Atgiant 发表于 2024-10-7 16:36

每日安全简讯(20241008)

免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 攻击者假冒NPM包利用AnyDesk瞄准Windows用户

近日,研究人员发现多个伪装为流行JavaScript库Lodash的恶意npm包,目标为使用Windows操作系统的开发者。最具代表性的是“lodasher”包,该包利用打字错误欺诈(typosquatting)技术,假冒Lodash库,通过版本号迷惑用户,并内含被篡改的AnyDesk远程桌面工具。这些恶意包还包括“laodasher”和“them4on”,由同一作者发布,已被下载850次。通过伪装为Lodash功能,恶意包将AnyDesk.exe重命名为Chrome.exe,并在受害者系统上执行。该AnyDesk版本使用已泄露的旧版签名证书,并通过不可信连接进行通讯。

https://www.sonatype.com/blog/counterfeit-lodash-attack-leverages-anydesk-to-target-windows-users

2 黑客利用VS Code远程隧道功能实现未经授权的访问

研究人员揭露了一起利用Visual Studio Code(VS Code)远程隧道功能的复杂攻击。攻击者通过.LNK文件作为初始攻击载体,可能通过垃圾邮件或钓鱼邮件发送。该文件伪装为合法的安装程序图标,欺骗用户执行后下载Python包,并运行恶意脚本。此脚本利用VS Code工具启动远程隧道,允许攻击者获取激活码并对受害者的系统进行未经授权的远程访问。攻击者通过创建计划任务维持持久性,并获取系统级权限以执行更多恶意操作。

https://cyble.com/blog/silent-intrusion-unraveling-the-sophisticated-attack-leveraging-vs-code-for-unauthorized-access/

3 黑客劫持AI模型用于非法角色扮演

近六个月来,针对生成式AI基础设施(如AWS Bedrock)的攻击显著增加。攻击者利用暴露的访问密钥,劫持受害者的生成式AI(GenAI)基础设施来支持自己的大型语言模型(LLM)应用。研究人员发现,攻击者通过绕过模型的内容过滤机制,搭建了一个用于性角色扮演的AI聊天应用,允许用户与AI角色进行一对一对话。部分对话涉及暴力和非法内容,甚至包括儿童性剥削材料(CSEM)。这些攻击主要瞄准Anthropic的Claude模型,但也波及其他云平台(如Azure、GCP)及其支持的模型(GPT4、Mistral、Gemini)。黑客使用的技术被称为“LLM劫持”,旨在利用高性能的AI资源非法获利,凸显了GenAI基础设施在云安全中的新兴威胁。

https://permiso.io/blog/exploiting-hosted-models

4 搭载人工智能功能的网络钓鱼攻击正在增多

根据研究人员的报告,网络钓鱼攻击随着AI技术的广泛应用迅速增长,第二季度钓鱼攻击企图增加了28%。尽管攻击数量增加,攻击手法仍沿袭传统方法,44%的攻击源自已被攻陷的账户,8%来自供应链内部的账户。研究表明,45%的钓鱼邮件携带恶意链接,23%包含附件。值得注意的是,75%的钓鱼工具包在暗网上出售时都声称具备AI能力,82%还支持生成深度伪造内容(deepfake)。研究人员指出,AI技术的商品化让缺乏技术的犯罪分子也能发动先进攻击,敦促组织采用AI防御措施应对新型威胁。现代钓鱼攻击越来越依赖模仿手段,成为针对企业的主要攻击方式之一。

https://www.egress.com/newsroom/new-report-reveals-a-rise-in-phishing-attacks-as-commodity-campaigns-and-impersonation-attacks-escalate

5 21岁男子承认窃取571名受害者价值3700万美元的加密货币

印第安纳州一名21岁男子Evan Frederick Light因2022年一次网络攻击窃取了价值37704560美元的加密货币,近日认罪。美国司法部表示,Light通过盗取南达科他州苏福尔斯一家投资公司合法客户的身份信息,成功侵入其服务器。随后,Light与未指明的共犯利用该访问权限窃取了数百名客户的个人信息,并通过这些信息转移了客户的加密货币。为隐藏资金流动和掩盖身份,Light将窃取的加密货币转入多个混币服务和赌博网站。然而,联邦调查局最终成功追踪到Light并于2023年5月起诉。Light现面临长达20年的监禁,以及赔偿受害者的判决。

https://www.justice.gov/usao-sd/pr/indiana-man-pleads-guilty-conspiracies-involving-cyber-intrusion-and-37-million

6 FBCS数据泄露波及Comcast和Truist Bank超40万客户信息

omcast和Truist Bank近日披露,受到美国债务催收公司FBCS的网络攻击影响,数十万客户的个人信息被泄露。FBCS在2024年2月中旬遭遇数据泄露,攻击者窃取了包括全名、社会安全号码、出生日期、账户信息和驾照号在内的敏感数据。此次泄露最初影响了190万人,但后续调查将受影响人数提升至420万。Comcast方面透露,273703名客户的数据在此事件中泄露,而Truist Bank也已向客户发出数据泄露通知,但具体受影响人数尚未公开。两家公司均为受影响客户提供了为期一年的身份盗窃保护服务。此外,由于FBCS的财务状况恶化,相关公司将自行负责通知和补救措施。

https://www.bleepingcomputer.com/news/security/comcast-and-truist-bank-customers-caught-up-in-fbcs-data-breach/


页: [1]
查看完整版本: 每日安全简讯(20241008)