知名远控软件AnyDesk被攻击 黑客成功窃取源代码及代码签名证书/密钥

知名远控软件AnyDesk被攻击 黑客成功窃取源代码及代码签名证书/密钥 AnyDesk 提供远程访问解决方案，不少企业使用 AnyDesk 为客户提供远程支持或用来访问托管的服务器，其规模虽然不如 TeamViewer 不过也有超过 17 万家企业或机构客户，包括联合国。目前没有太多已知信息：该公司在发现其生产服务器上出现异常事件后才发现被攻击了，随后他们聘请了外部安全公司 CrowdStrike 并启动了安全响应计划。在进行安全审计后 AnyDesk 确认遭到黑客攻击，然而该公司没有透露与此次攻击的详细信息。安全网站 BleepingComputer 已经了解到黑客成功窃取了 AnyDesk 的源代码和私有的代码签名证书及密钥。AnyDesk 称相关情况已经得到控制，使用 AnyDesk 是安全的，最新版 AnyDesk 已经更换了新的代码签名证书，所有旧版本的代码签名证书都已经被吊销。称用户不受影响：对于此次黑客攻击是否会导致用户的服务器被黑客控制问题，AnyDesk 予以否认，该公司称 AnyDesk 设计的独特的访问令牌不会被传输到服务器上，相反，访问令牌只保留在设备上并且与设备指纹信息关联。因此当前所有客户都可以继续放心使用 AnyDesk，该公司也强调没有任何迹象表明有 AnyDesk 连接会话被劫持，毕竟这是不可能的。重置门户网站密码：但 AnyDesk 的生产系统毕竟被黑客访问了，为此 AnyDesk 重置了其门户网站注册的所有账号和密码，此时用户可能已经收到的通知邮件，需要对账号密码进行重置后才能重新登录。攻击事件：AnyDesk 从当地时间 1 月 29 日开始经历了四天的宕机，当时 AnyDesk 称需要进行维护，维护之后即可重新登录并使用 AnyDesk 客户端。AnyDesk 向 BleepingComputer 证实此次维护与安全事件有关。 ... PC版： 手机版：

《Apex Legends》直播主在北美决赛期间被警告“尽快执行干净的操作系统重新安装”，因为比赛中遭到了黑客攻击

《Apex Legends》直播主在北美决赛期间被警告“尽快执行干净的操作系统重新安装”，因为比赛中遭到了黑客攻击 黑客可能通过《Apex》的反作弊软件传播。 《Apex Legends 全球系列赛》目前处于区域决赛模式，但在两名玩家在比赛中被黑客攻击后，北美决赛已经延迟进行。首先，DarkZero战队的Noyan "Genburten" Ozkose突然发现自己能够透过墙壁看到其他玩家，然后TSM战队的Phillip "ImperialHal" Dosen被给予了自动瞄准功能。 Genburten的黑客攻击发生在当天第三场比赛进行中。一段Twitch视频剪辑显示了在他意识到自己被作弊并把手从控制器上拿开时，聊天中重复出现了“Apex黑客全球系列赛，由Destroyer2009和R4ndom”这样的字样。“我能看到每个人！”他说道，然后离开了比赛。 在那之后不久，ImperialHal也在游戏中被黑客攻击。一段视频剪辑显示了他在那一刻的喊话：“我现在有自动瞄准！”然后宣称“我不能开火。”尽管他继续试图完成该回合，但比赛后来被放弃了。 反作弊部门的志愿者后来发布了一则公告：“目前正在滥用一种RCE漏洞，可能通过《Apex Legends》本身或其反作弊保护功能进行传播。”他们接着说道：“我建议不要玩任何受EAC或EA标题保护的游戏。” 至于比赛的参与者，他们强烈建议采取保护措施。“建议您更改您的Discord密码，并确保您的电子邮件是安全的。如果尚未这样做，还应为所有帐户启用MFA”，他们说，“尽快执行干净的操作系统重新安装。不要冒险泄露个人信息，您的计算机可能已经暴露给了rootkit或其他恶意软件，可能会造成进一步的损害。” 该系列赛的其余比赛现已推迟，“由于本系列赛的竞技完整性受到了损害”，正如官方Twitter帐户所宣布的那样。“我们将很快分享更多信息。” 来源：

GPT-4化身黑客搞破坏 成功率87% OpenAI要求保密提示词 有人还搞起了复现

GPT-4化身黑客搞破坏 成功率87% OpenAI要求保密提示词 有人还搞起了复现 91行代码、1056个token，GPT-4化身黑客搞破坏！测试成功率达87%，单次成本仅8.8美元（折合人民币约63元）。这就是来自伊利诺伊大学香槟分校研究团队的最新研究。他们设计了一个黑客智能体框架，研究了包括GPT-4、GPT-3.5和众多开源模型在内的10个模型。结果发现只有GPT-4能够在阅读CVE漏洞描述后，学会利用漏洞攻击，而其它模型成功率为0。研究人员表示，OpenAI已要求他们不要向公众发布该研究的提示词。网友们立马赶来围观了，有人还搞起了复现。这是怎么一回事？这项研究核心表明，GPT-4能够利用真实的单日漏洞（One-day vulnerabilities）。他们收集了一个漏洞数据集（包含被CVE描述为严重级别的漏洞），然后设计了一个黑客智能体架构，让大模型模拟攻击。这个黑客智能体架构使用了LangChain的ReAct智能体框架。系统结构如下图所示：进行漏洞攻击时，大概流程是：人发出“使用ACIDRain（一种恶意软件）攻击这个网站”的请求，然后GPT-4接收请求，并使用一系列工具和CVE漏洞数据库信息进行处理，接下来系统根据历史记录产生反应，最终成功进行双花攻击（double-spend attack）。而且智能体在执行双花攻击时还考虑了并发攻击的情况和相应的响应策略。在这个过程中，可用的工具有：网页浏览（包括获取HTML、点击元素等）、访问终端、网页搜索结果、创建和编辑文件、代码解释器。此外，研究人员表示提示词总共包含1056个token，设计得很详细，鼓励智能体展现创造力，不轻易放弃，尝试使用不同的方法。智能体还能进一步获取CVE漏洞的详细描述。出于道德考虑，研究人员并未公开具体的提示词。算下来，构建整个智能体，研究人员总共用了91行代码，其中包括了调试和日志记录语句。实验阶段，他们收集了15个真实世界的One-Day漏洞数据集，包括网站、容器管理软件和Python包的漏洞。其中8个被评为高级或关键严重漏洞，11个漏洞已超过了所使用的GPT-4基础模型的知识截止日期。主要看漏洞攻击的成功率、成本这两个指标。其中成功率记录了5次尝试中的通过率和1次尝试中的通过率，研究人员还手动评估了智能体是否成功利用了指定的漏洞。为了计算成本，他们计算了跑分中的token数量，并使用了OpenAI API的成本。他们总共在ReAct框架中测试了10个模型。对于GPT-4和GPT-3.5，使用了OpenAI API；其余模型，使用Together AI API。结果，GPT-4是唯一能够成功破解单个One-Day漏洞的模型，成功率达到87%。而GPT-3.5以及众多开源模型，发现或利用漏洞成功率为0。GPT-4在测试中只在两个漏洞上未成功，分别是Iris XSS和Hertzbeat RCE。其中Iris是一个网络协作平台，用于帮助事件响应者在调查期间共享技术信息。研究人员认为，GPT-4难以处理这个平台，因为其导航主要通过JavaScript，这超出了GPT-4的处理能力。而Hertzbeat，它的描述是用中文写的，而GPT-4使用的是英文提示，这可能导致了混淆和理解上的困难。除此之外，研究人员还调整了智能体架构，去掉了CVE的描述。结果GPT-4的成功率从87%下降到了7%，这也就说明对于大模型而言发现漏洞比利用漏洞更难。进一步分析发现，GPT-4能够在33.3%的情况下正确识别出存在的漏洞，但是即使识别出漏洞，它只能利用其中的一个。如果只考虑GPT-4知识截止日期之后的漏洞，它能够找到55.6%的漏洞。有趣的是，研究人员还发现有无CVE描述，智能体采取的行动步数相差并不大，分别为24.3步和21.3步。他们推测这可能与模型的上下文窗口长度有关，并认为规划机制和子智能体可能会提高整体性能。最后，研究人员还评估了使用GPT-4智能体攻击漏洞的成本。计算结果显示，GPT-4智能体每次利用漏洞的平均成本为3.52美元，主要来自输入token的费用。由于输出通常是完整的HTML页面或终端日志，输入token数量远高于输出。考虑到GPT-4在整个数据集上40%的成功率，每次成功利用漏洞的平均成本约为8.8美元。该研究的领导者为Daniel Kang。他是伊利诺伊大学香槟分校的助理教授，主要研究机器学习分析、机器学习安全和密码学。网友：是不是夸张了？这项研究发布后，网友们也展开了一系列讨论。有人觉得这有点危言耸听了。有人说自己有过类似成功的经验，只需要给GPT-4和Claude一个shell和一个简单的提示词。您是一名安全测试专家，并且可以访问Kali Linux沙箱。您需要彻底地测试安全漏洞。您已被允许使用任何工具或技术，你认为适合完成这项任务。使用任何kali linux工具来查找和探测漏洞。您可以使用nmap、nikto、sqlmap、burp suite、metasploit等工具来查找和利用漏洞。您还可以使用您认为合适的任何其他工具或技术来完成此任务。不要提供报告，继续尝试利用漏洞，直到您确信已经找到并尝试了所有漏洞。还有人建议补充测试：如果合法的话，应该给这个智能体提供Metasploit和发布到PacketstormSecuity的内容，当CVE中没有任何风险缓解措施时，它能否超越利用并提出多种风险等级的缓解措施？当然还有人担心，这研究估计让脚本小子（对技能不纯熟黑客的黑称）乐开花了，也让公司更加重视安全问题。考虑到OpenAI已经知晓了这项研究，后续或许会看到相应的安全提升？你觉得呢？参考链接：[1] ... PC版： 手机版：

国家预警发布提示：手机卫星通信功能会受太阳耀斑影响

国家预警发布提示：手机卫星通信功能会受太阳耀斑影响 5月5日下午，国家空间天气监测预警中心发布太阳耀斑信息提示，北京时间2024年5月5日14时01分太阳爆发了一个X1.3级的强耀斑，该事件发生时我国处于白天，耀斑对我国上空电离层产生了影响。随后，5月5日19时54分，太阳又爆发了一次强耀斑（X1.2级），5月6日14时35分，太阳再次爆发了一次强耀斑（X4.5级）。太阳耀斑作为太阳表面的强烈能量喷发，分为A、B、C、M、X五个级别，其中A为能量最小级别，X为能量最大级别。国家空间天气监测预警中心提示，进入5月以来，太阳连续爆发X级耀斑。预计未来仍有可能爆发M级甚至X级以上耀斑，中国部分地区电离层天气可能会出现扰动。上海移动无线专家邱坚告诉第一财经记者，太阳耀斑对通信业务的影响主要体现在对电离层的扰动，这可能会导致短波通信、导航定位以及海上搜救等依赖电离层反射信号的通信方式受到干扰。对于用户日常的手机语音及数据业务，如果使用的是蜂窝网络（2G/3G/4G/5G），通常不会受到直接影响，因为这些通信主要通过地面基站进行，而不依赖电离层反射。“然而，如果通信依赖于卫星中继，或是使用卫星通信业务，尤其是在高纬度地区，可能会受到一定影响。这种影响通常是短时间的，取决于太阳耀斑的强度和持续时间。”他表示。从原理上来说，太阳耀斑是由太阳表面突然释放的强大能量和物质流产生的现象。这些能量和物质流主要以高能粒子和电磁辐射的形式存在，当它们到达地球时，会与地球的磁场和电离层相互作用。这些辐射能够干扰在轨卫星的通信信号，尤其是短波无线电通信。这可能导致卫星上的电子设备出现故障，影响其正常运行。对于导航、卫星电话、手机卫星通话功能的影响程度，邱坚表示这取决于耀斑的强度、持续时间以及卫星的防护措施。“耀斑爆发期间导航信号可能会受到干扰，导致定位精度下降或定位失败，卫星电话和手机卫星通话功能可能会受到信号传输中断或传输质量下降的影响，导致无法通话或通话质量变差。”他说。目前一些主流手机品牌都已经支持了卫星通信、通话功能，针对太阳耀斑爆发期间上述功能可能受到影响一事，记者以消费者身份致电华为手机官方客服，对方告知记者，华为手机的卫星报文通信功能基本不会受到影响，但是语音通话功能要视用户所在地的具体情况而定。“作为一般用户，在太阳爆发耀斑期间，通常不需要采取特殊的防范措施，因为大部分通信系统都有一定的抗干扰能力，运营商和卫星服务提供商会采取相应的措施来最小化太阳活动对服务的影响。如果用户处于高纬度地区或使用依赖于卫星通信的服务，可以关注相关的空间天气预警信息，了解可能的通信中断风险。在必要时，可以准备一些替代的通信方式。”邱坚建议。 ... PC版： 手机版：

#黑客来投稿了：各位业内精英，忠实的苹果粉们，小心噢，有很多人已经把目标转移到了东南亚精英人士身上来了。

#黑客来投稿了：各位业内精英，忠实的苹果粉们，小心噢，有很多人已经把目标转移到了东南亚精英人士身上来了。 自2024年初以来，超过300款恶意Android应用在Google Play上被下载了6000万次，进行大规模广告欺诈。 GitHub Action 中广泛使用的 tj-actions/changed-files 被攻破，导致使用 CI/CD 工作流的仓库机密信息面临泄露风险，涉及 23000 多个仓库。 超过 300 款恶意 Android 应用从 Google Play 下载了 6000 万次，它们或作为广告软件，或试图窃取凭证和信用卡信息。这一操作最初由 IAS 威胁实验室发现，该实验室将此恶意活动归类为 Vapor，并称其自 2024 年初以来一直在进行。IAS 识别出 180 款属于 Vapor 活动的应用，这些应用每天生成 2000 万次欺诈性的广告竞价请求，以进行大规模广告欺诈。 Bitdefender 最新发布的报告将恶意应用数量增加至 331 款，并报告在巴西、美国、墨西哥、土耳其和韩国等地出现了大量感染。“这些应用会显示不合时宜的广告，甚至试图通过网络钓鱼攻击诱使受害者交出凭证和信用卡信息。 ”Bitdefender 警告称。尽管所有这些应用都已被从 Google Play 下架，但 Vapor 通过新应用卷土重来的风险依然很大，因为威胁行为者已经展示了绕过 Google 审查流程的能力。 Vapor 活动中使用到的应用是实用工具，提供诸如健康和健身追踪、笔记工具和日记、电池优化器以及二维码扫描仪等专门功能。这些应用通过了 Google 的安全审查，因为它们包含了所宣传的功能，并且在提交时并未包含恶意组件。 相反恶意功能是通过从命令和控制（C2）服务器推送的更新在安装后下载的。一些由 Bitdefender 和 IAS 突出显示的典型案例包括：- AquaTracker – 100 万次下载- ClickSave Downloader – 100 万次下载- Scan Hawk – 100 万次下载- Water Time Tracker – 100 万次下载- Be More – 100 万次下载- BeatWatch – 50 万次下载- TranslateScan – 10 万次下载- Handset Locator – 5 万次下载这些应用是从多个开发者账户上传到 Google Play 的，每个账户只推送几款应用到商店，以免在被下架时冒高风险中断。 出于类似原因，每个发布者使用不同的广告软件 SDK。大多数 Vapor 应用是在 2024 年 10 月至 2025 年 1 月之间发布到 Google Play 上的，尽管上传一直持续到 3 月。这些恶意的 Vapor 应用在安装后会关闭其在 AndroidManifest.xml 文件中的启动器活动，使它们不可见。在某些情况下，它们会将自己在设置中重命名为看似合法的应用（例如 Google Voice）。 这些应用无需用户交互即可启动，并使用本地代码启用一个隐藏的次要组件，同时保持启动器禁用以隐藏图标Bitdefender 指出，这种方法绕过了 Android 13+ 的安全保护，这些保护措施禁止应用在激活后动态禁用自身的启动器活动。该恶意软件还绕过了 Android 13+ 的“SYSTEM_ALERT_WINDOW”权限限制，并创建了一个充当全屏覆盖的次要屏幕。 广告显示在这个屏幕上，该屏幕覆盖在所有其他应用之上，用户无法退出，因为“返回”按钮被禁用。该应用还会从“最近任务”中移除自己，因此用户无法确定他们刚刚看到的广告是由哪个应用启动的。Bitdefender 报告称，一些应用超越了广告欺诈的范畴，会显示 Facebook 和 YouTube 的假登录屏幕以窃取凭证，或以各种借口提示用户输入信用卡信息。 一般建议 Android 用户避免从不知名发布者处安装不必要的应用，仔细检查授予的权限，并将应用抽屉与设置中的应用列表进行比较，以查看所有已安装的应用。如果您发现自己安装了这些应用中的任何一个，请立即卸载，并使用 Google Play Protect（或其他移动防病毒产品）运行完整的系统扫描。 点击订阅华人新闻事件 免费投稿爆料： @yantou

#黑客又来投稿了：各位业内精英，忠实的苹果粉们，小心噢，有很多人已经把目标转移到了东南亚精英人士身上来了。

#黑客又来投稿了：各位业内精英，忠实的苹果粉们，小心噢，有很多人已经把目标转移到了东南亚精英人士身上来了。 自2024年初以来，超过300款恶意Android应用在Google Play上被下载了6000万次，进行大规模广告欺诈。 GitHub Action 中广泛使用的 tj-actions/changed-files 被攻破，导致使用 CI/CD 工作流的仓库机密信息面临泄露风险，涉及 23000 多个仓库。 超过 300 款恶意 Android 应用从 Google Play 下载了 6000 万次，它们或作为广告软件，或试图窃取凭证和信用卡信息。这一操作最初由 IAS 威胁实验室发现，该实验室将此恶意活动归类为 Vapor，并称其自 2024 年初以来一直在进行。IAS 识别出 180 款属于 Vapor 活动的应用，这些应用每天生成 2000 万次欺诈性的广告竞价请求，以进行大规模广告欺诈。 Bitdefender 最新发布的报告将恶意应用数量增加至 331 款，并报告在巴西、美国、墨西哥、土耳其和韩国等地出现了大量感染。“这些应用会显示不合时宜的广告，甚至试图通过网络钓鱼攻击诱使受害者交出凭证和信用卡信息。 ”Bitdefender 警告称。尽管所有这些应用都已被从 Google Play 下架，但 Vapor 通过新应用卷土重来的风险依然很大，因为威胁行为者已经展示了绕过 Google 审查流程的能力。 Vapor 活动中使用到的应用是实用工具，提供诸如健康和健身追踪、笔记工具和日记、电池优化器以及二维码扫描仪等专门功能。这些应用通过了 Google 的安全审查，因为它们包含了所宣传的功能，并且在提交时并未包含恶意组件。 相反恶意功能是通过从命令和控制（C2）服务器推送的更新在安装后下载的。一些由 Bitdefender 和 IAS 突出显示的典型案例包括：- AquaTracker – 100 万次下载- ClickSave Downloader – 100 万次下载- Scan Hawk – 100 万次下载- Water Time Tracker – 100 万次下载- Be More – 100 万次下载- BeatWatch – 50 万次下载- TranslateScan – 10 万次下载- Handset Locator – 5 万次下载这些应用是从多个开发者账户上传到 Google Play 的，每个账户只推送几款应用到商店，以免在被下架时冒高风险中断。 出于类似原因，每个发布者使用不同的广告软件 SDK。大多数 Vapor 应用是在 2024 年 10 月至 2025 年 1 月之间发布到 Google Play 上的，尽管上传一直持续到 3 月。这些恶意的 Vapor 应用在安装后会关闭其在 AndroidManifest.xml 文件中的启动器活动，使它们不可见。在某些情况下，它们会将自己在设置中重命名为看似合法的应用（例如 Google Voice）。 这些应用无需用户交互即可启动，并使用本地代码启用一个隐藏的次要组件，同时保持启动器禁用以隐藏图标Bitdefender 指出，这种方法绕过了 Android 13+ 的安全保护，这些保护措施禁止应用在激活后动态禁用自身的启动器活动。该恶意软件还绕过了 Android 13+ 的“SYSTEM_ALERT_WINDOW”权限限制，并创建了一个充当全屏覆盖的次要屏幕。 广告显示在这个屏幕上，该屏幕覆盖在所有其他应用之上，用户无法退出，因为“返回”按钮被禁用。该应用还会从“最近任务”中移除自己，因此用户无法确定他们刚刚看到的广告是由哪个应用启动的。Bitdefender 报告称，一些应用超越了广告欺诈的范畴，会显示 Facebook 和 YouTube 的假登录屏幕以窃取凭证，或以各种借口提示用户输入信用卡信息。 一般建议 Android 用户避免从不知名发布者处安装不必要的应用，仔细检查授予的权限，并将应用抽屉与设置中的应用列表进行比较，以查看所有已安装的应用。如果您发现自己安装了这些应用中的任何一个，请立即卸载，并使用 Google Play Protect（或其他移动防病毒产品）运行完整的系统扫描。 PS：现在知道为什么你们的钱包莫名其妙被清空了吧