安全态势周刊

News information

六方云 安全态势周刊丨第288期

<<返回

2024年03月14日 08:00

01.

业界动态


1、《生成式人工智能服务安全基本要求》发布

本文件规定了生成式人工智能服务在安全方面的基本要求,包括语料安全、模型安全、安全措施等,并给出了安全评估要求。本文件适用于服务提供者开展安全评估、提高安全水平,也可为相关主管部门评判生成式人工智能服务安全水平提供参考。

https://www.tc260.org.cn/upload/2024-03-01/1709282398070082466.pdf



2、研究人员研发出第一个 GenAI 蠕虫

3月4日,研究人员已经创建了第一代人工智能蠕虫,它可以窃取数据、传播恶意软件并通过电子邮件传播。康奈尔理工学院的 Ben Nassi、以色列理工学院的 Stav Cohen 和 Intuit 的 Ron Bitton 创建了这种自我复制蠕虫,并以 1980 年代感染系统的臭名昭著的蠕虫命名为“Morris II”。他们的创作目标是人工智能应用程序和支持人工智能的电子邮件助手。他们发表了一篇研究论文和视频,展示了窃取数据和影响其他电子邮件系统的方法。该蠕虫病毒基本上将对抗性类型的数据嵌入到恶意电子邮件中,操纵受害者的系统来传播消息、执行恶意活动并窃取敏感数据。从战略上讲,这一不断发展的问题的关键在于,为了追求 GenAI 和 LLM 系统的更多功能和后续价值,它们需要更多的访问和权限才能在其所在的数字生态系统中做事。因此,如果受到恶意方的指示,它们就会成为一个极其强大的工具,无论是好的还是坏的。

https://securityboulevard.com/2024/03/researchers-give-birth-to-the-first-genai-worm/


3、被指威胁美国港口网络安全 振华重工紧急回应

“振华重工认真对待美方顾虑,并认为这些报道在没有充分事实审查的情况下容易误导公众。”3月10日,振华重工(600320.SH)披露说明公告强调。公司称,注意到美国政府最近基于美国港口的网络安全顾虑所采取的行动,以及相关媒体报道声称振华重工的起重机上安装了“蜂窝调制解调器”。对此,振华重工指出,公司所提供的起重机不会对任何港口构成网络安全风险。“振华重工一直严格遵守相关国家和地区的法律法规,并在此基础上依法合规经营。振华重工供应的起重机应用于包括美国在内的世界各地港口。这些起重机严格按照国际标准、适用的法律法规以及客户确定的技术规格进行设计、制造、运输、安装调试、验收交付。”

https://www.secrss.com/articles/64280




02.

关键基础设施


1、类似震网病毒的新型PLC恶意软件可威胁工控系统

佐治亚理工学院的研究人员开发了一种新型恶意软件,攻击者可以利用该恶意软件远程访问PLC内的嵌入式Web服务器,并攻击底层物理系统。研究人员表示,攻击者可以使用该恶意软件操纵执行器的输出信号、伪造传感器读数、禁用安全系统以及执行其他可能引发潜在破坏性后果(甚至包括生命损失)的操作。通常,针对PLC和ICS系统的恶意软件要求攻击者对目标环境具有某种事先的物理或网络访问权限,并且通常针对特定平台。但此次研究人员开发的恶意软件则使用恶意JS代码攻击PLC中的前端Web层以绕过常见的限制。经研究人员测试,该恶意软件更容易部署控制,对工业控制系统、电机等造成危害。

https://www.darkreading.com/ics-ot-security/improved-stuxnet-like-plc-malware-disrupt-critical-infrastructure




03.

安全事件


1BlackCat勒索软件创始人疑似卷款跑路,甩锅FBI

BlackCat/ALPHV勒索软件组织创始人突然宣布解散并出售其勒索软件源代码。该团伙在Tox上的状态变为"GG"暗示操作结束,后来变为“出售源代码5kk”,表明他们想要以500万美元的价格出售其勒索软件源代码。BlackCat的数据泄漏网站还展示了一份FBI的扣押通知,看上去像是遭遇了执法机构的清剿,但讽刺的是,FBI、NCA和欧洲刑警组织都否认参与此事

https://mp.weixin.qq.com/s/n5hozUMNiTKYnNRJcsKhFQ



2、美国运通信用卡遭遇第三方数据泄露

国运通警告客户,在商户处理器遭到黑客攻击后,信用卡在第三方数据泄露中暴露。该事件并非由美国运通卡的数据泄露造成,而是由处理美国运通卡会员数据的商家处理器造成。此次泄露导致客户的美国运通卡帐号、姓名和卡过期数据被黑客获取。目前尚不清楚有多少客户受到影响、哪个商家处理器遭到破坏以及攻击发生的时间。当 BleepingComputer 向美国运通询问有关此次泄露的更多信息时,我们被告知他们不会透露其业务关系和商业合作伙伴的详细信息,目前也没有更多信息可供分享。不过,美国运通确实表示,他们已通知所需的监管机构,并向受影响的客户发出警报。

https://www.bleepingcomputer.com/news/security/american-express-credit-cards-exposed-in-third-party-data-breach/#google_vignette



3、数百万个 GitHub 存储库被发现感染恶意代码

安全研究人员在 GitHub 上发现了大规模的存储库混淆攻击活动,影响了超过 100,000 个存储库,甚至可能还有数百万人。这种复杂的网络攻击通过诱骗开发人员下载和使用伪装成合法存储库的恶意存储库来针对开发人员。Apiiro 开发了一种恶意代码检测系统,该系统可监控代码库并使用深度代码分析和反混淆等先进技术来识别和防止此类攻击。您可以使用ANY.RUN 恶意软件沙箱和威胁情报查找来分析恶意软件文件、网络、模块和注册表活动,从而使您可以直接从浏览器与操作系统进行交互。这些存储库会自动分叉数千次,并在各种在线平台上进行推广,以提高其可见性和被开发人员错误使用的可能性。

https://gbhackers.com/millions-of-github-repos-found-infected/


4、隐形 GTPDOOR Linux 恶意软件针对移动运营商网络

安全研究人员 HaxRob 发现了一个以前未知的 Linux 后门,名为 GTPDOOR,专为移动运营商网络内的秘密操作而设计。GTPDOOR 背后的威胁行为者被认为以 GPRS 漫游交换 (GRX) 附近的系统为目标,例如 SGSN、GGSN 和 P-GW,这些系统可以为攻击者提供对电信核心网络的直接访问。GRX 是移动电信的一个组件,可促进跨不同地理区域和网络的数据漫游服务。服务 GPRS 支持节点 (SGSN)、网关 GPRS 支持节点 (GGSN) 和 P-GW(分组数据网络网关(用于 4G LTE))是移动运营商网络基础设施内的组件,每个组件在移动通信中发挥不同的作用。由于SGSN、GGSN和P-GW网络更多地暴露在公众面前,IP地址范围列在公开文件中,研究人员认为它们可能是获得移动运营商网络初始访问权限的目标。GTPDOOR 是一种专为电信网络量身定制的复杂后门恶意软件,利用 GPRS 隧道协议控制平面 (GTP-C) 进行隐蔽命令和控制 (C2) 通信。它设计用于部署在与 GRX 相邻的基于 Linux 的系统中,负责路由和转发漫游相关的信令和用户平面流量。使用 GTP-C 进行通信允许 GTPDOOR 与合法网络流量混合,并利用不受标准安全解决方案监控的已允许端口。为了提高隐蔽性,GTPDOOR 可以更改其进程名称以模仿合法的系统进程。

https://www.bleepingcomputer.com/news/security/stealthy-gtpdoor-linux-malware-targets-mobile-operator-networks/


5、勒索软件攻击迫使全球顶尖啤酒品牌生产中断

比利时督威摩盖特(Duvel Moortgat)啤酒厂日前遭遇勒索软件攻击,导致该公司啤酒装瓶设施生产陷入停顿。督威摩盖特是一家比利时啤酒公司,其生产的督威啤酒知名度极高,是一款果香浓郁的淡金色艾尔啤酒。该酿酒厂还生产其他备受世界各地欢迎的修道院啤酒,品牌包括白熊、马里斯、舒弗等。

https://www.bleepingcomputer.com/news/security/duvel-says-it-has-more-than-enough-beer-after-ransomware-attack/



04.

漏洞事件


1、JetBrains TeamCity身份验证绕过漏洞 (CVE-2024-27198)

JetBrains TeamCity发布新版本修复了两个高危漏洞JetBrains TeamCity 身份验证绕过漏洞(CVE-2024-27198)与JetBrains TeamCity 路径遍历漏洞(CVE-2024-27199)。未经身份验证的远程攻击者利用CVE-2024-27198可以绕过系统身份验证,完全控制所有TeamCity项目、构建、代理和构件,为攻击者执行供应链攻击。

https://blog.jetbrains.com/teamcity/2024/03/additional-critical-security-issues-affecting-teamcity-on-premises-cve-2024-27198-and-cve-2024-27199-update-to-2023-11-4-now/


2、Apple iOS与iPadOS多个在野高危漏洞

Apple iOS 与 iPadOS 发布新版本修复了存在在野利用的Apple iOS 与 iPadOS RTKit 安全特性绕过漏洞(CVE-2024-23296) 和 Apple iOS 与 iPadOS Kernel 安全特性绕过漏洞(CVE-2024-23225),具有任意内核读写能力的攻击者可能能够绕过内核内存保护。

https://support.apple.com/en-us/HT214081

https://support.apple.com/en-us/HT214082




05.

安全标准


1、全国网络安全标准化技术委员会正式发布TC260-003《生成式人工智能服务安全基本要求》。

《基本要求》规定了生成式人工智能服务在安全方面的基本要求,包括语料安全、模型安全、安全措施等,并给出了安全评估要求,适用于服务提供者开展安全评估、提高安全水平,也可为相关主管部门评判生成式人工智能服务安全水平提供参考。

https://www.tc260.org.cn/upload/2024-03-01/1709282398070082466.pdf





06.

政策发布


1、三亚市人民政府正式发布《三亚市加快数字经济产业发展若干措施(试行)》

近日,三亚市人民政府正式发布《三亚市加快数字经济产业发展若干措施(试行)》,旨在通过政策扶持,吸引一批行业链主企业落地,带动一批产业链企业进驻,达到产业汇聚效果,促进三亚市数字经济产业高质量发展。本措施适用于在三亚市开展实际业务并从事数字经济核心产业企业。

https://www.sanya.gov.cn/sanyasite/szfwjxx/202402/6ebc5d1902c44213903c3b4931c9f7b2.shtml