5th域安全微讯早报【20250203】029期

2025-02-03 星期一 Vol-2025-029

今日热点导读

1. 马斯克团队封锁美国人事管理局数据系统，引发网络安全与监督担忧

2. 欧盟禁止具有“不可接受风险”的人工智能系统

3. 零点击恐怖：以色列间谍软件无需点击即可入侵WhatsApp

4. 血腥云层：AWS和Azure被某网络黑手党劫持

5. 心脏阻断行动：美国联邦调查局粉碎邪恶帝国

6. 卡西欧等17家网站遭双重输入网络盗取攻击

7. 天才行动：国际执法捣毁网络犯罪平台，两人被捕

8. 美国data.gov门户网站数据消失引发科学界担忧

9. 美国犯罪数据库疑似泄露，7000万条记录曝光

10. 谷歌称黑客滥用Gemini AI来增强攻击能力

11. 人工智能生成的内容：网络犯罪分子如何利用其进行网络钓鱼诈骗

12. 加密货币盗窃新趋势：攻击次数减少但损害增加

13. 2025年勒索软件攻击将更糟，警方行动难阻犯罪浪潮

14. 美国海军战舰首次部署人工智能系统

15. DeepSeek打破AI开发成本神话，引发行业巨震

16. 斯诺登批评Nvidia新一代显卡性价比低，买家仍面临亏损

备注: 更多资讯信息，欢迎订阅！

资讯详情

政策法规

1. 马斯克团队封锁美国人事管理局数据系统，引发网络安全与监督担忧

【路透社1月31日报道】埃隆·马斯克的团队在接管美国人事管理局（OPM）后，封锁了该机构部分职业公务员对包含数百万联邦雇员个人数据的计算机系统的访问权限。此举引发了外界对数据安全和缺乏监督的担忧。马斯克被特朗普总统任命为削减联邦政府规模的负责人，其团队迅速在OPM内部安插亲信，并采取了一系列激进措施，包括将部分高级职员的系统访问权限撤销，导致他们无法查看包含联邦雇员出生日期、社保号码、薪酬等级等敏感信息的数据库。OPM内部人士透露，马斯克的团队已在总部五楼安装沙发床，以便全天候工作，这一做法与其在X（原Twitter）的管理风格相似。此外，OPM的首席管理官凯蒂·马拉格（Katie Malague）被调离原办公室，进一步加剧了内部动荡。马斯克的团队还包括多名前SpaceX和特斯拉员工，他们正在推动联邦雇员自愿离职计划，并提供八个月薪酬作为补偿。

2. 欧盟禁止具有“不可接受风险”的人工智能系统

【Techcrunch网站2月2日消息】欧盟《人工智能法案》的第一个合规期限生效，禁止使用被认为会带来“不可接受的风险”或危害的人工智能系统。该法案将人工智能风险分为四级，其中不可接受的风险应用将被完全禁止，包括社交评分、潜意识操纵、利用弱点、预测犯罪行为、推断特征、公共场所生物特征数据收集、情绪推断和面部识别数据库扩展等。违反规定的公司可能被处以最高3500万欧元或年收入7%的罚款。尽管部分公司已签署《欧盟人工智能公约》，但Meta、苹果和Mistral等公司未签署。法案允许某些例外情况，如执法部门在特定情况下使用生物特征系统。欧盟委员会计划在2025年初发布更多指导方针。

安全事件

3. 零点击恐怖：以色列间谍软件无需点击即可入侵WhatsApp

【SecurityLab网站2月1日报道】WhatsApp宣布成功阻止了一起针对记者和民间社会成员的间谍软件攻击活动。此次攻击影响了约90人，涉及以色列公司Paragon Solutions开发的间谍软件。据WhatsApp称，攻击者于2024年12月被制服，但尚不清楚攻击的幕后黑手是谁以及攻击持续了多长时间。此次攻击利用了“零点击”漏洞，即无需用户点击链接或执行任何操作即可感染设备。恶意软件很可能通过发送给WhatsApp群组成员的特制PDF文件传播。WhatsApp已向受影响的用户发出通知，并表示“高度确信”他们的设备可能已被入侵。Paragon Solutions开发的间谍软件Graphite功能强大，专为政府机构打击网络威胁而设计。2024年12月，该公司被美国投资基金AE Industrial Partners以5亿美元收购。尽管Paragon声称其工具用于“道德导向”的犯罪打击，但其技术首次被公开与非法监视活动相关联。此次事件再次引发对商业间谍软件滥用的关注。

4. 血腥云层：AWS和Azure被某网络黑手党劫持

【SecurityLab网站2月1日报道】最近的调查揭示了一个名为Funnull的大型网络欺诈平台，该平台利用Amazon AWS和Microsoft Azure等云计算服务隐藏其非法活动。Funnull与某有组织犯罪集团有关，主要托管虚假交易应用、赌博网站和网络钓鱼页面，甚至通过收购polyfill.io域名发起供应链攻击，重定向数万个合法网站的用户至恶意资源。此外，Funnull帮助绕过“防火长城”审查系统，使得赌博和洗钱活动得以继续进行。尽管云平台已禁用与Funnull相关的账户，但专家警告，犯罪分子能迅速创建新账户继续实施犯罪活动。这种行为被称为“基础设施洗钱”，是网络犯罪新的挑战。美国商务部的新规要求云服务商监控并报告可能用于网络攻击的交易，专家认为这可能对云服务滥用起到一定约束作用，但其效果尚不明朗。

5. 心脏阻断行动：美国联邦调查局粉碎邪恶帝国

【SecurityLab网站2月1日报道】美国和荷兰执法机构联合实施了一项名为“心脏阻断行动”的国际执法行动，成功捣毁了一个位于巴基斯坦的复杂网络犯罪网络。该组织名为Saim Raza或HeartSender，专门开发和销售网络钓鱼工具，给全球受害者造成了超过300万美元的损失。在此次行动中，执法人员查获了39个被网络犯罪分子使用的域名和服务器。HeartSender提供多种网络犯罪工具，包括网络钓鱼工具包、Cookie窃取工具以及用于大规模分发恶意电子邮件的服务。这些工具使攻击者能够窃取用户凭证并获取对受感染基础设施的访问权限。该组织还通过提供对网站控制面板（cPanel）、SMTP服务器和被黑的WordPress账户的访问权限，为数千名客户提供服务。调查发现，HeartSender的运营存在严重漏洞，其自身网络甚至被外部人员入侵，导致客户数据和交易信息泄露。据独立记者布莱恩·克雷布斯（Brian Krebs）报道，该组织的粗心大意使其成为执法机构的突破口。此次行动还查获了大量被盗数据，其中包括约10万个来自荷兰的账户。

6. 卡西欧等17家网站遭双重输入网络盗取攻击

【Hackread网站2月1日报道】研究人员发现至少17个网站（包括电子巨头卡西欧的英国网站）遭受了双重输入网络盗取攻击。此次攻击可能源于Magento或类似电子商务平台的漏洞。攻击者利用网页窃取工具包，通过俄罗斯托管服务提供商的脚本，拦截购物车页面的结账按钮点击，弹出虚假多步骤付款表单，收集用户敏感信息。这种策略称为重复输入盗刷，用户被迫输入两次付款详细信息。攻击者使用AES-256-CBC加密被盗数据，以逃避检测。卡西欧英国网站的感染发生在1月14日至24日之间，公司在收到警报后24小时内解决了问题。研究表明，卡西欧英国网站的内容安全策略（CSP）未能有效阻止攻击，因为它仅配置为报告模式，缺乏适当的报告机制。

7. 天才行动：国际执法捣毁网络犯罪平台，两人被捕

【Hackread网站1月31日报道】国际执法机构联合开展“天才行动”，成功捣毁了Cracked和Nulled两大网络犯罪平台，逮捕了两名嫌疑人，查封了12个域名、17台服务器、50多台电子设备，以及约30万欧元现金和加密货币。Cracked和Nulled是网络犯罪的核心市场，分别拥有超过400万和500万用户，广告帖子分别超过2800万和4300万条，涉及被盗凭证、黑客工具等非法交易。此次行动由美国、罗马尼亚、澳大利亚、法国、德国、西班牙、意大利和希腊的执法机构联合执行，展示了国际合作在打击网络犯罪方面的成效。Cracked和Nulled的关闭，不仅减少了网络犯罪的基础设施，还保护了大量用户的个人信息和财产安全。

8. 美国data.gov门户网站数据消失引发科学界担忧

【Securitylab网站2月2日报道】美国最大的开放数据门户网站data.gov上已有2000多个数据集消失，引起了科学界的严重担忧。数据显示，自1月21日至2月初，数据集数量从307,854组减少至305,564组。哈佛大学研究员杰克·库什曼指出，data.gov作为聚合器运行，文件可能从平台消失但仍可在各机构网站获取。404 Media调查发现，部分消失资料仍可在联邦机构网站找到，但有些文件下载时返回404错误。受影响最严重的档案馆包括美国能源部、NOAA、内政部、NASA和环境保护局。分析认为，数据消失可能由于政府例行变动，但也可能与特朗普政府的政策有关。北德克萨斯大学的马克·菲利普斯团队正与互联网档案馆等合作扫描政府网站，以保留政府发展成果。斯坦福图书馆的詹姆斯雅各布斯称data.gov为“政府的数据箱”，但目前尚无明确的存储规则。科学数据的集中存储使其易受攻击，损失规模尚无法准确评估。

9. 美国犯罪数据库疑似泄露，7000万条记录曝光

【DarkWebInformer网站2月2日报道】一名威胁行为者Sythe涉嫌泄露了包含7000万条记录的美国犯罪数据库。泄露的数据包括全名、出生日期、地址、指控日期、身高体重、眼睛和头发颜色、社会安全号码、国家犯罪信息中心代码、逮捕机构和案件编号、法院费用和罚款、以及缓刑和假释日期。此次泄露可能导致严重的隐私风险、身份盗窃和欺诈，甚至国家安全风险。建议受影响个人监控信用报告，执法机构调查数据真实性，网络安全团队加强保护措施。

风险预警

10. 谷歌称黑客滥用Gemini AI来增强攻击能力

【Bleepingcpmputer网站2月1日消息】谷歌威胁情报小组（GTIG）发布报告称，多个国家支持的高级持续威胁（APT）组织正在滥用谷歌的人工智能助手Gemini，以提高其网络攻击的生产力和效率。这些组织主要来自伊朗、中国、朝鲜和俄罗斯，他们利用Gemini进行侦察、漏洞研究、脚本编写以及入侵后活动的规划，但尚未开发出能够绕过传统防御的新型AI网络攻击。伊朗的APT组织是Gemini的最大用户，他们利用该工具进行网络钓鱼、漏洞研究、军事技术翻译以及影响行动的内容创建。中国的APT组织则专注于对美国军事和政府目标的侦察、横向移动脚本编写以及安全工具的逆向工程。朝鲜的APT组织利用Gemini支持恶意软件开发、目标侦察以及虚假身份求职信的撰写。俄罗斯的APT组织对Gemini的使用较少，主要集中在脚本协助和恶意代码加密上，可能更倾向于使用本土开发的AI模型。谷歌指出，尽管威胁行为者尝试通过越狱或重新措辞提示来绕过Gemini的安全措施，但这些尝试均未成功。

11. 人工智能生成的内容：网络犯罪分子如何利用其进行网络钓鱼诈骗

【Hackread网站1月31日报道】随着人工智能（AI）技术的快速发展，网络犯罪分子开始利用AI生成的内容来实施更加个性化和令人信服的网络钓鱼攻击。这些攻击不仅能够自动生成类似人类的文字，还能根据目标的具体情况进行定制，从而大幅提高诈骗的成功率。传统的网络钓鱼攻击通常容易被识别，因为它们往往包含拼写错误或语法问题。然而，随着AI技术的发展，网络犯罪分子能够利用AI生成的文本创建高度个性化和可信的诈骗邮件。这些邮件看起来像是来自信任的联系人，如老板或同事，要求提供礼品卡、电汇或登录凭据。根据IBM 2022年的数据泄露成本报告，商业电子邮件入侵（BEC）诈骗平均损失高达489万美元，成为第二大最昂贵的数据泄露类型。网络安全研究人员警告称，像WormGPT、FraudGPT和GhostGPT这样的恶意ChatGPT替代品正在网络犯罪分子中变得越来越受欢迎。这些工具能够生成语法完美、无拼写错误的网络钓鱼页面和邮件，即使是新手黑客也能轻松使用。AI生成的网络钓鱼攻击不仅范围更广，而且对个人目标来说也更具可信度。AI模型能够自动创建无限的定制诈骗变体，从而大幅降低网络犯罪分子大规模实施超目标网络钓鱼活动的成本。这可能导致更复杂、更精确的社会工程威胁，覆盖更多的收件箱、社交媒体信息、文本和即时消息。到2025年，AI驱动的网络钓鱼攻击可能会成为网络犯罪的常态。商业AI网络钓鱼工具包已经在暗网市场上出现，使得任何想要成为诈骗者的人现在都可以轻松地自动生成上下文感知语言，以进行大规模网络钓鱼。组织需要提前调整防御措施和员工弹性，以应对这一新兴挑战。

12. 加密货币盗窃新趋势：攻击次数减少但损害增加

【Securitylab网站2月2日报道】2025年1月，加密货币行业因黑客攻击损失7390万美元，尽管攻击次数比去年同期减少了44%。Immunefi平台数据显示，19次成功攻击中，新加坡交易所Phemex和去中心化平台Moby Trade分别损失6910万美元和250万美元。中心化金融服务（CeFi）损失最为惨重，占总损失的93%，而去中心化平台（DeFi）尽管遭受更多攻击，但损失仅占6.5%。Immunefi创始人Mitchell Amador预测，集中式平台将继续成为主要目标，并强调了改进安全系统和人员培训的重要性。Immunefi平台通过与道德黑客合作，已支付超过1.12亿美元赏金，保护了超过1900亿美元的用户资金。

13. 2025年勒索软件攻击将更糟，警方行动难阻犯罪浪潮

【Securitylab网站2月2日报道】2024年勒索软件攻击数量达到5263起，创历史新高，比2023年增加15%。英国NCC集团年度报告指出，关键基础设施成为主要目标，预计2025年情况将更糟。攻击激增的原因包括程序漏洞、国际关系紧张、勒索软件即服务模式盛行以及加密货币汇率增长。尽管警方成功捣毁了LockBit等犯罪团伙，但勒索软件即服务模式使犯罪分子迅速重组。2024年追踪到的犯罪团伙从62个增至94个，其中RansomHub成为第二大行动组织。专家认为，只要勒索软件即服务存在，警方行动难以阻止攻击浪潮。

其他动态

14. 美国海军战舰首次部署人工智能系统

【Securitylab网站2月1日报道】美国海军在导弹驱逐舰“菲茨杰拉德”号上首次部署了人工智能系统ERM v4。该系统每秒处理约10,000个传感器读数，实时监控船体、机械和电气设备的状况，并生成维护建议。通过捕捉细微的模式和偏差，人工智能帮助船员在问题恶化前排除故障，确保舰艇随时处于作战准备状态。海军领导层对ERM v4寄予厚望，希望其解决长期存在的维护延迟和舰队战备问题。该系统不仅能提高工作效率，还能缩短修复时间，这对于快速应对潜在冲突至关重要。未来，ERM v4的功能可能会扩展到作战系统，并计划在2025年部署到另外四艘舰艇上，以获得更多数据进行训练，进一步提高维护预测的准确性。此次部署是美国国防系统现代化计划的一部分，旨在通过人工智能提升军事装备的维护效率和战备水平。同时，私营部门也在积极参与，如OpenAI与国防公司Anduril合作，开发保护军事设施免受无人机袭击的系统。

15. DeepSeek打破AI开发成本神话，引发行业巨震

【Securitylab网站1月31日消息】中国公司DeepSeek发布新语言模型R1，性能比肩西方顶尖模型，却以极低成本甚至免费开放，震动全球科技界。美国股市蒸发万亿美元，投资者陷入恐慌，前总统特朗普称这是美国的“警钟”。DeepSeek不仅推出R1，更公开其开发细节，打破高级AI模型开发复杂且昂贵的固有认知。其成功源于创新训练方法：用自动化系统取代人工评估，大幅降低成本；引入“多标记预测”等技术，提升效率与准确性。这一模式的开源，让高质量AI模型变得触手可及，冲击OpenAI、Google等巨头的市场地位，引发西方对技术优势的担忧。未来，基于R1的开放模型将大量涌现，西方科技巨头将加速迭代应对，全球AI监管或趋严。DeepSeek的突破，使AI开发走向平民化，预示着技术竞争与合作的新时代，人工智能的未来格局正被重塑。

16. 斯诺登批评Nvidia新一代显卡性价比低，买家仍面临亏损

【Securitylab网站2月2日报道】爱德华·斯诺登在X（Twitter）上对Nvidia新一代RTX 50系列显卡提出尖锐批评，指责其人为限制技术规格，导致性价比低下。斯诺登指出，RTX 5080和5090的VRAM容量不足，分别为12GB、16GB和24/32GB，无法满足现代AAA游戏需求，尤其是高分辨率下的性能表现。他称Nvidia为“S级价格、F级价值”的品牌，并批评其定价策略为“对消费者的垄断犯罪”。RTX 5080因性能提升有限且价格高昂，被评论家称为“奇怪而无趣”的产品。RTX 5090虽性能强劲，但价格较前代上涨400美元，性价比受到质疑。RTX 5070虽宣称性能接近RTX 4090，但12GB VRAM被认为不足以应对未来游戏需求，而16GB版本的5070 Ti售价高达750美元，进一步加重了消费者负担。尽管Nvidia在市场上占据主导地位，但其前景并不乐观。