每日安全简讯(20240329)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 利用武器化iMessages和Google Messages的网络钓鱼即服务攻击

研究人员最近揭露了一个名为Darcula的网络钓鱼即服务平台，该平台利用武器化的iMessages和Google Messages实施诈骗。这个平台为犯罪分子提供冒充多种品牌的能力，包括邮政服务、公用事业、金融机构等。Darcula的独特之处在于其以猫为主题的界面，以及其技术层面的特点，如使用JavaScript、React、Docker和Harbor。该平台能够更新网络钓鱼站点功能而无需重新安装工具包，增加了其灵活性。去年，该平台已用于多起显著的网络钓鱼攻击，如冒充美国邮政服务的诈骗。攻击者选择iMessages和Google Messages是因为它们的免费性质、更高的消费者信任度以及端到端加密，这有助于逃避传统的短信过滤器。此外，该平台似乎主要面向中文用户，尽管非中文用户也可通过浏览器翻译工具使用。

https://www.netcraft.com/blog/darcula-smishing-attacks-target-usps-and-global-postal-services/

---

2 针对Apple设备用户的新型MFA网络钓鱼攻击

近期，Apple设备用户成为了一种新型网络钓鱼攻击的靶标，该攻击利用了多重身份验证(MFA)机制。攻击者通过Apple的密码重置工具向受害者发送大量通知，诱使他们重置Apple ID密码。受害者点击“允许”后，攻击者便可接近重置其凭据。即使受害者选择“不允许”，攻击者仍可能通过伪装成苹果支持团队致电受害者，试图获取密码重置代码。此类攻击不仅限于特定类型的Apple设备，而且目前没有简单的防范方法。一些受害者尝试联系Apple寻求帮助，得到的建议是创建一个恢复密钥以防止密码被重置，但即便如此，用户仍可能收到垃圾邮件发送者的通知。这表明，在Apple改进其密码重置功能之前，用户可能持续面临此类攻击的风险。

https://krebsonsecurity.com/2024/03/recent-mfa-bombing-attacks-targeting-apple-users/

---

3 黑客开发恶意大型语言模型以绕过现有安全限制

在发现现有工具如WormGPT等无法满足其高级入侵功能的需求后，网络骗子正在寻求开发自定义的恶意大型语言模型(LLM)。安全研究人员指出，地下论坛上充满了黑客讨论如何利用OpenAI和谷歌旗下Gemini开发的人工智能聊天机器人设置的护栏。例如，一位名为Poena的俄语威胁行为者在Telegram上发布了招聘人工智能和机器学习专家的广告，以开发恶意的LLM产品。此外，勒索软件和其他恶意软件运营商也显示出对这一趋势的兴趣。研究人员的报告强调了威胁行为者使用生成式AI来开发恶意软件和漏洞利用的情况，指出这些行为者可能使用AI来逃避LLM应用程序使用的检测工具。英国国家网络安全中心也提出了类似的观察结果，指出对人工智能资源的访问限制了低端威胁行为者的能力。尽管法学硕士制造商如ChatGPT通过限制生成恶意代码等活动来改进其防护措施，但私有GPT需要包括更多预防措施，因为它们更容易发生数据泄露。

https://www.recordedfuture.com/adversarial-intelligence-red-teaming-malicious-use-cases-ai

---

4 Microsoft Edge安全漏洞可能允许静默安装恶意扩展

研究人员发现了一个Microsoft Edge浏览器中的安全漏洞(CVE-2024-21388)，该漏洞可能允许攻击者在用户不知情的情况下秘密安装具有广泛权限的浏览器扩展。这个权限升级缺陷涉及利用浏览器对某些私有API的特权访问，特别是edgeMarketingPagePrivate API，它可以从属于Microsoft的特定白名单网站访问。攻击者可以通过传递任意扩展标识符而不是预期的主题标识符来绕过验证不足，从而静默安装扩展。尽管没有证据表明该漏洞在野外被利用，但它突显了用户便利性与安全性之间的平衡问题，以及浏览器自定义如何可能无意中破坏安全机制。Microsoft已在2024年1月25日的Edge稳定版本121.0.2277.83中修复了此漏洞。

https://labs.guard.io/cve-2024-21388-microsoft-edges-marketing-api-exploited-for-covert-extension-installation-879fe5ad35ca

---

5 CISA警告黑客积极利用Microsoft SharePoint服务器漏洞

美国网络安全和基础设施安全局(CISA)已将影响Microsoft SharePoint Server的一个安全漏洞(CVE-2023-24955)添加到其已知被利用的漏洞(KEV)目录中。这个严重级别的远程代码执行缺陷允许具有站点所有者权限的经过身份验证的攻击者执行任意代码。微软在2023年5月的周二补丁更新中解决了此漏洞。此外，CISA 之前还将SharePoint Server中的另一个权限升级缺陷(CVE-2023-29357)添加到其KEV目录中。尽管目前没有关于将这些漏洞武器化的攻击的信息，但微软已建议启用自动更新的客户已受到保护。联邦民事行政部门机构被要求在2024年4月16日之前应用修复程序，以保护其网络免受活跃威胁。

https://thehackernews.com/2024/03/cisa-warns-hackers-actively-attacking.html

---

6 INC勒索软件团伙攻击苏格兰NHS并窃取3TB数据

INC勒索软件组织对苏格兰国家医疗服务体系(NHS)发起了网络攻击，并声称窃取了3TB的数据。该组织在其Tor泄露网站上发布了苏格兰NHS的受害者名单，并威胁要公开这些数据。此次攻击发生于2023年3月15日，影响了NHS邓弗里斯和加洛韦，导致至少有“有限数量”的患者数据被黑客获取。苏格兰NHS已确认将与苏格兰警察局、国家网络安全中心、苏格兰政府和其他机构合作，以应对这一事件。INC自2023年以来一直活跃，已声称对至少65个组织的违规行为负责，包括施乐公司和秘鲁电力公司。此次事件突显了医疗保健系统面临的日益增长的网络威胁，以及对患者数据安全的潜在影响。

https://securityaffairs.com/161143/data-breach/inc-ransom-hacked-national-health-service-of-scotland.html

---