TOP5 | 头条：哈佛旗下智库发布《抗量子密码技术》报告

哈佛旗下智库发布《抗量子密码技术》报告；

标签：哈佛智库，《抗量子密码技术》

6月23日，高校智库“哈佛大学贝尔弗科学与国际事务中心”日前向美国政策制定者发布了一份名为《抗量子密码技术》的政策报告。

尽管量子计算仍处于初级阶段，而且纠错的量子计算机的规模和商业可行性在一段时间内都可能不会达到，但专家们仍建议，必须将向PQC的迁移理解为一项时间紧迫的工作，需要主要行业和组织在今天采取行动。事实上，对加密数据（未来可使用量子工具解密）的网络威胁已经引起了广泛关注。

为了维持其数据生态系统的隐私和完整性，各行业及其利益相关者都被敦促采取积极的步骤进行PQC迁移。迁移的范围和速度可能会根据行业和架构的性质、经典密码标准的具体应用以及组织内数据的不同敏感程度而有所不同。

为此，PQC的迁移仍然取决于政府机构和政策制定者发布的标准化和监管指南。许多国家已经在进行PQC的标准化和监管，并进行了大量的公私合作来征集和评估抗量子公钥算法。

这次，贝尔弗智库表示，“政策制定者、安全顾问和其他决策者将需要考虑他们现有的安全协议中哪些可能面临风险和不安全，以确保其关键系统、数据库和产品在后量子环境中的安全。”

现代密码系统可分为两类：对称密钥和非对称密钥密码学。传输数据会带来一系列的安全挑战（它们被称为密钥交换问题），即在数据的发送者和接收者之间安全地共享一个共同的（对称）密钥，以便接收者可以成功地解密和读取信息的挑战——非对称密钥系统解决了这一挑战。非对称密码学使用接收者的公钥来加密信息，而该信息只能由一个单独的、不同的私钥来解密。

虽然这解决了安全和可靠地分享钥匙的问题，但目前，这些系统正面临着来自量子计算进展的理论威胁。

尽管像NIST这样的主要政府机构处于PQC标准化的最前沿，但在大多数司法管辖区，这些努力仍然是不可执行的准则。在美国，NIST的标准对联邦机构和政府合同来说是可执行的法规，但对私营企业来说无法执行。然而，这些标准可能会被行业有机地采用，以避免无意中暴露在不符合现有的隐私、数据保护和其他网络安全法律的监管之下。

工业界、政府和其他组织目前面临着一个选择：是主动迁移还是延迟迁移到PQC解决方案？尽管这并不意味着非联邦实体有明确的合规预期，但在解决量子威胁方面的延迟做法可能表明，对于一个组织的运营完整性以及内部和外部利益相关者之间的数字通信的隐私和安全来说，存在重大风险。

对于数据生态系统来说，PQC迁移的紧迫性会更加突出，因为大规模量子驱动的网络攻击的风险将产生连带的社会影响。

现在，抗量子密码学解决方案的市场发展是在一个动态的生态系统中进行的，主要包括：

- 研究和开发；

- 早期阶段PQC迁移的产品化。

这其中，监管和标准制定机构对最佳PQC标准和实施的不断指导，仍然是这两个功能的核心。

原文对PQC的管理和实施前景进行了概述，也指出了将受到量子技术影响的密码学的具体应用以及它们的现今应用、描绘了有关PQC发展的市场格局：包括该技术的研究和开发、产品化和供应链生态系统。

信源：

https://www.belfercenter.org/sites/default/files/files/publication/Post%20Quantum%20Cryptography_Tech%20Primer.pdf

ChatGPT 检测钓鱼邮件精度高达 98%；

标签：ChatGPT，钓鱼邮件

近日，卡巴斯基研究人员测试了5265个URL（2322个钓鱼网址和2943个安全网址）。

研究人员向ChatGPT（GPT-3.5）提出了一个简单的问题：“此链接是否指向网络钓鱼网站？仅根据URL的形式，AI聊天机器人的检出率为87.2%，误报率为23.2%。”

“虽然检出率非常高，但超过两成的假阳性率是不可接受的，这意味着五分之一的网站都会被封锁。”卡巴斯基首席数据科学家Vladislav Tushkanov说。

Tushkanov尝试了更为简单的问题：“这个链接安全吗？”结果要差得多：检出率为93.8%，假阳性率高达64.3%。事实证明，更笼统的提示更有可能导致ChatGPT判定链接是危险的。

更多的数据点能大幅提升检测能力

NTT Security Japan的研究人员进行了同样的测试，但给ChatGPT更多提示：网站的URL，HTML和通过光学字符识别（OCR）从网站中提取的文本。

他们用1000个网络钓鱼站点和相同数量的非网络钓鱼站点测试了ChatGPT。研究者使用OpenPhish、PhishTank和CrowdCanary来收集网络钓鱼站点，用Tranco列表用创建非网络钓鱼站点列表。他们要求ChatGPT识别所使用的社会工程技术和可疑元素，在评估页面上识别品牌名称，判断该网站是网络钓鱼网站还是合法网站（以及原因）以及域名是否合法。

“GPT-4的实验结果展示出了巨大的潜力，精度为98.3%。GPT-3.5和GPT-4之间的比较分析显示，后者减少假阴性的能力有所增强。”研究人员指出。

研究者指出，ChatGPT擅长正确识别策略，例如虚假恶意软件感染警告、虚假登录错误、网络钓鱼短信身份验证请求以及识别不合法的域名，但偶尔无法识别域名抢注和特定的社会工程技术，如果合法域名有多个子域名，则无法识别合法域名等。此外，当使用非英语网站进行测试时，ChatGPT的效果并不好。

“这些发现不仅表明大语言模型在有效识别网络钓鱼站点方面的潜力，而且对加强网络安全措施和保护用户免受在线欺诈活动的危险具有重大意义。”研究人员总结道。

信源：GoUpSec

西门子能源遭遇勒索软件攻击，大量数据被盗；

标签：西门子能源，勒索软件攻击

近日，西门子能源称其遭遇了一次Clop勒索软件攻击，该软件利用MOVEit Transfer平台的一个零日漏洞窃取了公司数据。

西门子能源是一家总部位于慕尼黑的能源技术公司，业务遍及全球，拥有91,000名员工，年收入350亿美元。其业务包括设计、开发和制造广泛的工业产品，包括工业控制系统(ICS)，最先进的电力，热发电装置，可再生能源系统，现场和非现场能源输送系统以及灵活的电力传输解决方案等。

此外该公司还为石油和天然气行业提供广泛的网络安全咨询服务，包括事件响应计划、漏洞评估和补丁管理。

昨天（6月27日），Clop在其数据泄露网站上列出了西门子能源公司，并表示盗取了该公司的数据。一般Clop的勒索策略都是先在其数据泄露网站上列出公司名施加压力，然后再是进行数据泄露的操作。

虽然目前还没有数据被泄露，但西门子能源公司的一位发言人证实Clop勒索软件利用CVE-2023-34362的MOVEit传输零日漏洞入侵了西门子。

不过西门子能源公司表示，目前暂时还没有关键的数据被盗，业务运营也没有受到影响，他们在得知这一事件后也立即采取了行动。

信源：https://www.freebuf.com/news/370492.html

微软发出警告，俄罗斯黑客正进行大范围的凭证窃取攻击；

标签：微软，俄罗斯，凭证窃取攻击

据微软披露，近日检测到由俄罗斯国家附属黑客组织 “午夜暴雪 “进行的凭证窃取攻击激增。

微软的威胁情报团队说，入侵行为利用住宅代理服务来混淆攻击的源IP地址，目标是政府、IT服务提供商、非政府组织、国防和关键制造部门。

“午夜暴雪”以前被称为Nobelium，也以APT29、Cozy Bear、Iron Hemlock和The Dukes等名称被追踪过。

该组织在2020年12月因对 SolarWinds 高调攻击而引起全世界的关注，但在其针对外国部委和外交实体的目标攻击中，该组织依旧依靠隐蔽的工具。

这一迹象表明他们有强大的决心，即使在被曝光的情况下仍然保持他们的运作，这也使他们成为间谍领域可怕的存在。

微软在一系列推文中说：”这些凭证攻击使用了各种密码喷涂、暴力破解和令牌盗窃技术，同时还进行了会话重放攻击，利用可能通过非法销售获得的被盗会话获得对云资源的初始访问”。

微软进一步指出，APT29使用住宅代理服务来路由恶意流量，试图混淆使用受损凭证的连接。

自2021年11月以来，Recorded Future详细介绍了APT28（又名BlueDelta、Forest Blizzard、FROZENLAKE、Iron Twilight和Fancy Bear）针对乌克兰政府和军事实体策划的新的鱼叉式钓鱼活动。

这些攻击利用带有附件的电子邮件，以及开源Roundcube网络邮件软件的多个漏洞（CVE-2020-12641，CVE-2020-35730和CVE-2021-44026）来进行侦察和数据收集。

通过一个有效的漏洞使俄罗斯军事情报的黑客能够部署流氓的JavaScript恶意软件，将目标个人的电子邮件重定向到攻击者控制的电子邮件地址，并窃取他们的联系人名单。

随后，该特权升级漏洞已在2023年3月的 “补丁星期二 “中得到部分解决。

这些发现表明，俄罗斯的威胁者一直在努力收集关于乌克兰和整个欧洲的各种实体的有价值的情报，特别是在2022年2月俄乌战争爆发之后。

俄罗斯的威胁者在对乌克兰网络战行动中的显著特点是广泛部署旨在删除和破坏数据的雨刷恶意软件。

最后，Recorded Future总结道，”BlueDelta几乎肯定会继续优先针对乌克兰政府和私营部门组织，以更广泛的支持俄罗斯军事。

信源：https://www.freebuf.com/news/370415.html

Anatsa 安卓木马正在窃取美国、英国用户的银行账户信息；

标签：Anatsa，安卓木马

Bleeping Computer 网站消息，自 2023 年 3 月以来，一个新手机恶意软件向美国、英国、德国、奥地利和瑞士等国的网上银行客户推送 Android 银行木马 “Anatsa”。

ThreatFabric 安全研究人员一直在跟踪这项恶意软件活动，他们表示攻击者正在通过安卓官方应用商店Play Store 分发恶意软件，仅通过这种方法就已经安装了 30000 多个。

2021 年 11 月，ThreatFabric 在 Google Play 上发现了Anatsa 的“历史”活动记录，当时该木马通过模仿PDF 扫描仪、二维码扫描仪、Adobe Illustrator 应用程序和健身追踪器应用程序，成功分发安装了 30 多万次。

2023 年 3 月，在此前恶意软件传播中断六个月后，威胁攻击者发起一个新的恶意软件“营销”活动，试图引导潜在受害目标从 Google Play 下载 Anatsa 滴管应用程序。

这时候的恶意应用程序属于办公/生产力类型，通过冒充 PDF 查看器、编辑器应用程序以及办公套件。值得一提的是，每当 ThreatFabric 向谷歌报告恶意应用程序并将其从商店删除时，网络攻击者就会以一个新伪装上传新的滴管应用程序，迅速回归。

目前，所有已确认的五个恶意软件滴管案例中，这些应用都是以“干净安全”的形式提交到 Google Play，后续，攻击者再用恶意代码进行更新。之所以采用这种模式，很可能是攻击者为了逃避 Google 第一次提交时严格的代码审查程序。

一旦有受害者目标下载恶意程序，滴管应用程序就会请求托管在 GitHub 上的外部资源，从那里下载伪装成 Adobe Illustrator 文本识别器插件的 Anatsa 有效载荷。

当受害者试图启动“合法”的银行应用程序时，Anatsa 则趁机通过在前台覆盖钓鱼页面以及通过键盘记录来收集银行账户凭据、信用卡详细信息、支付信息等财务信息。目前版本中，Anatsa 特洛伊木马支持针对世界各地近 600 个银行机构的金融应用程序。

Anatsa 通过启动银行应用程序并冒充受害者进行交易，利用窃取的信息进行欺诈，为其运营商自动化洗钱过程。ThreatFabric 进一步指出由于交易是从目标银行客户经常使用的同一设备发起，银行反欺诈系统很难检测到。

此后，被盗金额会被转换为加密货币，并通过受害者所在国的洗钱网络转出（洗钱网络将保留被盗资金一部分作为费用，其余部分将发送给攻击者）。

信源：https://www.bleepingcomputer.com/news/security/anatsa-android-trojan-now-steals-banking-info-from-users-in-us-uk/