器的初始访问权限。 该安全问题允许在运行 Adobe ColdFusion 2018 Update 15 及更早版本以及 2021 Update 5 及更早版本的服务器上执行任意代码。在 Adobe 在 3 月中旬发布 ColdFusion 2018 Update 16 和 2021 Update 6 修复该问题之前，它曾被用作0day漏洞。 当时，CISA 发布了有关黑客组织利用该缺陷的通知，并敦促联邦组织和国家服务机构应用安全更新。 在今天的警报中，美国网络安全与基础设施安全局警告称，CVE-2023-26360 仍在攻击中被利用，并展示了 6 月份影响两个联邦机构系统的事件。 “在这两起事件中，Microsoft Defender for Endpoint (MDE) 都警告称，该机构的预生产环境中面向公众的 Web 服务器上可能存在 Adobe ColdFusion 漏洞被利用的情况” – CISA 该机构指出，“两台服务器都运行过时的软件版本，这些软件容易受到各种 CVE 的攻击。” CISA 表示，黑客组织利用该漏洞，使用 HTTP POST 命令将恶意软件投放到与 ColdFusion 关联的目录路径中。 第一起事件发生在 6 月 26 日，利用严重漏洞破坏了运行 Adobe ColdFusion v2016.0.0.3 的服务器。 攻击者进行进程枚举和网络检查，并安装了一个 Web shell ( config.jsp )，允许他们将代码插入 ColdFusion 配置文件并提取凭据。 他们的活动包括删除攻击中使用的文件以隐藏其存在，以及在 C:\IBM 目录中创建文件以避免恶意操作不被发现。 攻击者在第一次攻击中使用的工具 （CISA） 第二起事件发生在 6 月 2 日，当时黑客在运行 Adobe ColdFusion v2021.0.0.2 的服务器上利用了 CVE-2023-26360。 在这种情况下，攻击者在删除解码为远程访问木马 ( d.jsp ) 的文本文件之前收集了用户帐户信息。 接下来，他们试图窃取注册表文件和安全帐户管理器（SAM）信息。攻击者滥用可用的安全工具来访问 SYSVOL，这是域中每个域控制器上都存在

欧盟立法者就《网络弹性法案》在技术和政治层面均达成一致，下一步欧洲议会和欧盟理事会通过后将成为法律。 有消息称：欧盟政策制定者于11月30日达成了关于《网络弹性法案》的政治协议，弥合了在最后几个悬而未决问题上的分歧。 《网络弹性法案》是一项立法提案，为从智能玩具到工业机械等各类联网设备引入安全要求。欧盟委员会、欧洲议会和欧盟理事会通过“三方对话”会议最终敲定这一法案。下一步需要欧洲议会和欧盟理事会正式通过，才能成为法律。 该协议此前在技术层面上已经基本敲定，提案的许多方面在政治会议期间得到认可。欧盟谈判代表经过激烈讨论之后解决了最后的政治障碍。 牵头此事的欧洲议会议员Nicola Danti表示，“《网络弹性法案》将加强联网产品的网络安全，解决硬件和软件中的漏洞问题，让欧洲大陆更安全、更有弹性。欧洲议会已经立法保护供应链，并将保护路由器、杀毒软件等关键产品列为网络安全优先事项。” 漏洞处理机制 法案规定，如果制造商知道联网设备存在可能被黑客利用的重大漏洞，不得将此类产品投放市场。一旦发现这些潜在入口，在产品公开的支持期限内，他们必须处理这些问题。 一旦发现安全事件或被积极利用漏洞，制造商必须向有关当局报告，并告知他们采取了哪些行动减轻安全风险。 被积极利用漏洞是一类极其敏感的网络威胁情报，表明黑客入口仍然没有被修补。因此，谁应该负责处理这些敏感信息成为谈判的焦点。 欧盟部长理事会将这项任务从欧盟网络安全局（ENISA）移交给各国计算机安全事件响应团队（CSIRTs）。根据修订的《网络和信息系统指令》（NIS2），这些团队本就担负类似的任务。 然而，欧洲议会坚持让ENISA参与，避免国家机构在保留这些高度敏感信息方面拥有过多自主权。 后来，双方达成妥协，决定要求制造商通过单一报告平台同时向有关CSIRT和ENISA发送通知。但是，欧盟成员国认为，考虑网络安全事宜，他们应该有权利对发送给ENISA的信息加以限制。 各方对这些限制的条件进行激烈讨论，达成的条件十分“狭窄”。具体而言，如涉及产品主要存在于国内市场且不对其他欧盟国家构成风险，所在国CSIRT有权限制向ENISA发送通知。 其次，成员国当局不会被强制要求，向ENISA披露他们认为与保护基本安全利益相关的任何信息。这一限制性条款符合欧盟条约。 第三，如制造商自认为信息进一步传播会立即带来风险，并在提交给CSIRT的通知中加以说明，所在国也有权对发送给ENISA

Twisted Spider 组织积极使用 DanaBot 木马作为危险恶意软件的传播渠道。 微软报告了新一波 CACTUS 勒索软件攻击，利用恶意广告部署DanaBot工具作为初始访问媒介。 就在几天前，Arctic Wolf专家已经研究了一次类似的活动，该活动利用Qlik Sense 商业智能平台中的漏洞渗透目标环境并用 CACTUS 勒索软件感染它们，但这些网络事件的差异比乍看起来要多。一眼。 Microsoft 威胁情报专家指出，DanaBot 恶意软件是一种多功能工具，可以充当信息窃取程序和后门，其感染导致了黑客 Storm-0216（Twisted Spider，UNC2198）的积极行动。结果，这导致了 CACTUS 勒索软件的传播，该公司在 禁止平台上的 一系列出版物中报告了该勒索软件。 DanaBot 在很多方面与 Emotet、TrickBot、 QakBot和 IcedID 等工具相似。此外，正如Mandiant在 2021 年 2 月详细介绍 的那样，Storm-0216 组织此前曾被观察到使用 IcedID 部署 Maze 和 Egregor 等勒索软件系列 。 据微软称，在审查的活动中，攻击者最初还使用了 QakBot 提供的初始访问权限。向 DanaBot 的运营过渡可能与 2023 年 8 月的协调执法行动有关，该行动 导致 QakBot 基础设施被拆除。 使用 DanaBot 收集的凭据通常会传输到攻击者的服务器，然后通过RDP进行横向移动，最后进行数据加密。 新一波 Storm-0216 网络攻击展示了攻击者在规避安全措施和使用 DanaBot 等新工具方面的持续创造力。公司需要定期更新其安全系统并掌握最新威胁以保护其数据。 保持警惕并采取积极主动的网络安全方法是应对日益复杂的网络犯罪分子攻击的唯一可靠方法。   转自安全客，原文链接：https://www.anquanke.com/post/id/291647 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 微软周一表示，与俄罗斯军事情报部门有关的黑客仍在积极利用微软软件的一个漏洞，获取受害者的电子邮件。 研究人员在3月份的一份报告的更新中表示，被微软追踪为 Forest Blizzard，同时也被称为 Fancy Bear 及 APT28 的黑客，早在2022年4月就试图利用该漏洞未经授权访问微软 Exchange 服务器内的电子邮件帐户。 该漏洞被追踪为 CVE-2023-23397，它影响 Windows 设备上所有版本的 Microsoft Outlook 软件。 今年春天，俄罗斯黑客利用该漏洞攻击了“欧洲政府、交通、能源和军事部门的部分组织”，微软对此进行了修补。 研究人员说:“用户应该确保微软的 Outlook 安装了补丁，并保持更新，以减轻这种威胁。” 波兰网络司令部与微软合作调查了这些攻击，该司令部表示，成功的攻击可以让黑客访问受害者的电子邮件通信。在波兰网络安全机构调查的案件中，黑客利用 Outlook 的漏洞进入了包含“高价值信息”的邮箱。 根据微软的说法，当攻击者向用户发送特制的消息时，攻击就开始了。如果 Windows 设备上的 Outlook 打开，用户甚至不需要与此消息交互。利用该漏洞几乎不会留下痕迹，因此很难检测到黑客活动。 Fancy Bear 被网络安全研究人员称为高级持续威胁(APT)组织，主要针对美国、欧洲和中东的政府、能源、交通和非政府组织。该组织与俄罗斯军事情报机构(GRU)有关。 去年10月，法国指责该组织以大学、企业、智库和政府机构为目标。今年9月，该组织曾试图袭击乌克兰的一个重要能源设施。 黑客通常利用公开可用的漏洞。除了微软的 Outlook 漏洞，他们还瞄准了 WinRAR 的工具，以进行鱼叉式网络钓鱼操作，主要针对乌克兰政府目标。 微软表示，该组织“资源充足，训练有素”，这对“归因和追踪其活动构成了长期挑战”。波兰网络司令部表示，该组织对微软 Exchange 邮件系统的架构和机制有着高度的复杂性和深入的了解。     Hackernews 编译，转载请注明出处 消息来源：therecord，译者：Serene

近日，一个名为 “AeroBlade “的全新网络间谍黑客组织“浮出水面”。 BlackBerry公司发现该黑客组织以美国航空航天领域的组织为目标，陆续发起了两次攻击：第一次是在2022年9月的一次测试浪潮，第二次是今年7月发起的一次更高级别的攻击。 攻击利用了鱼叉式网络钓鱼和武器化文件实现对企业网络的初始访问，并投放能够列出文件和窃取数据的反向外壳有效载荷。 BlackBerry公司评估后认为，该黑客组织的攻击目标是商业网络间谍活动，旨在收集有价值的信息，可信度为中高。 攻击活动详情 AeroBlade 的首次攻击发生在 2022 年 9 月，它使用带有文档 (docx) 附件的钓鱼电子邮件，利用远程模板注入下载第二阶段的 DOTM 文件。 第二阶段执行恶意宏，在目标系统上创建反向shell，并连接到攻击者的命令和控制（C2）服务器。 向受害者展示的诱饵文件 BlackBerry方面表示，一旦受害者通过手动点击 “启用内容 “引诱信息打开并执行该文件，[redacted].dotm 文件就会谨慎地向系统投放一个新文件并打开它。用户新下载的文件是可读的，这就能够让受害者相信最初通过电子邮件收到的文件是合法的。 AeroBlade的攻击链 反向外壳有效载荷是一个严重混淆的 DLL 文件，它会列出被入侵计算机上的所有目录，以帮助操作员计划下一步的数据盗窃行动。 DLL 文件具有反分析机制，包括沙箱检测、自定义字符串编码、通过死代码和控制流混淆提供反汇编保护，以及通过 API 散列掩盖 Windows 功能滥用。 该有效荷载还通过Windows任务调度程序在系统上建立持久性，添加一个名为“WinUpdate2”的任务，因此在被破坏设备上的立足点在系统重新启动后仍然存在。 早期的DLL有效载荷样本遗漏了2023样本中看到的大多数规避机制，以及列出目录和窃取数据的能力。 这表明黑客在继续改进其工具，以实施更复杂的攻击，而 2022 年的尝试则更侧重于测试入侵和感染链。 在这两次攻击中，最终有效载荷都是连接到相同 C2 IP 地址的反向shell，黑客在网络钓鱼阶段使用了相同的引诱文件。 BlackBerry公司无法确定 AeroBlade 的来源或攻击的确切目的。 但据研究人员推测，其目的是窃取数据进行出售，将其提供给国际航空航天竞争对手，或利用这些信息对受害者进行敲诈勒索。

美国国家信用合作社管理局发言人称，由于技术提供商Ongoing Operations遭勒索软件攻击，大约有60家信用合作社面临各种程度的服务中断。 有消息称：大约60家信用合作社因行业技术提供商遭受勒索软件攻击面临服务中断。 美国国家信用合作社管理局（NCUA）是联邦层面监管信用合作社的机构。该机构发言人Joseph Adamoli表示，此次勒索软件攻击对象是云服务提供商Ongoing Operations，该公司隶属信用合作社技术公司Trellance。 大量信用社出现不同程度服务中断 NCUA收到的事故报告表明，Ongoing Operations于11月26日向多家信用合作社发送消息，称公司遭到勒索软件攻击。 Ongoing Operations告知受影响的信用合作社，“发现此情况后，我们立即采取行动处理和调查此事件，包括聘请第三方专家协助确定事件的性质和范围。我们还通知了联邦执法部门。” “目前，我们仍在展开调查，我们将继续提供必要的更新。请注意，目前我们没有掌握任何信息被滥用的证据。经过极其深重的考虑，我们决定发布通知，保持对此事件的关注。” Adamoli确认，由于第三方服务提供商遭勒索软件攻击，目前大约有60家信用合作社面临各种程度的服务中断。 他说，“NCUA正在与受影响的信用合作社进行协调。受影响的联邦保险信用合作社的会员存款由国家信用合作社股份保险基金承保，金额最高可达25万美元。” 他补充说，NCUA已经向美国财政部、联邦调查局和网络安全与基础设施安全局通报此事件。Trellance未回应置评请求。 事件影响外溢到更大范围 此次攻击影响较大，外溢到其他信用合作社技术提供商，包括为信用合作社提供数据处理解决方案的公司FedComp。 FedComp未回应置评请求，但其网站上的通知显示，“FedComp数据中心遇到技术困难，全国性服务中断。” 声明提到，“我们无法提供服务，恢复时间未知。Trellance仍在努力解决问题。我们暂不提供电子邮件支持，技术支持电话依旧保持畅通。” 山谷联邦信用合作社（MVFCU）也受到影响。这家信用合作社发布通知，警告客户他们正在应对严重的服务中断。 这家位于纽约州佩鲁的信用合作社为克林顿县/埃塞克斯县数千人提供服务。该合作社表示，他们的数据处理商FedComp已转达Trellance遭受勒索软件攻击的消息。 山谷联邦信用合作社首席执行官Maggie Pope给会员

Security Affairs 网站消息，Black Basta 勒索软件团伙自 2022 年初“出道”以来，成功“感染”了 300 多个受害目标，累计收获赎金超过 1.07 亿美元。 2022 年 4 月，一个名为 Black Basta 的勒索软件团伙开始活跃在互联网空间，与其它勒索软件组织一样，该组织主要通过实施双重勒索攻击，获取赎金。从 Elliptic 和 Corvus Insurance 发布的联合研究结果来看， Black Basta 自推出以来，累计“获取”的支付比特币赎金至少达到 1.07 亿美元，感染了超过 329 名受害者，其中包括 ABB、Capita、Dish Network 和 Rheinmetall。 值得注意的是，网络安全研究人员通过分析区块链交易，发现 Black Basta 与 Conti 勒索软件团伙之间貌似存在着明显的联系。2022 年，Conti 勒索软件团伙停止了攻击活动，差不多同一时间 Black Basta 组织开始活跃。 网络安全专家还透露 Black Basta 主要通过俄罗斯加密货币交易所 Garantex 洗白非法资金。Elliptic 报告中还指出， Black Basta 勒索软件团伙成功攻击了全球 329 多个组织机构，并在 2022-2023 年成为受害者数量第四多的勒索软件，分析表明，自 2022 年初以来， Black Basta 已经收到了至少 1.07 亿美元的赎金，涉及 90 多名受害者。其中，收到的最大赎金为 900 万美元，其中至少有 18 笔赎金超过了 100 万美元，平均赎金为 120 万美元。 从报告来看， Black Basta 勒索软件团伙的大多数受害者从事制造业、工程建筑业和零售业。区域分布方面，61.9% 的受害者在美国，15.8% 在德国，5.9% 在加拿大。 值得一提的是，部分受害者支付的赎金由 Conti 和 Black Basta 团伙发送给了 Qakbot 恶意软件幕后团伙。 Black Basta 与其它恶意软件存在联系 今年 8 月，美国联邦调查局宣布，在一次名为 “猎鸭行动 “的国际执法行动中，捣毁 了Qakbot 僵尸网络。（Qakbot 也被称为 QBot、QuackBot 和 Pinkslipbot，是一种自 2008 年以来一直活跃的信息窃取恶意软件，该恶意软件通过恶意垃圾

美国办公用品零售商史泰博遭受网络攻击，迫使该公司关闭多个系统。采取此步骤是为了最大限度地减少违规行为的影响并保护客户数据。 Staples 在美国和加拿大经营着 994 家商店，并在全国拥有 40 个配送中心。Reddit 用户 最先报告了 Staples 内部系统的问题，包括无法访问Zendesk客户支持、员工VPN门户、电子邮件和电话线路。 公司员工表达了他们的担忧。其中一人指出，他在一家商店工作，他们无法获得必要的工作工具。另一位员工补充道，“在史泰博工作 20 年里，我从未经历过这样的事情。” 此外，有未经证实的报道称，Staples 员工已被指示避免使用单点登录( SSO ) 登录Microsoft 365，并且呼叫中心员工已被送回家 2 天。 该公司 向 BleepingComputer证实 ，在 Staples 的网络安全团队于 11 月 27 日发现威胁后，该公司被迫采取保护措施来降低网络安全风险。该响应导致业务流程中断，包括订单处理和交付。 史泰博商店仍然营业，但由于系统仍处于关闭状态，在线订单可能会延迟。史泰博在其网站上发布 通知， 对意外中断表示歉意，并承诺很快恢复服务。 Staples网站上的消息 BleepingComputer 澄清，攻击中没有使用勒索软件，文件也没有加密。Staples 的迅速反应，包括关闭其网络和 VPN，可能阻止了黑客实现他们的最终目标。目前尚不清楚攻击者访问 Staples 网络期间数据是否被盗。如果数据被盗，网络犯罪分子可能会试图勒索。 史泰博此前曾是网络攻击的受害者。2014年12月，该公司代表 表示 ，该组织的PoS终端被感染后，超过100万张客户支付卡有可能被盗。这次袭击发生在 2014 年 10 月。 2023 年 3 月，LockBit 组织 声称史泰博旗下办公用品供应商 Essendant 遭到网络攻击 ，导致该公司运营关闭。由于 3 月 6 日的网络攻击，Essendant 无法处理和履行在线订单，客户也无法创建订单或联系客户服务。所有交货也暂停。   转自安全客，原文链接：https://www.anquanke.com/post/id/291630 封面来源于网络，如有侵权请联系删除

Zyxel在其网络附加存储 ( NAS )设备中发现了多个严重漏洞，其中包括三个关键漏洞，这些漏洞可能允许未经身份验证的攻击者在受影响的设备上执行任意命令 。 合勤科技的 NAS 系统用于网络上的集中数据存储，旨在处理大量信息。它们提供备份、媒体流和共享选项定制等功能。 典型的合勤科技 NAS 用户包括寻求数据管理、远程和协作解决方案的中小型企业。除了企业领域之外，一些处理大文件的 IT 专业人士、摄像师和数字艺术家也需要 NAS。 在 11 月 30 日发布的安全公告 中，制造商警告以下漏洞影响固件版本 5.21(AAZF.14)C0 及更早版本的 NAS326 设备以及固件版本 5.21(ABAG.11)C0 及更早版本的 NAS542 设备： CVE-2023-35137 ： Zyxel NAS 设备身份验证模块中的漏洞允许未经身份验证的攻击者通过特制 URL 获取系统信息（CVSS评分7.5）； CVE-2023-35138 ：Zyxel NAS 设备的“show_zysync_server_contents”函数中的命令注入漏洞允许未经身份验证的攻击者通过特制的 HTTP POST 请求执行操作系统命令（CVSS 评分 9.8）； CVE-2023-37927 ：Zyxel NAS 设备的 CGI 程序中存在漏洞，允许经过身份验证的攻击者通过特制 URL 执行操作系统命令（CVSS 评分 8.8）； CVE-2023-37928 ：Zyxel NAS 设备的 WSGI 服务器中的身份验证后命令注入漏洞允许经过身份验证的攻击者通过特制 URL 执行操作系统命令（CVSS 评分 8.8）； CVE-2023-4473 ：Zyxel NAS 设备的 Web 服务器中存在命令注入漏洞，允许未经身份验证的攻击者通过特制 URL 执行操作系统命令（CVSS 评分 9.8）； CVE-2023-4474 ：Zyxel NAS 设备的 WSGI 服务器中存在漏洞，允许未经身份验证的攻击者通过特制 URL 执行操作系统命令（CVSS 评分 9.8）。 攻击者可以利用上述漏洞获得未经授权的访问、执行操作系统命令、获取敏感系统信息或完全控制受影响的 Zyxel NAS 设备。 为了解决这些风险，建议NAS326用户升级到V5.21(AAZF.15)C0或更高版本。NAS542用户应将固件更新至V5.21(ABAG.12)C0

ophos 和 ReversingLabs 周一发布了 SoReL-20M，这是一个包含 2000 万个 Windows 可移植可执行文件的数据库，其中包括 1000 万个恶意软件样本。 该数据库旨在推动整个行业的安全改进，提供其中文件的元数据、标签和功能，并使感兴趣的各方能够下载可用的恶意软件样本以进行进一步研究。 该可公开访问的数据集包含一组精选和标记的样本以及相关元数据，预计将有助于加速恶意软件检测的机器学习研究。 Sophos 认为，虽然机器学习模型是建立在数据基础上的，但安全领域缺乏一个标准的、大规模的数据集，所有类型的用户（从独立研究人员到实验室和企业）都可以轻松访问，这迄今为止已经减慢了进展速度。 “获取大量精选的、标记的样本既昂贵又具有挑战性，而且由于知识产权问题以及向未知第三方提供恶意软件的风险，共享数据集通常很困难。因此，大多数已发表的有关恶意软件检测的论文都是在私人内部数据集上进行的，其结果无法直接相互比较，”该公司表示。 SoReL-20M 数据集是一个生产规模的数据集，涵盖 2000 万个样本，其中包括 1000 万个已解除武装的恶意软件，旨在解决该问题。 对于每个样本，数据集包含基于 EMBER 2.0 数据集提取的特征、标签、检测元数据以及所包含恶意软件样本的完整二进制文件。 此外，还提供了已对此数据进行训练作为基线的 PyTorch 和 LightGBM 模型，以及加载和迭代数据以及加载、训练和测试模型所需的脚本。 Sophos表示，鉴于所发布的恶意软件已被解除武装，因此需要“知识、技能和时间来重新构建”并运行。 该公司确实承认，熟练的攻击者有可能从这些样本中学习或使用它们来创建攻击工具，但认为“攻击者已经可以利用许多其他来源来更容易地访问恶意软件信息和样本，使用起来更快、更经济。” 因此，该公司认为，解除武装的样本对于寻求推进独立防御的安全研究人员来说更有价值。 被禁用的恶意软件样本已经存在了一段时间，预计将重新调用已拆除的基础设施。此外，它们应该被大多数防病毒供应商检测到。随着元数据与样本一起发布，检测有望得到改善。 “作为一个行业，我们知道恶意软件不仅限于 Windows 甚至可执行文件，这就是为什么研究人员和安全团队总是需要更多数据，”ReversingLabs 声称提供了超过 120 亿个好软件和恶意软件文件。   转自安全客，原文链接：https://www.

来自不同供应商（包括英特尔、宏碁和联想）的数百种消费级和企业级 x86 和 ARM 型号可能容易受到 Bootkit 和接管的影响。 研究人员发现了“LogoFAIL”，这是PC统一可扩展固件接口 (UEFI) 生态系统中存在的一组关键漏洞。 利用这些漏洞会使基本的端点安全措施失效，并使攻击者能够对受影响的系统进行深度控制。 根据将于下周在伦敦举办的 Black Hat Europe 上正式发布的 Binarly Research 报告，这些缺陷源自启动过程中的图像解析库，影响了 x86 和基于 ARM 设备的所有主要设备制造商。 研究人员警告说，LogoFAIL 的广泛影响加剧了其严重性，并指出它影响整个生态系统，而不仅仅是个别供应商。这些发现是通过 CERT/CC VINCE 系统报告的，预计供应商补丁计划于 12 月 6 日发布，与题为“ LogoFAIL：系统期间图像解析的安全影响”的黑帽演讲同时进行。 使用LogoFAIL劫持启动过程 Binarly 研究人员发现，通过在 EFI 系统分区 (ESP) 或未签名的固件更新部分嵌入受损映像，威胁参与者可以在启动期间执行恶意代码，从而劫持启动过程。 这种利用绕过了安全启动和英特尔启动防护等关键安全措施，有助于插入在操作系统级别下运行的持久固件启动套件。 Binarly 首席执行官兼创始人 Alex Matrosov 解释道：“由于攻击者正在将特权代码执行权写入固件，因此它在设计上绕过了安全边界，就像安全启动一样。” “英特尔 Boot Guard 和其他可信启动技术不会在运行时扩展，并且在验证固件后，它只是在系统启动流程中进一步启动。” 他说，Binarly 研究团队最初是在实验室的一台联想设备上尝试修改徽标。 “有一天，它在显示启动徽标后突然开始重新启动，”他说。“我们意识到问题的根本原因是原始标志的改变，这导致了更深入的调查。” 他补充道，“在这种情况下，我们正在处理修改后的启动徽标图像的持续利用，在运行时触发有效负载交付，其中所有完整性和安全性测量都在加载固件组件之前进行。” 这并不是第一次发现安全启动绕过；2022 年 11 月，五款 Acer 笔记本电脑型号中发现固件缺陷，可用于禁用安全启动并允许恶意攻击者加载恶意软件；BlackLotus或BootHole威胁之前已经为引导进程劫持打开了大门。然而，Matrosov 表示，LogoFAIL 与之前

Promon 发现了名为 FjordPhantom 的新Android 恶意软件。该病毒使用独特的虚拟化策略，通过在特殊容器中运行恶意代码来逃避检测。 FjordPhantom 攻击的本质是邀请受害者下载模仿真实银行应用程序的虚假银行应用程序。事实上，这些应用程序包含在虚拟环境中运行的恶意代码，以破坏真实的银行应用程序。感染的主要目标是窃取网上银行凭证并操纵帐户交易。 峡湾幻影袭击 该恶意软件通过电子邮件、短信和即时通讯工具进行传播，在印度尼西亚、泰国、越南、新加坡和马来西亚等东南亚国家进行了攻击。值得注意的是，FjordPhantom 的一次使用导致受害者被盗 28 万美元，这是由于恶意软件的规避性质和以“银行客户服务代表”电话形式进行的社会工程相结合而造成的。 该恶意软件使用虚拟化在受害者的设备上创建虚拟容器，而用户不会有任何怀疑。恶意代码与真实的银行应用程序一起在容器内运行，使其能够操纵数据并拦截敏感信息。 尤其令人不安的是，FjordPhantom 违反了 Android 沙盒这一核心安全概念，该概念旨在阻止应用程序相互通信。这使得攻击特别危险，因为银行应用程序代码不会发生更改，并且传统的恶意软件检测方法无能为力。 此外，FjordPhantom 能够阻止与 GooglePlayServices 相关的功能，从而使根安全检查难以检测。该恶意软件还能够拦截日志数据，这可能表明该恶意软件正在积极开发和改进，以针对其他应用程序进行有针对性的攻击。Promon 警告说，鉴于 FjordPhantom 的积极开发，该恶意软件未来可能会扩大其影响范围到新的国家和目标。   转自安全客，原文链接：https://www.anquanke.com/post/id/291615 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，法国总理伊丽莎白·博尔内近期签署了一份备忘录，要求所有政府公务人员在 2023 年 12 月 8 日之前卸载 Signal、WhatsApp 和 Telegram 等外国通讯软件，使用本国开发的替代产品“Olvid”。 BleepingComputer 与法国记者沟通后，该记者澄清称，该政策仅针对部长、国务卿、办公厅主任和内阁成员，这一举措并不是彻底禁止使用外国消息应用程序，而是建议改用本地开发的更安全的软件。 法国总理表示，面向主要消费者的即时通讯软件在我们的日常通信中占据着越来越大的比重。然而，这些数字工具并非没有安全漏洞，因此无法确保通过它们共享的对话和信息的安全性。 此次法国政府主推的Olvid，宣称支持端到端加密消息，使用去中心化基础设施，且不需要电话号码或任何其他个人数据即可注册。由于Olvid拥有 ANSSI（法国国家网络安全机构）“一级安全认证”，该认证要求专家对应用程序源代码进行彻底的检查，在安全性上，Olvid被认为遥遥领先其他外国通讯软件。 此外，Olvid 还独立验证了由密码学教授米歇尔·阿布杜拉（Michel Abdalla ）设计的定制密码协议，且Olvid 的对称加密技术已经具备了抗量子能力，同时该项目还保证，一旦美国国家标准与技术研究院（NIST）的公钥算法遴选程序最终确定，其公钥加密技术也将具备类似的强度。 至于法国政府决定建议使用Olvid的确切原因，目前尚不明确，但已有不少反对者的声音。在与记者的交流中，法国数字部门对此表示不满，认为对Olvid的宣传过度，同时也传达了Signal是他们可以接受的平台。Signal 总裁梅雷迪思·惠特克 (Meredith Whittaker) 在 Twitter 上对有关该应用程序安全漏洞的模糊说法提出质疑，称其毫无根据且具有误导性。 法国正陆续收紧政府人员设备App使用策略 在2023年，法国已两度对政府人员设备的App使用设限。 此次法国的政策被认为与瑞士军方相似，该国要求士兵停止使用 Signal、WhatsApp 和 Telegram等流行的通讯软件，转而使用国内开发的加密通讯服务Threema进行官方和私人聊天。 而在3月，出于对安全考虑，法国改革和公共管理部发布通知，禁止在上述人员设备上使用TikTok、Instagram、Twitter、Netflix等社交及媒体软件，称这些软件不能服务

WeMystic是一个关于占星术、命理学、塔罗牌和精神取向的网站。近日，Cybernews 研究小组发现其开放式数据库近日暴露了该平台用户的34GB敏感数据。 WeMystic 除了为用户提供占星术、精神健康和神秘主义等内容外，还有专门的在线商店，售卖天然宝石、脉轮、塔罗牌、手链和其他产品。该平台主要为讲巴西语、西班牙语、法语和英语的用户提供服务。 据悉，WeMystic 使用 MongoDB 存储了大量信息，而作为 MongoDB 基础架构的一部分，WeMystic有一个开放且无密码的 MongoDB 数据库，其中包含 34 G的用户服务数据。虽然目前 WeMystic 已经关闭了该数据库，但研究人员表示，目前仍然可以访问五天内的数据。 此次泄露的 “用户 “数据集合包含约 1330 万条记录。被曝光的记录包括 姓名 电子邮件地址 出生日期 IP 地址 性别 星座 用户系统数据 研究团队解释称，用户个人数据泄露可能会给相关人员带来安全风险，因为攻击者很可能会利用收集到的数据进行有针对性的攻击，甚至会对这些看似迷信的数据进行“二次创作”。 威胁者有可能利用这些信息进行恶意活动，如身份盗窃、网络钓鱼、发送垃圾邮件和有针对性的广告等。同时，攻击者还可能会根据这些人的占星信仰来操纵他们，这无疑给用户的隐私和安全带来了严重风险。   转自Freebuf，原文链接：https://www.freebuf.com/news/385561.html 封面来源于网络，如有侵权请联系删除

由于主流技术提供商遭受勒索软件攻击，大约 60 家信用合作社遭遇业务中断。国家信用社管理局 (NCUA) 发言人约瑟夫·阿达莫利 (Joseph Adamoli) 表示，此次攻击的目标是 信用社技术公司 Trellance 旗下的云服务提供商 Ongoing Operations。 Adamoli 表示，多家信用合作社收到了来自 Ongoing Operations 的消息，称该公司于 11 月 26 日遭到勒索软件攻击。作为回应，持续行动立即采取行动，包括使用专业人员确定事件范围并向联邦执法部门发出警报。 Adamoli 表示，目前约有 60 家信用合作社因此次攻击而遇到一些问题。他补充说，受影响信用社的会员存款由信用社股份保险基金提供高达 25 万美元的保险。 阿达莫利还表示，他们已通知美国财政部、联邦调查局以及网络安全和基础设施局。特伦斯没有回应置评请求。 此次攻击还对其他信用社技术提供商产生了重大影响，其中包括向信用社提供数据处理服务的 FedComp 公司。 受影响的信用社之一——山谷联邦信用社 (MVFCU) 发布公告，警告客户服务出现严重中断。MVFCU 首席执行官 Maggie Pope 表示，他们的数据处理器 FedComp 向他们通报了 Trellance 遭到的攻击，但没有客户数据受到影响。MVFCU 计划承担与该事件相关的所有费用。 NCUA 在 8 月份警告称， 针对信用合作社、其服务机构和其他提供金融服务的第三方的网络攻击有所增加。 NCUA 主席托德·哈珀 (Todd Harper) 表示，由于缺乏直接监督服务提供商的权力，该机构审查整个信用合作社系统的能力受到限制。他补充说，向 NCUA 报告的网络事件中，超过 60% 涉及第三方和信用合作社服务组织，这凸显了与这一“日益严重的监管盲点”相关的风险。   转自安全客，原文链接：https://www.anquanke.com/post/id/291607 封面来源于网络，如有侵权请联系删除

近日，安全研究人员发布的一篇论文给“百模大战”的生成式人工智能开发热潮浇了一盆冷水。研究发现，黑客可利用新的数据提取攻击方法从当今主流的大语言模型（包括开源和封闭，对齐和未对齐模型）中大规模提取训练数据。 论文指出，当前绝大多数大语言模型的记忆（训练数据）可被恢复，无论该模型是否进行了所谓的“对齐”。黑客可以通过查询模型来有效提取训练数据，甚至无需事先了解训练数据集。 研究者展示了如何从Pythia或GPT-Neo等开源语言模型、LLaMA或Falcon等主流半开放模型以及ChatGPT等封闭模型中提取数以GB计的训练数据。 研究者指出，已有技术足以攻击未对齐的模型，对于已经对齐的ChatGPT，研究者开发了一种新的发散数据提取攻击，该攻击会导致大语言模型改变聊天机器人的内容生成方式，以比正常行为高150倍的速率疯狂输出训练数据（下图）： 图1:发散攻击导致对齐后的chatGPT以150倍的速度输出训练数据 研究者表示：发散数据提取攻击方法在实际攻击中可恢复的训练数据大大超出了事前的预期，同时也证明当前的大语言模型对齐技术并不能真正消除记忆。 研究者利用偏差攻击提取训练数据中的隐私信息 据研究者介绍，大型语言模型（LLMs）会从其训练数据集中记忆样本，可被攻击者利用提取隐私信息（上图）。先前的安全研究工作已经对开源模型记忆的训练数据总量进行了大规模研究，并且通过手动标注示记忆和非记忆样本，开发并验证了针对（相对）小型模型如GPT-2的训练数据提取攻击。 在最新发布的论文中，研究者将“成员推断攻击”（用于确定数据样本是否训练数据）和数据提取攻击两种方法统一起来，对语言模型中的“可提取记忆”进行了大规模研究。 研究者开发了一种可扩展方法，通过与TB级数据集比对，检测模型输出的数万亿个token的记忆内容，并对流行的开源模型（例如Pythia，GPT-Neo）和半开源模型（例如LLaMA，Falcon）进行了分析。研究者发现，无论开源还是闭源的大语言模型都无法避免新的数据提取攻击，而且参数和Tokens规模更大、性能更强劲的模型更容易受到数据提取攻击： 九个开源大语言模型测试结果 九个半开源（训练算法和训练数据不公开）大语言模型的测试结果 研究者发现，“对齐模型”也不能避免新的数据提取攻击。例如，gpt-3.5-turbo对常规数据提取攻击免疫，看上去似乎成功“忘记了”训练数据。研究者推测是因为ChatGPT已经通过R

Hackernews 编译，转载请注明出处： 美国和以色列当局说，与伊朗有关联的黑客攻击了一个特定的工业控制设备，因为它是以色列制造的，美国宾夕法尼亚州西部的一个小型水务局（黑客劫持美国自来水公司的工业控制系统）只是其中一个。 美国联邦调查局(FBI)、美国环境保护局、美国网络安全和基础设施安全局(CISA)以及以色列国家网络管理局上周五在一份报告中表示：“受害者遍及美国多个州。”但他们没有说明有多少组织遭到了黑客攻击。 阿利基帕市水务局的主席马修·莫特斯在11月25日发现遭到了黑客攻击，他表示，联邦官员告诉他，同一组织还入侵了另外四家公用事业公司和一家水族馆。 网络安全专家说，虽然没有证据表明伊朗参与了10月7日哈马斯对以色列发动的袭击，那次袭击引发了加沙的战争，但他们预计，政府支持的伊朗黑客和亲巴勒斯坦的黑客活动分子会在事件发生后加强对以色列及其盟友的网络攻击。这确实发生了。 这份多机构咨询报告解释了 CISA 在周三确认宾夕法尼亚州遭到黑客攻击时没有提到的问题——除供水和水处理设施外的其他行业也使用同样的设备，Unitronics 公司生产的 Vision 系列可编程逻辑控制器，并且也存在潜在的漏洞。 该报告称，这些行业包括“能源、食品和饮料制造以及医疗保健”。这些装置用来调节压力、温度和流体流量等。 阿利基帕的黑客事件促使工人暂时停止在一个偏远的泵站抽水，该泵站负责调节附近两个城镇的水压，导致工作人员改用人工操作。黑客在被入侵的设备上留下了一张数字名片，称所有以色列制造的设备都是“合法目标”。 该公告称，这些自称“Cyber Av3ngers”的黑客隶属于伊朗伊斯兰革命卫队，美国在 2019 年将其列为外国恐怖组织。该组织称，至少从11月22日起，该组织就盯上了 Unitronics 的设备。 通过 Shodan 搜索，发现美国有200多台这样的联网设备，全球有1700多台。通过 ZoomEye 搜索”Unitronics Web”，发现该 PLC 设备的 Web 界面相关资产，美国有40条，全球共有640条。 上图均为 “Unitronics控制系统” 更多资产信息可以访问www.zoomeye.org查看   该报告指出，Unitronics 的设备出厂时带有默认密码，专家不赞成这种做法，因为这会使设备更容易受到黑客攻击。最佳的要求是在开箱即用

欧洲、美国和亚洲暴露在公共互联网上的数万台 Microsoft Exchange 电子邮件服务器容易受到远程代码执行漏洞的影响。 邮件系统运行的软件版本目前不受支持，并且不再接收任何类型的更新，容易受到多个安全问题的影响，其中一些问题的严重程度非常严重。 已终止支持的Exchange Server 2007 仍在运行 ShadowServer Foundation 的互联网扫描显示，目前可通过公共互联网访问的近 20,000 台 Microsoft Exchange 服务器已达到生命周期结束 (EoL) 阶段。 周五，超过一半的系统位于欧洲。在北美，有 6,038 个 Exchange 服务器，在亚洲有 2,241 个实例。 已终止支持的 Microsoft Exchange 服务器仍在运行 Foundation ShadowServer 的统计数据可能无法显示完整情况，因为 Macnica 安全研究员Yutaka Sejiyama发现有超过 30,000 台 Microsoft Exchange 服务器已终止支持。 根据 Sejiyama 对 Shodan 的扫描，11 月底，公共网络上有 30,635 台计算机安装了不受支持的 Microsoft Exchange 版本： 275 个Exchange     Server 2007 实例 4,062 个Exchange     Server 2010 实例 26,298 个Exchange     Server 2013 实例 远程代码执行漏洞风险 研究人员还比较了补丁更新率，发现自今年 4 月以来，全球 EoL Exchange 服务器数量仅从 43,656 台下降了 18%，Sejiyama 认为下降幅度还不够。 “即使是最近，我仍然看到这些漏洞被利用的新闻，现在我明白了原因。许多服务器仍处于脆弱状态。”——Yutaka Sejiyama ShadowServer 基金会强调，在公共网络上发现的过时的 Exchange 计算机容易受到多个远程代码执行漏洞的影响。 一些运行旧版本 Exchange 邮件服务器的计算机容易受到ProxyLogon的攻击，这是一个编号为 CVE-2021-26855 的严重安全问题，可以与被识别为 CVE-2021-27065 的不太严重的错误链接起来以实现远程代码执行。 Sejiyama 表示，根据扫描期间从系统获得的内部版本

一个名为 XDSpy 的网络间谍组织最近以俄罗斯军工企业为目标。 XDSpy 被认为是一个国家控制的威胁组织，自 2011 年以来一直活跃，主要攻击东欧和巴尔干地区的国家。俄罗斯网络安全公司 FACCT 表示，在 11 月份的最新活动中，黑客试图访问一家俄罗斯冶金企业和一家参与导弹开发生产研究机构。 在本周早些时候发布的一份报告中，新加坡网络安全公司 Group IB 的分支机构 FACCT 表示，黑客伪装成专门从事核武器设计的研究机构，向受害者发送网络钓鱼电子邮件。 该组织的策略与之前对俄罗斯公司的攻击如出一辙，其中包括 7 月份针对一家知名研究机构的攻击。在那次事件中，黑客冒充俄罗斯紧急情况部，发送包含恶意 PDF 附件的网络钓鱼信件。研究人员没有透露黑客是否成功渗透系统并窃取数据。 FACCT 声称俄罗斯是 XDSpy 黑客的首要目标。研究人员表示，该组织此前曾针对该国政府、军队和金融机构，以及能源、研究和采矿公司。 尽管该组织已活跃多年，但其对俄罗斯发动攻击的证据有限，特别是考虑到许多外国网络安全公司在俄罗斯入侵乌克兰后撤离了该国。 总部位于斯洛伐克的网络安全公司 ESET自 2020 年以来一直在监控 XDSpy 的活动，研究员 Matthieu Faou 告诉 Recorded Future News，该组织持续开展鱼叉式网络钓鱼活动，主要针对东欧的战略组织。 在退出俄罗斯和白俄罗斯（XDSpy 的两个目标）后，ESET 失去了对这些国家发生的网络攻击的第一手资料。然而，该公司上周表示，它发现该组织对一家乌克兰航空航天公司进行了攻击。 在这次攻击中，乌克兰安全机构没有公开报告，并且很可能不成功，黑客使用了与 FACCT 描述的几乎相同的攻击链。“我们确实同意他们的分析，并将其归因于 XDSpy。”Faou 说。 尽管该组织历史悠久，但研究人员一直无法确定支持该组织的国家。Faou 表示，XDSpy 并不运行特别复杂的工具包，但“它们具有非常不错的运行安全性”。“到目前为止，我们还没有发现任何可能指向特定国家的证据。” “他们投入了大量精力来混淆植入程序，以试图逃避安全解决方案。因此，即使我们能够长期跟踪他们的运营，他们也可能取得了相当大的成功率。”他补充道。 鉴于许多西方公司对该地区计算机系统的了解有限，有关针对俄罗斯的网络攻击的报道很少。 然而，本周有大量来自俄罗斯网络安全公司的报告。除了 XDSp

美国办公用品巨头Staples本周一遭遇的网络攻击导致了严重的业务中断，至今未能完全恢复。Staples在美国和加拿大拥有994家门店以及40个用于全国产品存储和配送的配送中心。 业务系统瘫痪多日 自周一遭受攻击以来，Staples内部运营陷入混乱，员工无法使用Zendesk、VPN、员工门户、电子邮件甚至电话。 一位Staples员工在Reddit上吐槽说：“一切仍处于瘫痪状态。我在线下店面工作，我们无法访问电子邮件、bizfit、pogs、电子帮助台。DM表示他们昨晚正在整夜修复，但显然什么都没有修复。” 另一位员工表示：“这太疯狂了。我在Staples工作20年里从未见过这样的事情。” 此外，有未经证实的报道称，Staples员工已被指示避免使用单点登录(SSO)登录Microsoft365，并且呼叫中心员工已连续两天无法上班。 Staples发言人在接受Bleepingcomputer采访时透露：“11月27日，Staples公司的网络安全团队发现攻击后迅速采取了积极主动的措施，努力减轻影响并保护客户数据。我们的迅速响应导致后端处理和交付能力以及我们的通信渠道和客户服务线路暂时中断。” 勒索软件攻击被成功阻止 截至本周四，Staples线下商店已开放并运营，但由于业务系统仍处于关闭状态，staples.com上的订单可能无法按预定时间处理。 “我们所有的系统都在恢复上线过程中，我们预计会在短时间内恢复正常功能。在此期间，我们可能会遇到轻微的延误，但预计会运送所有已下订单。”发言人补充道。 Staples网站上也发布了类似的通知，就意外中断向用户致歉，并承诺迅速恢复正常运营。 据BleepingComputer报道，此次攻击中没有部署勒索软件，也没有文件被加密。可能是因为Staples安全团队快速反应、处置果断（拔网线、断开VPN），在攻击进入最后阶段之前阻止了攻击。但是，目前还没有证据表明此次攻击没有发生数据泄露，这可能需要关注后继是否有黑客在泄露站点上公开威胁索要赎金。 2023年3月，Staples旗下分销商Essendant也经历了多天的业务中断，导致客户和供应商无法下达或履行在线订单。 三年前（2020年9月）Staples还曾遭遇过一次严重网络攻击，黑客利用未修补的VPN端点上的漏洞获取访问权限后，窃取了包括敏感客户数据和订单信息。   转自GoUpSec，原文链接：https://m