XiaoMi-AI文件搜索系统
World File Search System鱼叉
2022 年下半年针对工业组织的 APT 攻击
ESET 研究人员发现并分析了 Lazarus APT 组织在 2021 年秋季的攻击中使用的一组恶意工具。该活动始于包含恶意 Amazon 主题文档的鱼叉式网络钓鱼电子邮件,目标是荷兰一家航空航天公司的员工和比利时的一名政治记者。攻击者的主要目标是数据泄露。此活动中使用的最引人注目的工具代表了首次记录的 CVE-2021-21551 漏洞滥用,该漏洞会影响 Dell DBUtil 驱动程序。此 BYOVD(自带易受攻击的驱动程序)技术用于禁用 7 个 Windows 操作系统监控机制并禁用受感染机器上的安全解决方案。在此活动中,Lazarus 还使用了其功能齐全的 HTTP(S) 后门,称为 BLINDINGCAN。
JP-23-01 - 特定威胁行为者的持续活动 - ENISA
据观察,APT27 针对的是广泛地理区域的广泛组织,包括欧洲、北美和南美、非洲、中东和亚太地区 (APAC)。据观察,该组织主要进行水坑攻击和鱼叉式网络钓鱼攻击,这是其在目标网络中获得初步立足点的主要手段 [ 7 ]。自 2020 年以来,还观察到 APT27 运营商参与基于勒索软件的网络犯罪活动,这表明该组织成员除了进行标准的渗透驱动活动外,还可能进行以经济为动机的活动 [ 8 ]。APT27 还以其高度的操作复杂性而闻名,并经常改变其攻击策略。为了混淆其活动、逃避检测并保持长期的网络持久性,APT27 部署了无文件恶意软件并在目标网络内进行枢纽。与 APT27 相关的事件也与其他威胁团体的活动集群一起被记录下来,这些威胁团体被评估为来自同一民族国家,例如 APT30、APT31 和 GALLIUM。
俄罗斯网络参与者使用受感染的路由器来促进网络行动
美国联邦调查局 (FBI)、美国国家安全局 (NSA)、美国网络司令部和国际合作伙伴发布了此联合网络安全咨询 (CSA),警告俄罗斯国家支持的网络行为者使用受损的 Ubiquiti EdgeRouters (EdgeRouters) 在全球范围内开展恶意网络行动。美国联邦调查局、美国国家安全局、美国网络司令部和国际合作伙伴(包括比利时、巴西、法国、德国、拉脱维亚、立陶宛、挪威、波兰、韩国和英国的当局)评估了俄罗斯总参谋部情报总局 (GRU)、第 85 主特别服务中心 (GTsSS)(也称为 APT28、Fancy Bear 和 Forest Blizzard (Strontium))是否在全球范围内使用受损的 EdgeRouters 来获取凭据、收集 NTLMv2 摘要、代理网络流量以及托管鱼叉式网络钓鱼登陆页面和自定义工具。
俄罗斯网络行为者使用受感染的路由器来促进网络行动
美国联邦调查局 (FBI)、美国国家安全局 (NSA)、美国网络司令部和国际合作伙伴发布了此联合网络安全咨询 (CSA),警告俄罗斯国家支持的网络行为者使用受损的 Ubiquiti EdgeRouters (EdgeRouters) 在全球范围内开展恶意网络行动。美国联邦调查局、美国国家安全局、美国网络司令部和国际合作伙伴(包括比利时、巴西、法国、德国、拉脱维亚、立陶宛、挪威、波兰、韩国和英国的当局)评估了俄罗斯总参谋部情报总局 (GRU)、第 85 主特别服务中心 (GTsSS)(也称为 APT28、Fancy Bear 和 Forest Blizzard (Strontium))是否在全球范围内使用受损的 EdgeRouters 来获取凭据、收集 NTLMv2 摘要、代理网络流量以及托管鱼叉式网络钓鱼登陆页面和自定义工具。
使用人工智能和机器学习大规模处理威胁报告
在最近的网络活动中,名为 DarkPhoenix(又名 FrozenCactus)的威胁行为者引起了人们的极大关注。他们使用名为 ShadowGate 的恶意软件,利用一个关键漏洞(CVE-2024-12345,类似于 CVE-2023-12345!)来入侵系统。该恶意行为者针对的是全球范围内的多个行业,尤其关注金融、医疗保健和技术行业,优先考虑澳大利亚、加拿大和欧洲。DarkPhoenix 采用复杂的战术、技术和程序 (TTP),包括鱼叉式网络钓鱼活动、基于 rootkit 的持久性、通过弱凭据进行横向移动、使用零日漏洞提升权限以及加密数据泄露(T1048.004)。该行为者擅长掩盖踪迹、定期更换命令和控制 (C2) 服务器并使用反取证技术,这让人想起了 Brown Eagle 的行为。
SANDWORM 部署其增强型 WIPER 武器库
ESET 研究人员还检测到针对日本政治实体的 MirrorFace 鱼叉式网络钓鱼活动,并注意到一些与中国结盟的组织的目标逐渐发生变化 - Goblin Panda 开始复制 Mustang Panda 对欧洲国家的兴趣。与伊朗结盟的组织继续大量活动 - 除了以色列公司,POLONIUM 也开始针对以色列公司的外国子公司,而 MuddyWater 可能已经入侵了托管安全提供商。在世界各地,与朝鲜结盟的组织利用旧漏洞入侵加密货币公司和交易所;有趣的是,Konni 已将其在诱饵文件中使用的语言库扩展到包括英语,这意味着它可能不再瞄准其通常的俄罗斯和韩国目标。此外,我们发现了一个以中亚知名政府实体为目标的网络间谍组织;我们将其命名为 SturgeonPhisher。
朝鲜利用社会工程学实现黑客攻击……
美国联邦调查局 (FBI)、美国国务院和国家安全局 (NSA) 以及韩国国家情报局 (NIS)、国家警察厅 (NPA) 和外交部 (MOFA) 联合发布此通报,强调朝鲜民主主义人民共和国 (DPRK,又名朝鲜) 受国家支持的网络行为者使用社会工程学在全球范围内针对研究中心和智库、学术机构和新闻媒体组织雇用的个人进行计算机网络攻击 (CNE)。众所周知,这些朝鲜网络行为者会冒充真正的记者、学者或其他与朝鲜政策圈有可靠联系的个人进行鱼叉式网络钓鱼活动。朝鲜利用社会工程学非法获取目标的私人文件、研究和通信,收集有关地缘政治事件、外交政策战略和影响其利益的外交努力的情报。
人工智能对犯罪和非法活动的影响
简介和主要发现 5 人工智能技术 6 什么是人工智能? 6 机器学习 6 神经网络 7 深度学习 9 生成式人工智能 9 大型语言模型 (LLM) 9 “角色”聊天机器人 11 文本编写、编辑和分析 11 学习和头脑风暴 11 创建、调试和重构计算机代码 12 图像和视频模型 12 生成 13 分析 13 编辑 13 语音模型 14 多模态模型 14 显著进步 15 检索增强生成 (RAG) 15 代理工作流 15 小型模型 15 人工智能威胁格局 16 恶意软件开发和计算机黑客攻击 16 欺诈 18 金融欺诈、网络钓鱼诈骗和老年人欺诈 18 高管冒充 18 网络钓鱼电子邮件和短信 19 鱼叉式网络钓鱼 19 老年人欺诈 20 身份欺诈 21 跨行业文件欺诈 21 房地产欺诈22 医疗保健欺诈 22 市场操纵 23
电子商务安全问题和人工智能的作用
网络钓鱼是攻击者获取用户登录凭据并从用户身上造成经济损失的常用技术之一。鱼叉式钓鱼、克隆钓鱼和捕鲸是常见的钓鱼类型。一些常用技术(例如双因素身份验证、基于电子邮件过滤(使用机器学习)的方法)适用于预防此类威胁。3. 窃听:未经授权的用户攻击私人通信网络。通常,电话线、电子邮件、蜂窝网络是此类攻击的目标实体。在这种情况下,消息中的小数据包是目标。防止这种情况的方法是使用 HTTPS 而不是 http。4. 信用卡欺诈:通过在电子商务交易过程中引入多个入侵点,攻击者可以获得用户凭据。这可以在 ATM 取款或在线交易期间完成。基于机器学习的监督和无监督学习算法可用于检测欺诈交易。