OpenAI 阻止朝鲜黑客利用 ChatGPT 进行恶意活动
发布时间 2025-02-251. OpenAI 阻止朝鲜黑客利用 ChatGPT 进行恶意活动
2月24日,OpenAI 近期采取行动,阻止了多个朝鲜黑客组织利用ChatGPT平台研究未来攻击目标及入侵网络方法。在其2025年2月的威胁情报报告中,OpenAI指出已封禁与朝鲜民主主义人民共和国(DPRK)附属威胁组织有关联的账户,这些账户涉及VELVET CHOLLIMA和STARDUST CHOLLIMA等黑客组织。这些账户通过使用ChatGPT查找加密货币相关信息、寻求编码帮助及研究远程管理工具等方式,试图进行恶意活动。OpenAI还发现,朝鲜攻击者在利用ChatGPT调试攻击技术时,泄露了未知恶意二进制文件的暂存URL,相关信息已提交给安全社区共享。此外,朝鲜黑客还通过ChatGPT询问应用程序漏洞、开发RDP客户端、请求绕过安全警告的代码、编写PowerShell脚本以及设计网络钓鱼邮件等。OpenAI还禁止了与潜在朝鲜IT工人计划有关的账户,该计划旨在通过雇佣朝鲜人为平壤政权获取收入。
https://www.bleepingcomputer.com/news/security/openai-bans-chatgpt-accounts-used-by-north-korean-hackers/
2. 俄罗斯NKTsKI警告:信贷金融业IT服务提供商LANIT遭攻击
2月24日,俄罗斯国家计算机事件协调中心(NKTsKI)向信贷和金融部门组织发出警告,指出俄罗斯主要IT服务和软件提供商LANIT存在违规行为,其旗下专门从事银行技术和服务的LLC LANTER和LLC LAN ATMservice可能于2025年2月21日遭受攻击。LANIT集团是俄罗斯重要的系统集成商,客户包括俄罗斯国防部等知名实体,因此于2024年5月受到美国财政部制裁。NKTsKI建议所有可能受影响的组织轮换密码和访问密钥,并更改远程访问凭据,同时加强对LANIT集团公司工程师开发、部署或维护的系统中的威胁和信息安全事件的监控。然而,NKTsKI尚未透露攻击者的入侵方式、入侵时间、被盗数据以及攻击者身份。近期,俄罗斯ATM运营商和银行多次成为乌克兰黑客的目标,而此次中央服务提供商的系统被渗透,可能引发广泛的供应链损害。
https://www.bleepingcomputer.com/news/security/russia-warns-financial-sector-of-major-it-service-provider-hack/
3. 澳政府禁止卡巴斯基产品,指其构成重大安全风险
2月24日,澳大利亚政府近期禁止其系统和设备使用卡巴斯基实验室的所有产品和网络服务,这一决定是基于内政部对卡巴斯基构成的安全风险的分析。内政部部长斯蒂芬妮·福斯特指出,使用卡巴斯基的产品和服务对澳大利亚政府、网络和数据构成了不可接受的安全风险,这些风险主要源于外国干涉、间谍和破坏的威胁。因此,所有非公司型联邦实体被要求识别并删除卡巴斯基的所有实例,并防止未来安装。卡巴斯基方面对此表示异议,称这些指控没有具体证据支持,并认为此次禁令纯粹出于政治原因,没有得到公司产品技术评估的支持。这一举措是继其他西方国家出于类似担忧采取类似行动之后的又一案例,包括美国、德国和加拿大等国已经或建议禁止在政府系统或企业中使用卡巴斯基产品。
https://www.bleepingcomputer.com/news/security/australia-bans-all-kaspersky-products-on-government-systems/
4. 僵尸网络利用13万受感染设备对M365进行密码喷洒攻击
2月24日,一个由超过130,000台受感染设备组成的僵尸网络正对全球Microsoft 365(M365)帐户进行密码喷洒攻击,主要目标是利用基本身份验证(Basic Auth)逃避多因素身份验证(MFA)保护。据SecurityScorecard报告,攻击者通过信息窃取恶意软件获取凭证,利用非交互式登录尝试绕过MFA,在不触发安全警报的情况下获取未经授权的访问。基本身份验证是一种过时的身份验证方法,微软已计划在2025年9月弃用,但目前在某些环境中仍启用,使其成为攻击者的主要目标。该僵尸网络使用常用或泄露的密码尝试攻击大量帐户,一旦凭证得到验证,攻击者即可访问旧式服务或在更复杂的网络钓鱼攻击中获得完全访问权限。SecurityScorecard指出,该僵尸网络的运营者通过美国供应商托管的命令和控制服务器运行,并使用与中国相关的云服务代理流量。组织应禁用M365中的基本身份验证,阻止相关IP地址,启用条件访问策略并在所有帐户上使用MFA以增强安全性。
https://www.bleepingcomputer.com/news/security/botnet-targets-basic-auth-in-microsoft-365-password-spray-attacks/
5. 黑客利用 Google Docs 和 Steam 传播 ACRStealer 信息窃取程序
2月24日,AhnLab安全情报中心(ASEC)发现,新型信息窃取恶意软件ACRStealer正利用Google Docs和Steam等合法平台进行攻击,自2025年以来传播量显著增加。该恶意软件通过软件破解和密钥生成器进行传播,伪装成非法程序,能够检测防病毒解决方案、窃取加密货币钱包、登录凭据、浏览器数据等,使网络犯罪分子能够瞄准金融资产和个人账户。ACRStealer使用Dead Drop Resolver(DDR)方法进行C2服务器通信,通过联系合法服务检索C2服务器的域,允许攻击者轻松更改C2域而无需更新恶意软件本身。它以恶意软件即服务(MaaS)形式运行,使感染追踪变得困难。为防止感染,建议避免访问分发破解程序和密钥生成器的网站,仅从官方来源下载软件,谨慎对待未经请求的通信中的链接和附件,启用多因素身份验证,并维护有效的反恶意软件解决方案。
https://hackread.com/hackers-google-docs-steam-drop-acrstealer-infostealer/
6. Fluent Bit 关键0-day漏洞威胁云基础设施安全
2月24日,研究人员发现了Fluent Bit中的两个关键0-day漏洞(CVE-2024-50608和CVE-2024-50609),这两个漏洞的CVSS评分为8.9,影响了广泛应用于AWS、Google Cloud和Microsoft Azure等云服务提供商的云基础设施中的日志收集工具。这些漏洞利用了Fluent Bit的Prometheus Remote Write和OpenTelemetry插件中的空指针解引用弱点,可能导致服务器崩溃、拒绝服务攻击或敏感信息泄露。Fluent Bit拥有超过150亿次下载和每日1000万次部署,对全球企业和云生态系统构成严重威胁。攻击者利用这些漏洞可能会破坏日志管道,影响事件响应和合规工作流程。Fluent Bit维护者已发布补丁进行修复,并建议企业立即为Fluent Bit实例打补丁、限制API访问、禁用未使用的端点,并审核配置、分割监控网络,采用持续的模糊测试策略。尽管行业与云服务提供商协作发布补丁,但鉴于每日有大量部署面临风险,未打补丁的系统响应时间极其有限。
https://cybersecuritynews.com/fluent-bit-0-day-vulnerabilities-exposes-billions-of-production-environments/
京公网安备11010802024551号