每日安全简讯(20230327)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员实现通过超声波控制智能设备

美国大学研究人员开发了一种名为NUIT的新型攻击，可以对使用语音助手的设备进行静默攻击。NUIT攻击的主要原理是智能设备的麦克风可以响应人耳无法听到的超声波，因此攻击可以在使用传统扬声器技术的同时最大程度地减少暴露风险。

https://www.bleepingcomputer.com/news/security/inaudible-ultrasound-attack-can-stealthily-control-your-phone-smart-speaker/

---

2 宝洁公司因GoAnywhere零日漏洞泄露数据

宝洁（Procter & Gamble）公司确认遭遇数据泄露，幸未影响客户数据。P&G表示，攻击者未获得员工的财务或社会保障信息，但确实窃取了一些数据。P&G公司停用了Fortra的GoAnywhere安全文件共享服务。

https://www.bleepingcomputer.com/news/security/procter-and-gamble-confirms-data-theft-via-goanywhere-zero-day/

---

3 Microsoft发布Windows截图工具安全更新

微软为Windows 10、11的截图工具发布了紧急安全更新，以修复Acropalypse隐私漏洞。该漏洞会导致剪裁后的数据留在原始文件中，从而有可能导致敏感信息泄露。微软发布了CVE-2023-28303漏洞的安全更新，建议用户立即安装。

https://www.bleepingcomputer.com/news/microsoft/microsoft-pushes-oob-security-updates-for-windows-snipping-tool-flaw/

---

4 Vice Society声称攻击了波多黎各水务机构

波多黎各沟渠与污水管理局（PRASA）遭受网络攻击，现正与美国FBI和CISA进行调查。攻击者获取到客户和员工信息，但该局重要基础设施的运营未受影响。攻击者身份暂时未知，但Vice Society勒索软件组将该机构添加到其受害者名单中，并泄露了个人护照、驾照和其他文件。

https://securityaffairs.com/144022/hacking/puerto-rico-aqueduct-and-sewer-authority-attack.html

---

5 研究人员分享利用语言风格向AI语言模型植入隐蔽后门的攻击

这篇论文研究了深度神经网络（DNN）在自然语言处理（NLP）领域中的后门（木马）攻击漏洞。此类攻击会修改DNN，使其在攻击者指定的输入下表现出预期的行为（即触发器）。先前的研究使用特别添加的单词/短语作为触发器模式（即基于单词的触发器），但这样会扭曲基本句子的语义，导致语言特征上出现明显的异常，并且可以被潜在的防御技术消除。该论文提出了基于隐式语言风格的后门攻击（LISM），这是首个利用隐式语言风格为NLP模型制造后门的攻击方式。

https://securityboulevard.com/2023/03/usenix-security-22-xudong-pan-mi-zhang-beina-sheng-jiaming-zhu-min-yang-hidden-trigger-backdoor-attack-on-nlp-models-via-linguistic-style-manipulation/

---

6 攻击者利用USB触发物理炸弹攻击新闻机构

近日，厄瓜多尔的五家不同新闻机构收到一些包裹，包含一个USB盘。其中一名记者在将其插入电脑后，该设备就爆炸了，导致新闻室人员受伤，至少其中一个装置装有“军用炸药”。通常黑客通过发送感染了恶意软件的USB盘给受害者来进行攻击，而这次更加体现了USB安全管理的重要性。目前，执法部门正在调查此事件。

https://www.malwarebytes.com/blog/news/2023/03/5-news-stations-receive-explosive-usb-stick-letter-bombs

---