2023 年零日漏洞攻击激增 50%
谷歌威胁分析小组(TAG)在一份新报告中表示,2023 年,该公司观察到97个独特的零日漏洞被在野利用。这比上一年仅记录了67次新的零日漏洞攻击增加了 50% 以上。尽管如此,谷歌表示,科技行业在阻止零日漏洞攻击(即黑客发现并利用以前未知的软件漏洞)方面继续取得进展。虽然数量很高,但仍低于 2021 年106个新零日漏洞被利用的创纪录高位。
移动操作系统方面,Android 在 2023 年有9个漏洞被利用,高于 2022 年的3个;iOS 则有9个,而前一年只有4个。浏览器方面,Chrome 有8个漏洞被利用,Safari 则有11个。桌面操作系统方面,Windows 以17个被利用的零日漏洞位居榜首,高于前一年的13个。去年披露的零日漏洞中,约58个漏洞的攻击动机可以确定,有48个漏洞被用于间谍活动。中国是能够被归因的攻击中来源最多的国家,利用了12个零日漏洞,高于 2022 年的7个,并且延续了多年来趋势。
—— PCMag,Google博客
富士通称其遭到黑客攻击并警告数据泄露
日本富士通3月15日在一份声明中证实了一次网络攻击,并警告称黑客可能窃取了个人数据和客户信息。富士通在其官方网站上的声明中表示:“我们确认公司的多台工作计算机上存在恶意软件,经过内部调查发现,包含个人信息和客户信息的文件可能会被非法取出。”富士通表示,已将公司受影响的业务计算机断开连接,并正在调查恶意软件入侵的情况以及信息是否泄露。
—— 富士通
Google 团队成功攻击并窃取了大语言模型的隐藏参数
Google 一个团队发布了一篇论文,表明可以通过查询 OpenAI 的 ChatGPT 或 Google 的 PaLM-2 的公共 API 来窃取它们的一部分信息。该攻击能以几百美元的成本恢复模型的一层(最后一层)。该攻击还可以对这些模型的隐藏维度进行逆向工程,例如, GPT-3 Ada 的隐藏层大小为 1024 。Google 已经将该研究结果和修复方法分享给 OpenAI,OpenAI 在确认数据有效并应用模型修复之后,已经要求 Google 团队不要公开并删除有关数据。
—— GitHub,arXiv
法国政府表示其政府网站正成为异常强烈网络攻击的目标
当地时间周一,法国政府表示其多项服务遭受了“前所未有强度”的网络攻击,并启动了一个特别危机中心来恢复在线服务。法国总理加布里埃尔·阿塔尔办公室在一份声明中表示,攻击始于周日晚上,攻击了多个政府部门网站,但没有提供细节。报告称,到周一下午,“攻击对大多数服务的影响已经减轻,政府网站的访问也已恢复。”一名法国官员表示,这些攻击是拒绝服务 (DoS) 攻击,这是一种常见的网络攻击类型,涉及向网站注入大量数据使其不堪重负而瘫痪。亲俄罗斯的黑客组织“匿名苏丹”在网上帖子中声称对此次攻击负责。
—— 美联社
GitHub 受到自动恶意分叉攻击正在大量分发恶意代码
该恶意软件分发活动现已传播到 GitHub,并扩大到至少数十万个受感染的存储库。根据安全公司 Apiiro 的说法,该代码下毒的活动包括以下几个步骤:克隆(clone)合法的存储库,用恶意软件加载程序感染它们,以相同的名称将更改后的文件上传到 GitHub,然后对有毒的存储库进行数千次分叉(fork)和星标(star),并在社交媒体渠道、论坛和网站上推广受感染的代码库。此后,寻找有用代码的开发人员可能会发现一个被描述为有用且乍一看似乎合适的代码库,但他们的数据却被运行恶意 Python 代码和二进制可执行文件的隐藏负载窃取。
以上策略均可自动化部署,根据扫描结果粗略估计至少有数十万个恶意代码库被生成,即使只有较小比例在审核过程中幸存,数量也有上千个。研究人员表示,GitHub 为这种恶意软件分发链提供了有效方法,因为它支持自动生成帐户和存储库、友好的 API 和软速率限制以及其庞大的规模。因此 GitHub 当前除了移除被举报的仓库外,并没有更加有效的方法预防该攻击过程。
—— The Register
坏蛋AI聊天机器人涌现,帮助黑客实施网络钓鱼攻击
一批名为“BadGPT”和“FraudGPT”的新型邪恶聊天机器人正在网络最黑暗的角落涌现。
正如一些办公室工作人员使用 ChatGPT来编写更好的电子邮件一样,黑客正在使用人工智能聊天机器人的受操纵版本来增强他们的网络钓鱼电子邮件。他们可以使用聊天机器人来创建虚假网站、编写恶意软件并定制消息,以更好地冒充高管和其他受信任的实体。
印第安纳大学的研究人员最近梳理了在暗网上销售和传播的 200 多种大型语言模型黑客服务。第一项服务于 2023 年初出现,即 2022 年 11 月OpenAI 的 ChatGPT 公开发布几个月后。
根据网络安全供应商 SlashNext 2023 年 10 月的一份报告,从 ChatGPT 公开发布以来的 12 个月内,网络钓鱼电子邮件增长了 1,265%,平均每天发送 31,000 封钓鱼邮件。虽然一些地下人工智能工具已被关闭,但新的服务已经取代了它们。AI 黑客服务通常通过加密货币付款,价格从每月 5 美元到 199 美元不等。
—— 华尔街日报 (节选)
Mastodon 的“垃圾邮件攻击”事件凸显了联邦宇宙的问题
开源去中心化社交媒体 Mastodon 创始人兼首席执行官欧根·罗奇科周末在一篇帖子中表示,过去几天,联邦宇宙持续遭受垃圾邮件攻击。与之前相比,这次的攻击更为广泛,因为攻击者正在针对小型服务器来创建账号。过去,通常只有官方实例 mastodon[.]social 成为目标,而 Mastodon 的开发者团队可以处理这种情况。欧根·罗奇科在帖子中表示,对于服务器管理员:如果您不需要公开注册,请切换至批准模式。如果您需要公开注册,屏蔽一次性邮箱的提供商可以极大地遏制这个问题。而且 Mastodon 也支持 hCaptcha 验证码。
—— 欧根·罗奇科
微软称其高管电子邮件遭俄罗斯情报组织黑客攻击
微软在周五的监管文件中表示,俄罗斯黑客组织获得了微软高管的一些电子邮件帐户的访问权限。微软在一篇博文中表示:“微软安全团队于2024年1月12日检测到对我们企业系统的民族国家攻击,并立即启动了响应流程。”微软已将威胁行为者确定为 Midnight Blizzard。并补充说,黑客能够访问“极小比例的微软公司电子邮件帐户”,包括属于其高级领导团队成员以及网络安全和法律部门员工的帐户。目前没有证据表明黑客能够访问客户环境、生产系统、源代码或人工智能系统。
—— 美国有线电视新闻网、微软博客
乌克兰情报机构攻击并瘫痪俄罗斯税务系统
乌克兰国防情报部门的网络部队攻击了俄罗斯的税务系统,成功摧毁了整个数据库及其备份副本。并补充说,俄罗斯将无法完全恢复其税收系统。
称其在这次特别行动中,军事情报机构成功侵入了俄罗斯联邦税务局的一个受严密保护的关键中央服务器,然后又侵入了该局在全俄罗斯以及暂时被占领的克里米亚境内的 2300 多个地区服务器。
—— 乌克兰国防部情报总局频道