5th域安全微讯早报【20250215】040期

2025-02-15  星期六 Vol-2025-040

1. 法院裁决或阻碍人工智能发展：禁止未经许可使用受版权内容训练AI

2. 两党立法致力于促进量子研究

3. 北约支持首批欧洲军民两用初创企业

4. 弗吉尼亚州总检察长办公室遭受网络攻击，计算机系统被迫离线

5. Meta 2024年支付超230万美元漏洞赏金，奖励近200名研究人员

6. 俄罗斯DDoS攻击创下新纪录：412 Gbps和每秒1.03亿个数据包

7. CISA发布20条ICS安全公告，详述漏洞及缓解措施

8. NVIDIA容器工具包漏洞使攻击者能够执行代码

9. Apache Fineract SQL注入漏洞可导致注入恶意数据

10. 美国确保政府机构生成式人工智能安全的五步计划

11. 机构如何安全使用中国制造的DeepSeek AI

12. 增长1216%：诈骗者已将人工智能变成欺诈工厂

13. Lazarus Group利用信息窃取恶意软件针对开发人员发起新攻击

14. 朝鲜IT人员渗透国际公司植入后门，构成双重威胁

15. REF7707黑客活动利用FINALDRAFT恶意软件攻击Windows和Linux系统

1. 法院裁决或阻碍人工智能发展：禁止未经许可使用受版权内容训练AI

【Securitylab网站2月14日消息】美国联邦法院裁定，未经许可使用受版权保护的内容训练人工智能不属于合理使用。这一裁决源于汤森路透与Ross Intelligence之间的法律纠纷，法院驳回了Ross的合理使用论点，认为其未创造新内容，而是利用他人内容打造竞争产品。尽管裁决未明确涉及生成式AI模型，但其对AI行业和媒体领域影响深远。Copyleaks首席执行官Alon Yamin指出，裁决强调尊重知识产权的重要性，尤其是在使用私人数据库训练模型时。然而，生成式AI与非生成式AI的差异可能引发司法混乱，科罗拉多大学法学院教授Harry Surden表示，缺乏对技术细节的理解可能导致不可预测的后果。随着针对AI公司的诉讼增多，如《纽约时报》起诉OpenAI和微软，以及多家媒体起诉Cohere，未来法院裁决将进一步塑造AI法律格局。

2. 两党立法致力于促进量子研究

【ExcetiveGov网站2月14日报道】美国参议员迪克·德宾和史蒂夫·戴恩斯提出了一项两党立法，旨在加强国家对量子信息科学的投资。该法案被称为《2025年能源部量子领导力法案》，计划在未来五年内拨款超过25亿美元用于量子研究和开发，远超2018年《国家量子计划法案》的6.25亿美元预算。该法案的主要内容包括：在2030年前重新授权并扩大美国能源部的量子研发项目。推进能源部五个国家研究中心的量子研究进展。应对量子供应链和商业化面临的挑战。加强量子领域内各机构和行业之间的协调。建立新项目，为量子研发和商业生态系统提供培训和装备。德宾表示：“通过这项立法，我们可以确保我们的能源部设施装备精良，引领量子革命。”戴恩斯补充道：“投资研发项目将有助于加强美国的国家安全，创造就业机会，并加速量子研究项目。”该法案还得到了纽约州参议员查克·舒默、阿肯色州参议员丽莎·穆尔科斯基、加利福尼亚州参议员亚历克斯·帕迪拉和印第安纳州参议员托德·杨的共同支持。

3. 北约支持首批欧洲军民两用初创企业

【TechCrunch网站2月14日报道】北约与英国合作，推出北大西洋国防创新加速器（DIANA）计划下的首批初创企业。这一举措旨在为北约国家引进新技术，特别是在“国防、弹性和安全”（DSR）领域，该领域投资已占欧洲风险投资的10%。DIANA计划包括23个加速器站点和182个测试中心，连接国防人员、初创企业和国防承包商。首批五家初创企业入选，涵盖人工智能、电子、半导体和材料科学领域，是从2400份申请中选出的。入选企业包括：AI Verse（法国）：解决计算机视觉模型训练中的图像隐私和准确性问题；EIFys（芬兰）：商业化诱导结黑硅光电二极管；Metahelios（英国）：通过纳米技术开发工业成像技术；RVmagnetics（斯洛伐克）：开发基于微波的传感器技术；Winse Power（芬兰）：开发光学链路，用于传感和监控领域。英国国防和安全加速器（DASA）与IoT Tribe合作，领导该项目，后者还领导Janus Consortium的双重用途技术。该项目的“Janus”之名象征民用和国防技术的双重用途。DASA首席执行官Tanya Suarez表示，这些初创企业将加快军民两用技术的开发，为北约的军事和民用应用带来益处。

4. 弗吉尼亚州总检察长办公室遭受网络攻击，计算机系统被迫离线

【Securityweek网站2月14日消息】弗吉尼亚州总检察长办公室本周遭受网络攻击，导致其几乎所有计算机系统被迫离线。该州最高检察官杰森·米亚雷斯领导的机构目前正在与弗吉尼亚州警察及其他执法部门合作调查此次攻击。首席副检察长史蒂文·波普斯在给员工的电子邮件中表示，受影响的系统包括Net Docs、Outlook、Teams、OAG Fileshare、VPN访问以及通过OAG网络的互联网连接。此次攻击严重影响了该机构的日常运作，弗吉尼亚州最高法院和上诉法院已临时提供纸质法庭文件以应对系统中断。弗吉尼亚州总检察长办公室负责为该州机构、大学及执法部门提供法律服务，此次攻击的具体影响仍在评估中。

5. Meta 2024年支付超230万美元漏洞赏金，奖励近200名研究人员

【Securityweek网站2月14日消息】Meta在2024年通过其漏洞赏金计划向安全研究人员支付了超过230万美元的奖励。该公司去年收到近10,000份漏洞报告，其中约600份符合赏金条件，近200名研究人员获得奖励。自2011年以来，Meta已累计支付超过2000万美元的漏洞赏金，涵盖Facebook、Instagram、WhatsApp、Meta Quest等产品。Meta为不同漏洞类型提供高额奖励，例如移动产品中的代码执行漏洞最高可获30万美元，账户接管漏洞最高可获14.5万美元。自2023年起，Meta还开始奖励生成式AI功能中的漏洞报告，并计划于今年5月在东京举办年度Meta漏洞赏金研究员大会（MBBRC）。Meta表示，其漏洞赏金计划在过去14年中与外部研究人员建立了紧密合作，显著提升了平台的安全性。

6. 俄罗斯DDoS攻击创下新纪录：412 Gbps和每秒1.03亿个数据包

【Securitylab网站2月14日消息】2024年下半年俄罗斯DDoS攻击次数较上半年增加了2.6倍，达到80,735次，全年总计112,171次。最大攻击容量达412 Gbps，最高速度为每秒1.03亿个数据包，创下新纪录。攻击总时长为9,718小时，其中10月攻击时间最长，达2,167小时。最常见的攻击类型为TCP PSH/ACK Flood、TCP SYN Flood和UDP Flood，占所有攻击的70%。攻击者采用更复杂的方法，结合多种攻击类型以最大化破坏效果。随着攻击强度、频率和持续时间的增加，网络基础设施安全面临更大挑战。

10. 美国确保政府机构生成式人工智能安全的五步计划

【Nextgov网站2月14日消息】随着生成式人工智能（GenAI）在政府机构中的广泛应用，确保其安全性成为关键挑战。GenAI技术能够生成文本、图像、音频和视频内容，显著提升工作效率，但也带来了数据安全和隐私风险。为应对这些挑战，Lasso Security首席执行官Elad Schulman提出了五步安全标准计划：获得GenAI接触点的可观察性：实时监控所有GenAI工具的使用情况，识别可疑活动。评估威胁形势：利用OWASP十大LLM漏洞等资源，全面了解现有威胁，预测新风险。实施防护措施：建立分类和访问控制，限制对GenAI工具的访问权限，确保零信任策略。投资常规培训/意识计划：通过培训提升员工对GenAI安全和道德使用的认识，安装实时警报系统防止数据泄露。采用专门的LLM方法：集成GenAI安全态势管理、AI防火墙等工具，持续评估和减轻技术风险。通过实施这一计划，政府机构能够在推动创新的同时，确保GenAI生成内容的可信性和安全性。

11. 机构如何安全使用中国制造的DeepSeek AI

【Nextgov网站2月14日消息】中国开发的DeepSeek AI模型因其低成本训练和高计算效率引起关注。该模型通过展示推理过程，使用户能够观察AI的思考路径，这一特性在测试中表现出色。然而，DeepSeek的隐私政策规定，所有输入数据将被存储在中国服务器上，并可能与中国政府共享，这引发了安全担忧。为确保安全使用，建议政府机构在本地安装DeepSeek AI，并完全断开与互联网的连接。通过第三方应用程序（如LM Studio和Ollama），可以在MacOS、Linux或Windows系统上运行DeepSeek模型。测试表明，离线环境下DeepSeek仍能提供高质量答案，尽管响应时间较长。未来将发布详细指南，帮助联邦机构安全使用这一新型AI工具。

12. 增长1216%：诈骗者已将人工智能变成欺诈工厂

【Securitylab网站2月14日消息】人工智能和价值10万美元的比特币正在引发加密货币盗窃的风暴。过去12个月中，加密货币诈骗案件数量激增1216%，仅2025年1月就发现了150多起相关案件。Fortra专家与Cybernews分享的数据显示，网络犯罪分子对数字资产的兴趣日益浓厚，原因包括：被盗资金易于洗钱，比特币近期突破10万美元大关，以及此类攻击与商业电子邮件诈骗（BEC）的关联——攻击者冒充公司高管诱骗员工转账或提供敏感数据。尽管礼品卡仍是提取被盗资金的主要方式（占比20.7%），但加密货币支付也占了相当比例（8.3%）。2025年1月，研究人员发现了122个与欺诈相关的独特加密钱包，平均存款金额为5075美元，范围从0.17美元到53438美元不等。最活跃的钱包通过两笔交易收到了0.09 BTC（约合9000美元）。人工智能的自动化欺诈使诈骗变得更加高效。现代算法可以生成完美无瑕的消息，并将其与加密钱包地址一起批量发送给潜在受害者。此外，所谓的“性勒索工具包”在暗网论坛上广泛传播，使得即使是网络犯罪新手也能利用泄露的数据库开展大规模勒索活动。

13. Lazarus Group利用信息窃取恶意软件针对开发人员发起新攻击

【Cybersecuritynews网站2月14日消息】朝鲜高级持续性威胁（APT）组织Lazarus Group近期针对软件开发人员发起了一场复杂的恶意软件攻击。此次攻击采用信息窃取恶意软件，通过社会工程策略如虚假求职面试和受损的NPM包，诱骗开发人员执行恶意脚本。攻击采用多阶段模块化方法，使用Base64编码和zlib压缩技术混淆恶意代码。恶意软件结构包括主文件script.py和多个功能文件夹，如sysinfo和n2，用于系统检测、信息收集和C2通信。Lazarus Group还利用“ClickFix”方法和虚假招聘人员资料进行社会工程攻击。攻击中使用的恶意软件包括BeaverTail、InvisibleFerret和海啸（Tsunami）。此次攻击展示了复杂的社会工程策略和混淆技术，强调了严格的网络安全措施的重要性。

14. 朝鲜IT人员渗透国际公司植入后门，构成双重威胁

【Cybersecuritynews网站2月14日消息】朝鲜IT工作者通过虚假身份获取远程职位，渗透跨国公司并植入后门，不仅违反国际制裁，还带来严重的网络安全风险。Insikt集团揭露了这些活动，指出朝鲜政权通过升级网络犯罪等非法活动应对日益严厉的制裁。这些IT人员利用虚假个人资料和幌子公司，针对依赖知识产权的行业（如加密货币和软件开发）进行恶意活动。分析显示，朝鲜IT人员使用多种恶意软件家族，包括BeaverTail（JavaScript信息窃取程序）、InvisibleFerret（跨平台Python后门）和OtterCookie（通过Socket.IO建立C2连接的后门）。这些恶意软件通常通过虚假工作面试或编码挑战传播。例如，一名开发人员被要求下载包含恶意功能的编码挑战文件，后被发现为BeaverTail信息窃取程序。朝鲜还运营模仿合法IT公司的幌子公司网络，在Telegram、GitHub和Upwork等平台发布虚假招聘信息。朝鲜IT人员的渗透行为带来了违反制裁和网络安全风险的双重威胁。

15. REF7707黑客活动利用FINALDRAFT恶意软件攻击Windows和Linux系统

【Cybersecuritynews网站2月14日消息】Elastic Security Labs近期发现了一项名为“REF7707”的复杂黑客活动，针对Windows和Linux系统，使用包括FINALDRAFT、GUIDLOADER和PATHLOADER在内的新型恶意软件系列。该活动首次于2024年11月下旬在南美国家外交部被发现，以其先进战术和较差的作战安全性著称，导致部分基础设施暴露。攻击执行链始于使用Microsoft的certutil应用程序从远程服务器下载文件，并通过Windows远程管理工具进行横向移动。FINALDRAFT是REF7707入侵套件的关键组件，支持Windows和Linux平台，并滥用Windows签名的调试器（CDB.exe）执行恶意shellcode。持久性通过计划任务实现，每分钟以SYSTEM身份调用一次恶意二进制文件。FINALDRAFT还利用Microsoft Graph API建立命令和控制，与合法流量混合以逃避检测。攻击者大量使用云和第三方服务进行指挥和控制，恶意软件样本中发现了诸如support.vmphere[.]com和update.hobiter[.]com等域名。尽管攻击者在某些领域表现出高技术能力，但其战术疏忽导致预生产恶意软件样本和基础设施暴露。