FreeBuf_的博客

如今，攻击者正在其大规模网络钓鱼活动中越来越多地采用鱼叉式网络钓鱼方法和技术：他们发送的电子邮件越来越个性化，他们的欺骗技术和策略的范围也在扩大。这些具备“鱼叉式网络钓鱼”特征的大规模电子邮件活动构成了独特的威胁。这就要求组织采取与技术发展步伐同步的安全防护措施，同时结合各种方法和服务来打击各种类型的网络钓鱼。注意发件人的地址和实际的电子邮件域：在官方的公司电子邮件中，这些必须匹配。如果某些东西看起来很可疑，请向发件人证实，但不要回复电子邮件，而是采取其他沟通渠道（如打电话、发短信等）。

TheHackerNews网站消息，软件供应链安全公司 JFrog 的网络安全研究人员称，他们发现了一个意外泄露的 GitHub 令牌，可授予 Python 语言 GitHub 存储库、Python 软件包索引（PyPI）和 Python 软件基金会（PSF）存储库的高级访问权限。该令牌属于 Python 软件基金会的基础设施主管，并且意外地包含在一个编译的二进制文件中，该文件作为容器镜像的一部分发布在 Docker Hub 上。

谷歌（Google）宣布，对通过漏洞奖励计划报告的系统和应用程序中发现的漏洞的奖励金额将提高五倍，单个安全漏洞的新最高奖励金额为 151515 美元。"谷歌表示："随着时间的推移，我们的系统已经变得更加安全，我们知道发现漏洞需要更长的时间--有鉴于此，我们非常高兴地宣布，我们将把奖励金额提高5倍。新的最高奖励金额为 "在我们最敏感的产品中发现 RCE，奖励金额为 101,010 美元，如果报告质量优异，则奖励金额为 1.5 倍 = 151,515 美元"。

一次成功的越狱有可能颠覆人工智能供应商通过对模型的训练而在模型中建立的所有或大部分负责任的人工智能（RAI）防护网，因此，作为深度防御的一部分，在人工智能堆栈的其他层级上降低风险是一个关键的设计选择。与 Crescendo 等其他越狱程序不同的是，这些程序必须通过间接方式或编码方式向模型询问任务，而 "Skeleton Key "则将模型置于用户可以直接请求任务的模式，例如 "编写生物武器的配方"。此外模型的输出似乎是完全未经过滤的，并揭示了模型的知识范围或生成所请求内容的能力。

昨天（6月27日），远程访问软件公司TeamViewer警告称其遭遇了一次网络攻击，其企业环境遭到入侵，据称是APT黑客组织所为。TeamViewer 在其信任中心发布的一篇文章中提到，本周三（6月26日），其安全团队检测到 TeamViewer 内部企业 IT 环境出现异常，公司随即启动了响应团队和程序，与全球知名的网络安全专家团队一起展开调查，并实施了必要的补救措施。由于TeamViewer的内部企业 IT 环境完全独立于产品环境，目前还没有证据表明产品环境或客户数据受到影响。

尽管有研究人员猜测，但 TEG 并未证实与 Snowflake 或 ShinyHunters 有关联，也未证实 ShinyHunters 是此次网络事件的罪魁祸首，不过在 2022 年的一份案例研究（PDF）中，该云提供商是这家票务巨头的技术合作伙伴。Darkreading 网站消息，与最近的 Ticketmaster 入侵事件直接相似的事件中，澳大利亚一家现场活动票务巨头 Ticketek 表示，它是通过第三方云提供商被入侵的，而 ShinyHunters 则是罪魁祸首。

威胁攻击者正在大量部署一种名为 "Rafel RAT "的开源恶意软件，攻击”过时“安卓设备。Check Point 安全研究人员 Antonis Terefos 和 Bohdan Melnykov 表示，共检测到超过 120 个使用 Rafel RAT 恶意软件的网络攻击活动。据悉，Rafel RAT 恶意软件的攻击目标主要是政府和军事部门，大多数受害者位于美国、中国和印度尼西亚。其中一些攻击活动是由 APT-C-35（DoNot Team）等知名勒索软件组织发起，伊朗和巴基斯坦疑似为恶意活动的源头。

Anatsa 是已知的安卓银行木马，针对全球超过 650 各金融机构的应用程序进行窃密，主要受害者都在欧洲。原来主要针对美国和英国的银行应用程序，后续进一步将攻击目标扩大到德国、西班牙、芬兰、韩国与新加坡的银行应用程序。Anatsa 银行木马在安装时看起来人畜无害，但安装后应用程序会从 C&C 服务器下载恶意 Payload，以更新的名义进入受害者的手机。这种方式使得恶意软件可以绕过安全检测，堂而皇之地上传到 Google Play 供用户下载。

内存取证是任何计算机取证分析人员的必备技能之一，这种技术允许我们找到很多无法在磁盘上找到的数字证据，例如：1、建立的网络链接；2、仅在内存中的恶意软件；3、加密密钥；4、用户凭证。从零开始处理内存映像可能会非常具有挑战性，因为这种处理方式要求分析人员对目标操作系统的内存布局和数据结构有深入的了解，但幸运的是，社区有一些工具可以为我们解析这些数据结构，并为我们提供所需的最终结果。这样一来，我们就可以将注意力放到最重要的部分，即我们实际想要看到的内容，以及如何通过内存取证分析达到我们的最终目标。

2024年5月21日，微软发布全新的“Copilot+PC”，这类 AI PC 通过与高通的最新芯片合作，实现了一个叫做“Recall”的功能。工具推出后，鉴于其扫描并保存电脑屏幕的定期截图，有可能暴露敏感数据，例如密码或财务信息等，引起了网络安全专家对其安全和隐私的担忧。值得一提的是，微软方面表示，公司内部的工具捕获的信息是高度加密的，没有人可以非法访问这些数据信息。对此， Kevin Beaumont 很快就指出微软的说法是假的，并公布了一段视频，视频中两名微软工程师访问了包含图片的文件夹。

据Cyber Security News消息，ANY.RUN 沙盒分析了一种被称为Meterpreter 的新型后门恶意软件，能利用复杂的隐写技术将恶意有效载荷隐藏在看似无害的图片文件中。基于Meterpreter的攻击从一个包含 PowerShell 脚本的 .NET 可执行文件开始，该脚本会从远程命令与控制 (C2) 服务器下载一张 PNG 图片，该图片可以是一张景色秀丽的风景画，但却隐藏着恶意脚本。

近年来，合成身份欺诈者以汽车贷款行业为最大目标，导致 2023 年汽车贷款行业的欺诈尝试增加了 98%，损失高达 79 亿美元。Point Predictive 对 1.8 亿份贷款申请的研究发现，收入和就业信息不实、合成身份和信用洗白几乎占汽车贷款机构面临风险的 75%。这些不实际的情况通常与第一方欺诈有关，涉及借款人实施欺诈，而非第三方骗子。报告称，虽然身份盗窃占 2023 年所有风险的 14%，但它只占汽车行业贷款人所面临的总体挑战的一小部分。

美国邮政是美国主要的包裹信件投递机构之一，长期以来该单位都是网络钓鱼和诈骗的针对目标。对美国公民来说，在假期通常都会收到声称来自美国邮政的诈骗。美国邮政甚至单独建设的网页提醒消费者警惕诈骗信息：专用提醒网页Akamai 的研究人员利用全球的 DNS 请求数据，分析与美国邮政有关的钓鱼网站访问情况。诈骗短信分析结果令分析人员大为震惊，非法域名的流量甚至超过了合法域名的流量。

可通过官方补丁更新解决该威胁，免费更新链接：https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?威胁者可向用户发送恶意文件并诱导用户打开文件来利用该漏洞，成功利用可能导致绕过 SmartScreen安全功能。

近日，Sophos研究人员发现了一起勒索软件活动，它通过修改合法的Sophos可执行文件和DLL的原始内容，覆盖入口点代码，并将解密的有效载荷作为资源插入——换句话说，冒充合法文件试图潜入系统。初步检查表明，所有受影响的Sophos文件都是其Windows Endpoint产品2022.4.3版本的一部分。可以肯定的是，这种恶意行为对信息安全行业来说并不新鲜——实际上，对任何软件开发人员来说亦是如此。在过去几年间，我们已经看到了其他信息窃取程序冒充安装程序；

用到的技术软件和硬件加起来的成本，也就1000块左右，在网上都能买到，主流的Model 3或Model Y都在被攻击之列。由于车内是一个比较私密的环境，用户有着强烈的隐私保护诉求，而这些不断增加的车内摄像头，虽然目的是为了提升用户智能化体验，但也如同一双双透视用户隐私的「眼睛」，让车主们苦不堪言。为此，腾讯安全打造了以智能网联安全体系建设为基础，覆盖安全治理、防护、监测和运营，端云一体化的网联安全体系，对整车网联架构实施风险评估，识别潜在安全风险，提出相应安全需求以及设计规范，保障智能汽车整体安全。

最后，Moskowitz 强调，由于人员有限，中小型企业在安全管理的复杂性面前举步维艰，既要面对预算限制、资源有限的问题，又要满足更好的安全覆盖面的需求，这简直是不可能完成的任务。因此，中小企业想要摆脱网络安全困境的最有效方法是采用单一平台，期待能够通过一个简单的控制面板和一个端点代理，减少安全人员的工作量。安全专业人员所面临的复杂工作量，以及对本已有限的资源提出的过高要求，促使中小企业和中型整合其网络安全工具，其中 85% 的受访者表示，希望在未来 12 个月内整合其工具，尽快改善企业内部的安全态势。

但是，在某种情况下，针对使用腾讯搜狗API的应用，攻击者还需要能够向云服务器发送网络流量，但他们不必一定是中间人(MitM)或在网络第3层欺骗来自用户的流量。近日，Citizenlab研究人员调查了多家厂商的输入法应用安全漏洞并报告称：除华为以外，百度、荣耀、科大讯飞、OPPO、三星、腾讯、Vivo和小米等供应商的九款应用程序中有八款均存在安全漏洞。为此，研究人员分别测试了腾讯、百度、讯飞、三星、华为、小米、OPPO、vivo和荣耀输入法的多个平台版本（安卓、iOS和Windows版本）。

NET程序集或二进制文件通常包含各种元数据，例如内部程序集名称和GUID，尤其是MVID和TYPELIB：GUID：也被称为TYPELIB ID，会在创建一个新项目时生成；MVID：模块版本ID，.NET模块的唯一识别符；TYPELIB：TYBELIB版本，或类型库编号；这些特定的识别符可以使用strings命令下列正则表达式来解析：我们以PureLogStealer的一个样本为例，基于MVID或Typelib来编写一个Yara规则。

在网络安全领域中，寻找安全漏洞一直都是一项重要的任务。在我近期的一次安全研究过程中，我偶然发现了一个潜伏在Google子域名中的XSS（跨站脚本）漏洞，该漏洞不仅会成为威胁行为者的一个潜在入口点，而且更重要的是，它能够揭示网络安全实践的重要性，哪怕是Google这样的巨头亦是如此。这一个漏洞，使我进入了Google名人堂并获得了丰厚的漏洞奖励。Google子域名中的这个漏洞也给我敲响了警钟，这个漏洞再一次强调了强有力的网络安全保护措施是多么的重要，即使是全球网络科技巨头，也会存在这样的安全风险。

据Cyber News消息，Thales Imperva Bad Bot近期做了一份报告，显示在2023年有49.6%的互联网流量竟来自机器人，比上一年增长 2%，达到自2013年以来观察到的最高水平。报告称，这一趋势正对企业组织产生负面影响，每年损失可达数十亿美元。报告观察到这些机器人流量的主要类型之一——恶意机器人流量正快速上升，在全球范围内占比达到 32%。恶意机器人是能够恶意运行特定任务的专用应用程序，可帮助网络犯罪分子实施网络盗窃或欺诈等网络犯罪活动。

在安全社区中，只要聊到开源代码使用方面的话题，就肯定会聊到安全问题。虽然使用开源代码通常会被认为是安全的，但我们需要清楚的是，与非FOSS（自由与开源软件）解决方案相比，开源软件解决方案并不能保证完全的可信任度或更好的安全性。那么关键问题就出现了：即使代码经过了混淆处理，我们是否仍应该使用FOSS？答案肯定是否定的，而且这样的代码并不应该被视为FOSS。先让我们一起回头看看恶意软件的定义到底是什么？恶意软件可以被描述为在未经用户意识或许可的情况下执行操作，导致计算机系统或网络出现问题的软件。

本周三，美国网络安全和基础设施安全局（CISA）发布了新版恶意软件分析平台Malware Next-Gen，现在公众可以提交任意恶意软件样本供 CISA 分析。据悉，Malware Next-Gen 可用于检查恶意软件样本中是否存在可疑项目。它最初设计的目的是允许美国联邦、州、地方、部落和地区政府机构提交可疑文件，并通过静态和动态分析工具接收自动恶意软件分析。Malware Next-Gen允许CISA通过自动分析新发现的恶意软件和加强网络防御工作，更有效地支持其合作伙伴。

近日，网络安全研究人员披露了针对英特尔系统上 Linux 内核的首个原生 Spectre v2 漏洞，该漏洞是2018 年曝出的严重处理器“幽灵”（Spectre）漏洞 v2 衍生版本，利用该漏洞可以从内存中读取敏感数据，主要影响英特尔处理器 + Linux 发行版组合设备。阿姆斯特丹自由大学系统与网络安全小组（VUSec）的研究人员在一份新的研究报告中提到，该漏洞被称为 "本地分支历史注入漏洞”，被追踪为 CVE-2024-2201。

一个企业不可能对其运营的方方面面都能够提供最好的安全防护。因此，需要优先保护关键领域，在最需要的地方简化安全工作。通过调整优先级，企业可以解决三个关键问题：从威胁攻击者的角度来看，我的组织是什么样的？我的组织中哪些部分最容易受到攻击？如果攻击者设法破坏了这些攻击路径，会产生什么影响？通过回答这三个问题，安全团队可以更好地确定工作量的轻重缓急，并立即解决关键的安全风险。攻击管理侧重于优化安全措施，以更好地防范威胁，其主要目标是紧急突出和强化组织的最脆弱点。

除了小红书以外，根据网站开发者的描述，日常中我们耳熟能详的、使用率极高的大部分APP，包括微博、网易云音乐、QQ音乐、全民K歌、喜马拉雅、雪球、Keep、汽水音乐、百度、小宇宙、知乎......等等，无一例外，都可能会透过分享链接轻松识别你的账号ID。对了，还需要提醒的是，这些你“可能认识的人”，不仅仅包括你的同事，还有等着拉踩你的远房七大姑八大姨，甚至还可能是你老死不相往来的前任，以及......Ta的现男友or现女友。首先，打开朋友转发来的小红书图文链接，点击右上角的“...” ，然后选择复制链接。

本轮融资由Multicoin Capital、Protocol Labs领投，Metaplanet、Blockchange Ventures、Vsquared Ventures、Stake Capital Group、Portal Ventures、Juan Benet（Filecoin 创始人）、Anatoly Yakovenko（Solana 联合创始人）和 Gavin Wood（以太坊联合创始人和 Polkadot 联合创始人）等跟投。本轮融资由朗玛峰资本独家投资，远明资本担任本轮融资财务顾问。

正是因为这一系列的隐私保护政策，导致了Telegram上黑灰产的泛滥。尤其是在过去的几年时间里，Telegram迎来了飞速发展，用户注册量与活跃量急剧增加，成为加密货币的乐园，是全球各国政府和官员的重要沟通工具，也是爆发冲突地区的用户沟通工具，以及网络犯罪活动、极端主义、恐怖主义的活跃平台。但让Telegram 出名的并不是上面这些信息，而是其对于内容极其宽容甚至可以称之为放纵的政策，以至于该平台被很多人奉为“真正自由的社交平台”，并逐渐沦为了黑灰产们的聚集地，肆无忌惮地在该平台上进行着各种交易。

今年早些时候，一名大学生利用提示获取了一家大公司的机密信息，包括开发的AI项目的代码名称，以及一些本不应该暴露的元数据。要测试哪些类型的问题；对于人工智能而言，Data & Society的技术专家认为，红队进攻测试不应该在公司内部进行，并提出建议：需要独立的厂商进行验证，同时建立跨职能的红队进攻测试团队，而不仅仅是黑客与开发者。基于 GPT系列庞大的用户体量和影响力，OpenAI 将更加重视GPT-5 的安全性，作为GPT-5上市前的最后一关，「红队进攻测试」的结果至关重要，甚至将决定上线时间和效果。

近日，云安全提供商 Wiz 发现上传到 Hugging Face 的生成式 AI 模型存在两个关键的架构缺陷。在最新发表的一篇博文中，Wiz Research 描述了这两个缺陷及其可能给 AI 即服务提供商带来的风险。

恶意软件还会给受害者发一个虚假的印度空军邀请函 PDF 文件，并通过 PDF 获取文档和缓存的网络浏览器数据，然后将这些信息和数据传输到一个由行为者控制的名为 FlightNight 的 Slack 频道。研究人员称，黑客很可能在之前的一次入侵行动中窃取了诱饵 PDF，其行为相似性可追溯到针对印度空军的网络钓鱼活动，当时他们曾使用了一种名为 GoStealer 的基于 Go 的窃取程序。同时，这也凸显了网络威胁不断演变的态势。黑客已经开始学会广泛地使用开源攻击工具和平台，以最小的成本博取更大的利益。

近日，Gartner 安全与风险管理峰会在悉尼举行，旨在探讨网络安全的发展前景。本次峰会，Gartner 公布了 2024 年及以后的八大网络安全预测。Gartner 研究总监 Deepti Gopal 表示，随着 GenAI 的不断发展，一些长期困扰网络安全的问题（尤其是人才短缺和员工安全意识薄弱等问题）出现转机，有望依靠该技术解决问题。而且今年的预测范围并不局限于技术问题，更侧重于人为因素，任何希望建立有效和可持续网络安全计划的 CISO 应该重点关注。

在 SQL 注入攻击中，威胁行动者将恶意构造的 SQL 查询“注入”数据库查询中所使用的字段或参数中，利用应用程序中的漏洞来执行非计划SQL命令如提取、操作或删除存储在数据库中的敏感数据。因与目标数据库交互的 web 应用或软件中的输入验证和清理不当，这可导致机密数据越权访问、数据泄露甚至是目标系统遭完全接管，CISA 和 FBI 建议使用实现写好语句的参数化査询，阻止SQL注入漏洞。然而，威胁分子去年就利用了开发商 Progress 的 MOVEit 文件传输软件中的这样一个漏洞，造成了毁灭性的后果。

研究人员还在 AMD Zen 4 微架构平台上的 DDR5 芯片上取得了成功，不过，测试只在 10 个系统中的一个（Ryzen 7 7700X）上取得了成功，这表明 "DDR5 的变化，如改进的 Rowhammer 缓解措施、片上纠错码（ECC）和更高的刷新率（32 毫秒），使得触发位翻转变得更加困难"。2021 年第四季度生产的一款 Zen 3 测试系统上，研究人员从发现可利用的位翻转开始，通过 10 次成功攻击，获得了 root 权限，平均耗时 93 秒。逆向工程地址映射和偏移（苏黎世联邦理工学院）

Fastly高级安全架构师杰伊·科利（Jay Coley）表示，企业决策者知道，对API的依赖增加会带来严重网络攻击的风险，但到目前为止他们在这方面做得还不够，企业因漏洞运营和声誉带来的成本远超单个提供商部署整合Web应用程序和API安全解决方案的成本。在地区方面，86%的英国受访企业对API安全的重要性给予了高度评价，高于79%的全球平均水平。此外，79%的受访企业出于API安全考虑而推迟了新应用程序的推出或集成，也有79%的受访企业声称对API安全性的重视程度非常高。

决议旨在弥合富裕发达国家和发展中国家之间的数字鸿沟，它们能够同等参与人工智能的相关议题，确保这些国家同样拥有使用人工智能的技术和能力。决议强调了人工智能系统的不当或恶意设计、开发、部署和使用所带来的风险，迫切需要就安全、可靠和值得信赖的人工智能系统达成全球共识。决议还承认人工智能系统的治理是一个不断发展的领域，需要进一步讨论可能的治理方法。去年 11 月，美国、英国和其他十几个国家公布了第一份关于如何保护AI免受威胁行为者侵害的详细国际协议，推动公司创建“设计安全”的人工智能系统。

不久前，加拿大政府以能够帮助犯罪分子盗车为由，禁止境内禁售黑客工具 Flipper Zero 和类似设备。近日，Flipper Zero 制造商对禁令做出了回应，表示设备被错误地指控可以为汽车盗窃提供便利。

该功能名为代码扫描自动修复，可利用 Copilot 与 CodeQL（注：CodeQL 是 GitHub 开发的代码分析引擎，用于自动执行安全检查）发现你的代码中可能存在漏洞或错误，并且对其进行分类和确定修复的优先级。不过，还需要注意的是，开发人员应始终核实安全问题是否已得到解决，因为 GitHub 的 AI 功能很可能会建议仅部分解决安全漏洞的修复方法，或无法保留预期的代码功能。如果 AI 发现你的代码中可能存在漏洞或错误，GitHub 就会在仓库中进行告警，并在用户修复触发警报的代码之后取消告警。

这家网络安全公司称，它向一个大模型提交了一款与 APT28 黑客组织有关联的名为 STEELHOOK 的已知恶意软件，同时还提交了其 YARA 规则，要求它修改源代码以躲避检测，这样就能保持原有功能不变，而且生成的源代码在语法上没有错误。就在这项研究取得进展的同时，还有学者发现，有可能通过传递 ASCII 艺术形式的输入（例如，"如何制造炸弹"，其中 BOMB 一词是用字符 "*"和空格写成的），越狱 LLM 驱动的工具并生成有害内容。

近日，微软联合伦敦大学发布了一份有关英国企业网络攻击的报告。数据显示，英国仅有13%的企业能够抵御网络攻击，另外有48%的企业经常受到攻击，还有39%面临破坏性网络事故的高风险。微软敦促各企业增加对人工智能技术和解决方案的投资，以应对网络威胁行为者日益将人工智能武器化的问题。