当前位置: 首页 > 行业资讯 > 网络安全日报 2024年03月28日

网络安全日报 2024年03月28日

发表于:2024-03-28 08:20 作者: 蚁景网安实验室 阅读数(1841人)

1、针对Ray人工智能框架的新ShadowRay攻击行动

https://www.oligo.security/blog/shadowray-attack-ai-workloads-actively-exploited-in-the-wild

近日,研究人员披露了一起名为"ShadowRay"的全球性网络攻击活动,这是首次有记录的针对广泛应用的开源人工智能框架Ray的活动性攻击。关键安全漏洞CVE-2023-48022自七个月前以来一直未被修补,该漏洞使得数千家公司的人工智能基础设施面临被恶意利用的风险,攻击者不仅能劫持计算资源进行加密货币挖矿,还有可能泄露敏感数据。受影响的行业包括教育、金融和医疗保健,Uber、亚马逊和Netflix等大公司也使用了Ray框架。研究人员发现了数百个遭到攻击的集群,这些集群中的节点(即连接到集群的机器)大多数包含昂贵且难以获得的GPU,被攻击者用来挖掘加密货币。这一基础设施因此成为攻击者的重点目标,不仅因为他们能够获得敏感的价值信息,而且因为GPU的高价和稀缺性。Ray目前在GitHub上拥有3万星,表明其被包括蚂蚁集团、Uber、亚马逊、LinkedIn等领先组织广泛应用于生产环境。

2、TheMoon变种植入4万多台设备助力匿名代理服务

https://blog.lumen.com/the-darkside-of-themoon/

据研究人员报道,TheMoon恶意软件的一种新变体近期在全球范围内感染了数万台过时的小型办公和家庭路由器以及物联网(IoT)设备。其目标为已到使用寿命的家用/小型办公室(SOHO)路由器和IoT设备,1月和2月期间,有超过40000台过期设备在88个国家受到感染。TheMoon僵尸网络自2014年首次被发现活动,其运营者自2017年起至少在该恶意软件代码中加入了6种IoT设备的漏洞利用代码。该网络瞄准的是来自多家供应商的宽带调制解调器或路由器,包括Linksys、ASUS、MikroTik、D-Link和GPON路由器。最新发现的TheMoon变种正针对88个国家的超过4万个僵尸网络进行攻击。大多数僵尸网络与一个臭名昭著的、专为网络罪犯提供的匿名代理服务“无面”(Faceless)有关。

3、最新报告表明API调用安全风险增加

https://thehackernews.com/2024/03/apis-drive-majority-of-internet-traffic.html

根据Imperva的《2024年API安全状况报告》,在2023年,互联网流量中高达71%源自应用程序编程接口(API)调用。企业网站在2023年平均经历了约15亿次API调用。随着数字服务向客户更快更高效的提供压力不断增加,尽管采用了shift-left框架和软件开发生命周期(SDLC)流程,API仍然在未编目、未认证或未审核的情况下上线。平均而言,组织在生产中有613个API端点,并且这一数字在迅速增长,时间推移这些API可能变成高风险、易受攻击的端点。报告总结,API已成为网络犯罪分子的常见攻击途径,因其直接访问敏感数据的途径。研究人员的研究发现,与API相关的安全事故每年让全球企业损失高达750亿美元。

4、恶意NuGet软件包曝光针对开发人员

https://www.reversinglabs.com/blog/suspicious-nuget-package-grabs-data-from-industrial-systems

研究人员最近发现NuGet包管理器中出现了一个可疑软件包SqzrFramework480,这个软件包很可能是为了瞄准使用精密工业和数字设备制造商工具的开发者而设计。研究人员指出,该软件包自2024年1月24日首次发布以来,已被下载2999次。该安全公司表示目前没有发现其他具有相似行为的软件包。这一行动被推测很可能用于对装备了摄像头、机器视觉和机械臂的系统进行工业间谍活动。SqzrFramework480软件包图标使用的是该公司版本的Logo,由NuGet用户“zhaoyushun1999”上传。软件库中包含一个DLL文件"SqzrFramework480.dll",该文件具有截屏、每30秒向远程IP地址发送ping请求直到操作成功以及通过创建并连接到上述IP地址的套接字传输截屏的功能。尽管这些行为并非彻底恶意,但当这些行为结合在一起时,确实令人担忧。

5、新型网络钓鱼攻击伪装银行通知传播键盘记录器

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/agent-teslas-new-ride-the-rise-of-a-novel-loader/

研究人员发现了一场新型网络钓鱼攻击,威胁者通过伪装成银行支付通知的电子邮件,诱导用户打开附加的压缩文件。该压缩文件隐藏了一个恶意加载程序,用于在受害主机上部署一个称为Agent Tesla的信息窃取器和键盘记录器。这一加载程序运用了混淆技术来逃避检测,并利用复杂的解密方法和多态行为。它能够绕过杀毒软件防御,通过代理服务器和特定的URLs以及用户代理来检索其有效载荷,以此进一步隐藏其流量。攻击中所使用的加载器是用.NET编写的,研究者发现了两种不同的变体,每种都采用不同的解密程序来获取其配置,并最终从远程服务器检索经过异或编码的Agent Tesla有效载荷。在最后阶段,加载器将Agent Tesla解码并在内存中执行,使得攻击者能够通过使用一个在土耳其合法的安全系统供应商的被泄露电子邮件账户隐秘地窃取敏感数据。

6、NVIDIA 修补了 Windows 版 ChatRTX 中高危漏洞

https://www.securityweek.com/code-execution-flaws-haunt-nvidia-chatrtx-for-windows/

人工智能计算巨头 NVIDIA 周三针对其 ChatRTX for Windows 应用程序中的两个软件缺陷推出了紧急补丁,同时警告用户面临代码执行和数据篡改攻击的风险。

7、Chrome 更新修复了Pwn2Own所利用的零日漏洞

https://www.securityweek.com/chrome-update-patches-zero-day-vulnerabilities-exploited-at-pwn2own/

谷歌周二发布了 Chrome 浏览器安全更新,以解决七个漏洞,其中四个是外部研究人员报告的。

8、Google Play上的免费VPN应用将设备变成代理

https://www.securityweek.com/vpn-apps-on-google-play-turn-android-devices-into-proxies/

据 Human Security 报道,数十个将 Android 设备转变为住宅代理的 VPN 应用程序已进入 Google Play 商店。所有已识别的恶意应用程序都包含一个 Golang 库,负责将设备注册为代理节点,并且似乎链接到住宅代理卖家 Asocks。

9、空客通过收购 INFODAS 增强网络安全产品

https://fintech.global/2024/03/27/airbus-enhances-cybersecurity-offerings-with-infodas-acquisition/

此次收购有望显着增强空客的网络安全产品组合,这是其战略愿景的重要组成部分,旨在增强欧洲和全球客户的数字保护。

10、CISA警告:黑客积极攻击微软SharePoint漏洞

https://thehackernews.com/2024/03/cisa-warns-hackers-actively-attacking.html

美国网络安全和基础设施安全局 (CISA)根据野外活跃利用的证据,已将影响 Microsoft Sharepoint Server 的安全漏洞添加到其已知被利用的漏洞 ( KEV )目录中。该漏洞编号为 CVE-2023-24955(CVSS 评分:7.2),是一个严重的远程代码执行缺陷,允许具有站点所有者权限的经过身份验证的攻击者执行任意代码。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。