数以百万计的设备仍易受PlugX USB蠕虫影响 感染分布在特定国家

数以百万计的设备仍易受PlugX USB蠕虫影响 感染分布在特定国家 该蠕虫作为臭名昭著的 PlugX 恶意软件的一个新变种,于 2019 年首次出现在人们的视野中。它可以自动将自己复制到连接到受感染机器的任何 USB 驱动器上,从而搭便车感染新的计算机,而无需任何用户交互。但不知何时,黑客放弃了恶意软件的命令控制服务器,从根本上切断了他们对受感染机器的监控能力。人们可能会认为这就是这个讨厌的蠕虫病毒的终点,但事实并非如此。安全公司Sekoia的研究人员决定进行一些数字研究,并购买了最初用于控制蠕虫的废弃 IP 地址。令他们惊讶的是,他们发现该蠕虫病毒仍然生机勃勃,他们的服务器每天都会收到来自 9 万到 10 万个独立 IP 地址的连接。在 6 个月的时间里,他们统计了 250 万个试图与主控端联系的独立 IP。值得注意的是,IP 地址并不总是准确地代表受感染系统的总数,因为有些 IP 可能被多个设备共享,或者计算机可能使用动态 IP。但是,巨大的流量表明,这种蠕虫病毒已经广泛传播,可能感染全球数百万台机器。更耐人寻味的是,研究人员发现约有 15 个国家感染了 80% 以上的病毒。而且这些国家并不是随意挑选的,其中许多国家都具有重要的战略意义,并有中国大量的基础设施投资,这让研究人员猜测,该蠕虫病毒可能是中国针对特定地区的数据收集行动。Sekoia 指出:"这种蠕虫病毒的开发是为了在各国收集与'一带一路'倡议相关的战略和安全问题的情报,主要是关于其海洋和经济方面的情报,尽管这一点还不能确定,但这是说得通的。"值得庆幸的是,研究人员确实发现了一个潜在的解决方案:一个命令可以清除受感染机器上的恶意软件,甚至还能清理消毒过程中连接的任何 USB 驱动器。不过,出于法律方面的考虑,他们决定不采取单方面行动,而是与受影响国家的相关当局联系,向他们提供数据,让他们作出决定。研究人员写道:"考虑到开展大范围消毒活动可能带来的法律挑战,其中涉及向我们并不拥有的设备发送任意命令,我们决定推迟清理,由各国的国家计算机应急小组 (CERT)、执法机构 (LEA) 和网络安全当局自行决定。"阅读报告全文: ... PC版: 手机版:

相关推荐

封面图片

安全研究人员证明可以利用聊天机器人系统传播AI驱动的蠕虫病毒

安全研究人员证明可以利用聊天机器人系统传播AI驱动的蠕虫病毒 更糟糕的是,生成式人工智能(GenAI)系统,甚至像巴德(Bard)等大型语言模型(LLM),都需要大量的处理,因此它们通常通过向云端发送提示来工作。这种做法会带来一系列其他的隐私问题,并为恶意行为者提供新的攻击载体。ComPromptMized 公司的信息安全研究人员最近发表了一篇论文,展示了他们如何创建"零点击"蠕虫,从而"毒害"由 Gemini (Bard) 或 GPT-4 (Bing/Copilot/ChatGPT) 等引擎驱动的 LLM 生态系统。蠕虫病毒是一组计算机指令,除了打开受感染的电子邮件或插入U盘外,用户几乎不需要采取任何行动,就能隐蔽地感染多个系统。任何 GenAI 供应商都没有防范措施来阻止此类感染。不过,将这种病毒引入 LLM 数据库则比较棘手。研究人员想知道"攻击者能否开发恶意软件,利用代理的 GenAI 组件,对整个 GenAI 生态系统发动网络攻击?"简短的回答是肯定的。ComPromptMized 创建了一个蠕虫病毒,他们称之为莫里斯二世(Morris the Second,简称 Morris II)。莫里斯二号使用通俗易懂的"对抗性自我复制提示",诱骗聊天机器人在用户之间传播蠕虫病毒,即使他们使用不同的 LLM。"这项研究表明,攻击者可以在输入中插入此类提示,当 GenAI 模型处理这些输入时,会促使模型将输入复制为输出(复制),并从事恶意活动(有效载荷),"研究人员解释说。"此外,这些输入还能利用 GenAI 生态系统内的连通性,迫使代理将其传递(传播)给新的代理"。为了验证这一理论,研究人员创建了一个孤立的电子邮件服务器,用于"攻击"由 Gemini Pro、ChatGPT 4 和开源 LLM LLaVA 支持的 GenAI 助手。然后,ComPromptMized 使用了包含基于文本的自我复制提示和嵌入相同提示的图片的电子邮件。这些提示利用了人工智能助手对检索增强生成(RAG)的依赖,也就是从本地数据库之外获取信息的方式。例如,当用户询问"Bard"阅读或回复受感染的电子邮件时,它的 RAG 系统就会将内容发送给Gemini专业版,以便做出回复。然后,Morris II 复制到 Gemini 上,并执行蠕虫的有效载荷,包括数据外渗。这项研究的合著者本-纳西博士说:"生成的包含敏感用户数据的响应被用于回复发送给新客户的电子邮件时,会感染新的主机,然后存储在新客户的数据库中。"不仅如此,基于图像的变种可能更加难以捉摸,因为提示是不可见的。黑客可以将其添加到看似无害或预期的电子邮件中,如伪造的时事通讯。然后,蠕虫就可以利用助手向用户联系人列表中的每个人发送垃圾邮件,汲取数据并将其发送到 C&C 服务器。纳西说:"通过将自我复制提示编码到图片中,任何包含垃圾邮件、滥用材料甚至宣传内容的图片都可以在最初的电子邮件发送后被进一步转发给新客户。"他们还可以从邮件中提取敏感数据,包括姓名、电话号码、信用卡号、社会保险号或"任何被视为机密的数据"。ComPromptMized 在发布其工作之前通知了Google、Open AI 等公司。如果说 ComPromptMized 的研究表明了什么的话,那就是大科技公司可能需要放慢脚步,放远目光,以免我们在使用他们所谓和善的聊天机器人时,需要担心新的人工智能驱动的蠕虫和病毒。 ... PC版: 手机版:

封面图片

卡车间蠕虫病毒可能感染并破坏整个美国商业车队

卡车间蠕虫病毒可能感染并破坏整个美国商业车队 三人写道:"这些发现凸显了改善 ELD 系统安全状况的迫切需要"。作者没有具体说明易受论文中强调的安全漏洞影响的 ELD 品牌或型号。但他们指出,市场上的产品种类并不太多。虽然有大约 880 种设备已经注册,但"只有几十种不同型号的 ELD"已经在商用卡车上使用。联邦规定大多数重型卡车必须配备 ELD以跟踪驾驶时间。这些系统还能记录发动机运行、车辆移动和行驶距离等数据,但并不要求内置经过测试的安全控制装置。据研究人员称,它们可以被路上的另一辆汽车无线操控,例如,迫使一辆卡车靠边停车。学者们指出了 ELD 的三个漏洞。他们在演示中使用了台级测试系统,并在一辆装有易受攻击 ELD 的 2014 Kenworth T270 6 级研究卡车上进行了额外测试。作者指出:"在对从不同经销商处购买的 ELD 设备进行评估时,我们发现这些设备在出厂时带有默认固件设置,存在相当大的安全风险。"其中包括允许空中(OTA)更新的公开 API。这些设备还默认启用了 Wi-Fi 和蓝牙功能,具有"可预测的"蓝牙标识符和 Wi-Fi 服务设置标识符(SSID)以及弱默认密码。这样就很容易连接到设备,然后获得对车辆其他系统的网络访问权限至少对无线范围内的攻击者来说是这样。这可以通过驾车上路袭击来实现,也可以在卡车站、休息站、配送中心、港口等重型卡车经常聚集的地方出没。ELD 使用控制器局域网 (CAN) 总线进行通信。在其中一次攻击中,研究人员展示了如何让无线范围内的任何人使用设备的 Wi-Fi 和蓝牙无线电发送任意 CAN 消息,从而破坏车辆的某些系统。第二种攻击场景也要求攻击者在无线范围内,包括连接到设备并上传恶意固件以操纵数据和车辆运行。最后,在被作者称为"最令人担忧"的情况下,他们上传了一个卡车间蠕虫病毒。该蠕虫利用被入侵设备的 Wi-Fi 功能搜索附近其他易受攻击的 ELD。研究人员是如何知道这些设备存在漏洞的?他们专门查找 SSID 以"VULNERABLE ELD:"开头的设备。虽然这听起来有些牵强,但我们检查的 ELD 的 SSID 是可预测的,可用来识别易受攻击的设备。找到合适的电子数据记录仪后,蠕虫使用默认凭据建立连接,在下一个电子数据记录仪上投放恶意代码,覆盖现有固件,然后重新开始扫描其他设备。研究人员警告说:"这种攻击可能会导致商业车队大面积中断,造成严重的安全和运营影响。"为了演示这种攻击,研究小组还在一个空旷的机场上进行了一次真实的驾车攻击模拟。该模拟使用了一辆 2014 年产的卡车,"攻击者"驾驶着一辆特斯拉 Model Y,车速为 20 英里/小时,车上装有一台笔记本电脑和一个阿尔法扩展范围无线适配器。当两辆车都在行驶时,该小组仅用 14 秒就连接到了卡车的 Wi-Fi,使用 ELD 的接口重新刷新了设备,并开始发送恶意信息,导致卡车减速。据 Jepson 称,研究人员在发表论文之前向 ELD 制造商和美国网络安全和基础设施安全局(CISA)披露了这些漏洞。"制造商正在进行固件更新,"杰普森解释说。"但我们怀疑这些问题可能很普遍,而且可能不局限于单个设备或实例。" ... PC版: 手机版:

封面图片

会否受感染基于综合因素影响

会否受感染基于综合因素影响 #疫情记者会快讯 新型冠状病毒感染应变协调中心表示,会否受到感染以至确诊,是基于综合因素影响的,即使不同人触摸到同一污染源,各人曾否接种新冠疫苗、本身免疫力是否足够、个人防疫措施是否做好等,都会使各人受感染的风险有所不同。 例如,有人触摸到污染源后,双手未有消毒清洁下就触碰自己口鼻,这与另一人触摸到污染源后立即搓手消毒,两者风险尽不相同;又例如,有没有适当佩戴口罩,都会带来不同的风险程度。 ...

封面图片

研究人员表示,数百万部手机在出厂时就已经感染了恶意软件

研究人员表示,数百万部手机在出厂时就已经感染了恶意软件 BLACK HAT ASIA 的Trend Micro 研究人员表示,Black Hat Asia 不法分子甚至在设备出厂前就用恶意固件感染了全球数百万台 Android。 这种硬件主要是廉价的 Android 移动设备,尽管智能手表、电视和其他东西也包含在其中。 这些小工具的制造外包给原始设备制造商 (OEM)。研究人员表示,这种外包使得生产链中的某个人(例如固件供应商)有可能在产品发货时用恶意代码感染产品。 该恶意软件的目的是窃取信息或从收集或提供的信息中获利。 该恶意软件将设备变成代理,用于窃取和出售 SMS 消息、接管社交媒体和在线消息帐户,并通过广告和点击欺诈作为获利机会。 一种代理插件,允许犯罪分子一次最多出租设备约五分钟。例如,那些租用设备控制权的人可以获得有关击键、地理位置、IP 地址等的数据。 通过遥测数据,研究人员估计全球至少存在数百万台受感染设备,但主要集中在东南亚和东欧。研究人员表示,犯罪分子自己报告的统计数据约为 890 万。

封面图片

微软发现一种尚未被启用且目的未知的蠕虫病毒在扩张

微软发现一种尚未被启用且目的未知的蠕虫病毒在扩张 微软表示,最近一种Windows蠕虫病毒已经在不同行业部门的数百个组织的网络中被发现。 该恶意软件被称为树莓罗宾(Raspberry Robin),通过受感染的USB设备传播,它在2021年9月首次被红色金丝雀情报分析员发现。 网络安全公司Sekoia也在11月初观察到它使用QNAP NAS设备作为指挥和控制服务器(C2)服务器,而微软表示,它发现了与2019年创建的这个蠕虫有关的恶意工件。… 尽管微软观察到该恶意软件连接到Tor网络上的地址,但黑客尚未利用开始它们。… 微软在一份与微软终端防御系统用户共享的私人威胁情报公告中分享了这一信息,并被BleepingComputer看到。 "树莓罗宾使用msiexec.exe来尝试外部网络通信,以达到C2目的的恶意域名。" 发现Raspberry Robin的安全研究人员尚未将该恶意软件归于某一个黑客组织,并仍在努力寻找其操作者的最终目标。 然而,鉴于攻击者可以在受害者的网络中下载和部署额外的恶意软件,并在任何时候提升他们的权限,微软已经将这一活动标记为高风险。

封面图片

微软发现一种尚未被启用且目的未知的蠕虫病毒在扩张

微软发现一种尚未被启用且目的未知的蠕虫病毒在扩张 微软表示,最近一种Windows蠕虫病毒已经在不同行业部门的数百个组织的网络中被发现。 该恶意软件被称为树莓罗宾(Raspberry Robin),通过受感染的USB设备传播,它在年月首次被红色金丝雀情报分析员发现。 网络安全公司Sekoia也在月初观察到它使用QNAP NAS设备作为指挥和控制服务器(C)服务器,而微软表示,它发现了与年创建的这个蠕虫有关的恶意工件。… 尽管微软观察到该恶意软件连接到Tor网络上的地址,但黑客尚未利用开始它们。… 微软在一份与微软终端防御系统用户共享的私人威胁情报公告中分享了这一信息,并被BleepingComputer看到。 "树莓罗宾使用msiexec.exe来尝试外部网络通信,以达到C目的的恶意域名。" 发现Raspberry Robin的安全研究人员尚未将该恶意软件归于某一个黑客组织,并仍在努力寻找其操作者的最终目标。 然而,鉴于攻击者可以在受害者的网络中下载和部署额外的恶意软件,并在任何时候提升他们的权限,微软已经将这一活动标记为高风险。

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人