2024-06-12 星期三Vol-2024-141
1. 美国国防部发布零信任覆盖文件以加强网络安全
2. 美国启动量子计算安全评估,准备迎接后量子时代
3. 美国和波兰联手成立乌克兰通信集团对抗俄罗斯虚假信息
4. BreachForums论坛关闭与管理员ShinyHunters失踪
5. 瑞士和平峰会面临网络攻击和虚假信息威胁
6. 美国中央证券公司遭地下勒索软件组织攻击,数据泄露严重
7. Netgear WNR614漏洞可导致设备被接管,目前尚无修复方法
8. 黑客发现Xbox One内核漏洞,无需付费即可启用开发者模式
9. Apple修复Vision Pro首个空间计算漏洞
10. 黑客利用OTP机器人和网络钓鱼绕过双因素身份验证
11. Remcos RAT利用UUEncoded文件进行隐蔽分发
12. ValleyRAT恶意软件更新及Agent Tesla键盘记录器活动分析
13. SSLoad恶意软件利用MSI安装程序进行隐蔽传播
14. 揭秘GPT-4o的安全性:利用越狱攻击的实证研究
15. 审查链:检测大型语言模型的后门攻击
16. RAPID:使用情境感知深度学习进行强大的APT检测和调查
1. 美国国防部发布零信任覆盖文件以加强网络安全
美国国防部发布了一份近400页的零信任覆盖文件,作为实现总统乔·拜登2021年行政命令规定的网络安全目标的路线图和指南。该文件基于国防部零信任参考架构和执行路线图,构建了零信任安全控制与能力、活动和结果的关联框架。零信任覆盖包括七大支柱:用户、设备、应用程序和工作负载、数据、网络和环境、自动化和编排、可视性和分析性,强调了跨领域的非技术能力和活动,如文化、治理和组织结构。零信任覆盖文件强调了身份验证和授权的重要性,要求所有用户和设备在访问数据、资产、应用程序和服务前必须通过验证。文件还提出了动态、细粒度的策略和访问控制,以及基于人工智能的自动化安全响应和高度个性化的模型,以提高检测和反应时间。
来源:https://industrialcyber.co/zero-trust/dod-unveils-zero-trust-overlays-document-for-achieving-cybersecurity-goals-from-2021-executive-order/
2. 美国启动量子计算安全评估,准备迎接后量子时代
美国东部时间2024年6月11日,白宫下令开始评估国家安全在量子计算面前的准备情况。量子计算的快速发展可能在未来几年内威胁现有的加密系统,因为其处理能力远超传统计算机。MITRE的咨询文件强调,下一届政府需优先考虑量子计算进步、关键基础设施保护、网络领导角色明确化以及零信任框架的实施。美国国家标准与技术研究所正在开发工具,帮助机构迁移到后量子加密(PQC)标准。白宫和情报合作伙伴正加强网络防御,以应对量子计算机带来的挑战。美国国家安全局已设定2035年为IC系统遵守PQC标准的最后期限,以防止量子网络事件,如"先记录,后解密"攻击。
来源:https://www.nextgov.com/cybersecurity/2024/06/next-administration-must-be-ready-new-quantum-encryption-standards-mitre-advises/397284/
3. 美国和波兰联手成立乌克兰通信集团对抗俄罗斯虚假信息
美国和波兰签署了一项协议,旨在加强合作打击外国信息操纵和虚假信息。美国国务院全球参与中心强调了这份谅解备忘录代表了共同保护全球信息环境免受有害威胁的承诺。作为协议的一部分,两国在华沙启动了“乌克兰通信集团”(UCG)项目,目的是支持乌克兰抵抗俄罗斯在信息领域的侵略。UCG将由12个国家的代表组成,包括加拿大、法国、德国、芬兰、意大利和乌克兰等,他们将协调沟通,宣传俄罗斯入侵的准确信息,揭露克里姆林宫的信息操纵。美国及其盟友一直在努力揭露克里姆林宫的虚假信息,UCG是这些努力的延伸。尽管组织者未详细说明工作方式和实现目标的具体计划,但波兰媒体指出,该组织将致力于传播关于俄罗斯侵略的真实信息,特别是面向全球南方国家。乌克兰对这一倡议表示欢迎,并承诺参与组织活动。来源:https://therecord.media/us-and-poland-russia-disinformation4. BreachForums论坛关闭与管理员ShinyHunters失踪
臭名昭著的网络犯罪论坛BreachForums突然关闭,其clearnet和darkweb域名均显示“502- Bad Gateway”错误,导致访问中断。论坛管理员ShinyHunters的Telegram频道被删除,其下落不明,引发被捕的猜测。尽管过去曾因执法部门的干预而中断,但此次关闭似乎与执法活动无关。安全研究员Vinny Troia称,ShinyHunters通过Telegram表示将退出论坛,因为“热度过高”。不久后,BreachForums的官方Telegram帐户被删除,管理员Aegis确认ShinyHunters已被禁止使用Telegram。然而,一个新的Telegram频道中的消息确认ShinyHunters并未被捕,而是自愿退出,论坛关闭并非正式查封。此外,一个据称包含BreachForums数据的数据库在Telegram上流传,但信息未经验证且受密码保护。一些威胁行为者试图利用这一事件推广自己的论坛,如Secretforums和Breach Nation。来源:https://thecyberexpress.com/breachforums-down-telegram-channels-deleted/5. 瑞士和平峰会面临网络攻击和虚假信息威胁
瑞士将于2024年6月15日至16日在卢塞恩附近举办“乌克兰和平峰会”,吸引90个国家和组织的代表出席。峰会旨在为乌克兰和平进程制定路线图,讨论核安全、粮食安全、航行自由和战俘交换等关键议题。瑞士总统维奥拉·阿姆赫德在新闻发布会上透露,峰会前夕网络攻击和虚假信息活动激增,目标包括瑞士政府和总统本人。外交部长伊格纳西奥·卡西斯指出这些攻击是“有意为之”,暗示破坏谈判的意图。土耳其和印度确认参加,巴西和南非的参与程度尚不确定。峰会计划以一份最终宣言结束,概述和平进程的下一步行动。此次峰会的复杂性和高风险性表明,国际对话面临数字威胁的挑战,瑞士的应对策略可能为未来的和平努力和国际合作树立重要先例。来源:https://thecyberexpress.com/switzerland-cyberattacks-disinformation/6. 美国中央证券公司遭地下勒索软件组织攻击,数据泄露严重
6月10日,地下勒索软件组织声称对中央证券公司发起了网络攻击,并声称窃取了42.8GB的敏感数据,包括历史报告、个人信件、员工及其亲属的护照等机密信息。中央证券公司的网站因此次攻击而瘫痪,外界对公司的反应和损失程度一无所知。勒索软件组织公然索要近300万美元的赎金,使公司面临更大困境。安全公司Cyble警告说,针对性攻击日益盛行,黑客制定策略渗透特定目标,造成毁灭性后果。勒索软件的技术分析显示攻击者利用漏洞的熟练程度,通过选择性攻击文件和目录,以高效率实现恶意目标。这次全面的数据泄露不仅对公司的诚信构成威胁,也对员工和利益相关者的隐私安全带来重大风险。来源:https://thecyberexpress.com/central-securities-corporation-cyberattack/#google_vignette7. Netgear WNR614漏洞可导致设备被接管,目前尚无修复方法
研究人员在Netgear WNR614 N300路由器中发现了六个严重漏洞,包括身份验证绕过、弱密码策略、纯文本存储密码和WPS PIN暴露。具体漏洞编号如下:CVE-2024-36787,允许未经授权访问管理界面,威胁网络安全;CVE-2024-36788,通过不当设置的HTTPOnly标志拦截敏感通信;CVE-2024-36789,允许设置不安全密码;CVE-2024-36790,通过纯文本存储凭据;CVE-2024-36792,暴露WPS PIN;CVE-2024-36795,通过不安全权限访问嵌入的URL和目录。由于该设备已达到使用寿命(EoL)并不再受Netgear支持,用户需采取缓解措施如关闭远程管理、使用复杂密码、分离关键系统、强制HTTPS、关闭WPS、切换到WPA3以及限制管理界面访问。然而,最好的解决方案是更换为制造商支持的新型号以确保安全。来源:https://www.bleepingcomputer.com/news/security/netgear-wnr614-flaws-allow-device-takeover-no-fix-available/8. 黑客发现Xbox One内核漏洞,无需付费即可启用开发者模式
一名黑客名为carrot_c4k3声称发现了一个针对Xbox One游戏主机系统内核的漏洞,该漏洞利用微软商店应用“Game Script”实现。目前公布的漏洞概念验证仅限于UWP应用环境,但黑客计划下个月公布可完全控制系统内核读写权限的完整漏洞。利用该漏洞,玩家可以绕过付费启用开发者模式的限制,并修改游戏存档数据。黑客还提到该漏洞可能允许运行模拟器,用于怀旧游戏体验。需要注意的是,该漏洞并不支持游戏破解,且可能在未来的Xbox系统更新中被修复。目前针对该漏洞的利用方法已经在Github上分享,但论坛讨论区指出该漏洞可能已经被最新固件 (10.0.25398.4478) 修复。来源:https://thecyberexpress.com/kernel-level-exploit-xbox-one-consoles/9. Apple修复Vision Pro首个空间计算漏洞
2024年6月11日,苹果公司发布了visionOS 1.2版本,修复了多个安全漏洞,包括CVE-2024-27812,这是针对Vision Pro虚拟现实头戴设备的首个已知漏洞。CVE-2024-27812与处理特制的网络内容有关,可能导致拒绝服务(DoS)攻击。该漏洞由网络安全研究员Ryan Pickren发现,被认为是首次针对VR设备的空间计算攻击。苹果通过改进文件处理协议解决了此问题,并在公告中赞扬了Pickren的贡献。来源:https://www.securityweek.com/apple-patches-vision-pro-vulnerability-used-in-first-ever-spatial-computing-hack/10. 黑客利用OTP机器人和网络钓鱼绕过双因素身份验证
攻击者正利用越来越复杂的工具,例如OTP机器人和网络钓鱼工具包管理面板,来绕过2FA。OTP机器人是一种恶意软件,可以自动获取用户通过手机收到的 OTP。攻击者首先窃取用户的登录凭据,然后使用机器人触发OTP并通过社会工程诱骗用户透露。网络钓鱼工具包是用于创建虚假网站的工具,这些网站旨在欺骗用户输入他们的登录凭据和OTP。攻击者可以使用网络钓鱼工具包管理面板来控制这些网站并实时查看受害者输入的信息。绕过2FA并访问受害者的帐户,将造成身份盗窃和财务损失等严重后果。专家建议应采取以下措施:对所有帐户启用强密码并启用双因素身份验证;谨慎对待来自未知号码的电话呼叫,切勿在电话中透露OTP;注意网络钓鱼网站,并仅在官方网站上输入您的个人信息;定期更新您的软件和操作系统。来源:https://cybersecuritynews.com/hackers-otp-bots-bypass-2fa/11. Remcos RAT利用UUEncoded文件进行隐蔽分发
研究人员揭露了一种新的网络钓鱼攻击活动,该活动通过伪装成合法商业通信的电子邮件分发远程访问木马(RAT)Remcos。这些邮件包含一个用Unix-to-Unix 编码(UUE)压缩的文件,该文件可能包含 Remcos RAT 的下载程序。UUE 编码将二进制数据转换为文本,以规避检测系统。一旦受害者执行了附件中的恶意VBS脚本,攻击者就可以远程访问受害者的机器。脚本首先下载一个混淆的PowerShell脚本,然后从远程服务器下载另一个脚本,注入到合法的Windows进程wab.exe中,以建立持久性。Remcos RAT能够记录击键并泄露系统信息,为攻击者提供受害者的全面信息。AhnLab安全情报中心(ASEC)警告用户注意这些伪装成发票文件的恶意文件,并提供了IOC,包括文件的哈希值,以帮助识别和阻止这些威胁。来源:https://gbhackers.com/remcos-rat-uuencoding-theft/12. ValleyRAT恶意软件更新及Agent Tesla键盘记录器活动分析
网络安全研究人员发现ValleyRAT恶意软件的新变种,该变种增加了捕获屏幕截图、进程过滤、强制关机和清除Windows事件日志等新命令。ValleyRAT此前与针对中文和日本用户的网络钓鱼活动有关,此次更新显示其具备收集敏感信息和投放额外负载的能力。恶意软件的传播起点是一个下载器,利用HTTP文件服务器获取文件,并能终止特定反恶意软件解决方案以逃避分析。ValleyRAT通过多阶段感染过程和DLL侧载技术,建立系统持久性并逃避安全解决方案。同时,Fortinet FortiGuard实验室揭露了针对西班牙语用户的网络钓鱼活动,该活动利用Excel加载项文件传播Agent Tesla键盘记录器,通过利用已知漏洞触发PowerShell脚本,收集受害者的凭证和电子邮件联系人。来源:https://thehackernews.com/2024/06/china-linked-valleyrat-malware.html13. SSLoad恶意软件利用MSI安装程序进行隐蔽传播
SSLoad是一种复杂的恶意软件,它利用MSI安装程序来启动其传播链,利用Windows系统对MSI文件的信任来绕过安全控制。Intezer的研究人员最近发现了SSLoad的新活动,其中包括一个诱饵Word文档和网络钓鱼电子邮件,这些手段用于下载 JavaScript脚本和MSI安装程序,进而加载SSLoad负载。SSLoad恶意软件执行系统渗透、信息收集和有效载荷传送等操作。研究人员分析的MSI安装程序通过多个阶段的加载器启动,最终部署SSLoad有效负载。SSLoad使用Rust编写,具备反分析能力,如创建互斥锁、检查调试、动态加载DLL,并使用滚动XOR密钥进行字符串解码。它还采用多种逃避技术,如操纵PEB(进程环境块)和使用RtlGenRandom进行唯一文件夹命名。此外,SSLoad通过Telegram和C2服务器进行通信,使用RC4和Base64加密方法来解密C2地址和用户代理,下载下一阶段的有效载荷。来源:https://gbhackers.com/ssload-malware-msi-installer/14. 揭秘GPT-4o的安全性:利用越狱攻击的实证研究
本文对最新发布的GPT-4o模型进行了安全性评估,特别是针对越狱攻击的抵御能力。研究团队设计了一系列多模态和单模态的越狱攻击,测试了GPT-4o在文本、语音和图像三种模态下的表现。实验涉及超过4000个初始文本查询和对GPT-4o生成的8000多个响应的深入分析。研究结果揭示了三个关键观察结果:首先,GPT-4o在文本模态的安全性较之前版本GPT-4V有所增强;其次,GPT-4o新引入的音频模态为越狱攻击提供了新的途径;最后,现有的黑盒多模态越狱攻击方法对GPT-4o和GPT-4V效果不大。这些发现不仅为理解GPT-4o的潜在安全风险提供了重要视角,也强调了在大型AI模型中加强安全防护措施的必要性。相关代码和数据已在GitHub上公开,以便进一步研究和验证。来源:https://arxiv.org/html/2406.06302v115. 审查链:检测大型语言模型的后门攻击
本文探讨了大型语言模型(LLM)面临的后门攻击威胁,尤其是在第三方服务提供API集成时的风险。不可靠的第三方可能在LLM中植入后门,通过在用户查询中嵌入恶意指令来构成风险。受后门影响的LLM在输入包含特定触发器时会生成恶意输出。文章提出了一种名为Chain-of-Scrutiny(CoS)的新型防御机制。CoS通过引导LLM为输入生成详细的推理步骤,并审查这些步骤以确保与最终答案的一致性,从而检测和防御后门攻击。该方法的优势在于它只需对LLM进行黑盒访问,提供了一种实用的、用户友好的防御措施,尤其适用于通过API访问的LLM。CoS的防御过程由自然语言驱动,对用户完全透明。通过在多种任务和不同LLM上的广泛实验,验证了CoS的有效性。实验结果还表明,对于更强大的LLM,CoS的防御效果更为显著。来源:https://arxiv.org/html/2406.05948v116. RAPID:使用情境感知深度学习进行强大的APT检测和调查
现有基于签名的APT检测方法存在诸多不足,如高误报率、缺乏可解释性以及难以适应系统行为的快速变化。为了克服这些问题,本文提出了一种名为RAPID的新型APT检测和调查方法,它通过自监督序列学习和迭代学习嵌入,有效适应了系统的动态变化,同时利用来源跟踪技术丰富了警报内容,增强了检测能力。在广泛的评估中,RAPID显示出在现实场景中的有效性和计算效率,并且在精度和召回率上超越了最先进的方法,同时显著降低了误报率。RAPID的一个关键优势是其能够集成上下文信息,并促进从检测到调查的平稳过渡,为安全团队提供了深入的洞察,帮助他们更有效地应对APT威胁。来源:https://arxiv.org/html/2406.05362v1
还没有评论,来说两句吧...