美国政府利用“伏特台风”秘密项目对我国实施大规模网络攻击；OpenAI故意隐瞒了部分AI技术设计细节泄露事故 | 牛览

新闻速览

ㆍ 美国政府利用“伏特台风”秘密项目对我国实施大规模网络攻击

ㆍ 微软将从9月起禁止中国员工使用安卓手机

ㆍ OpenAI故意隐瞒了部分AI技术设计细节泄露事故

ㆍ 78%企业将AI技术应用视为一种新的风险

ㆍ 恶意软件GootLoader出现新版本，攻击能力更强

ㆍ 新型僵尸网络Zergeca可支持六种DDos攻击

ㆍ 一种专门针对Linux系统的新型勒索软件——Mallox

ㆍ RockYou2024事件引发凭证填充攻击担忧，或导致近百亿条密码被泄漏

ㆍ 安恒信息与杭州电子科技大学共建网络攻防特色课程

特别关注

美国政府利用“伏特台风”秘密项目对我国实施大规模网络攻击

日前，央视新闻记者从中国国家计算机病毒应急处理中心获得了关于“伏特台风”虚假信息行动计划的最新研究成果。中国国家计算机病毒应急处理中心、计算机病毒防治技术国家工程实验室和360数字安全集团的共同调查结果表明，“伏特台风”虚假信息行动的起始时间不晚于2023年初，是由美国国家安全局（NSA）、联邦调查局（FBI）等美国情报机构幕后策划，美国国会反华议员，美国白宫、司法部、国防部、能源部、国土安全部等多个联邦政府行政单位以及“五眼联盟”国家网络安全主管部门共同参与的一场虚假信息和舆论操控行动，符合美式网络营销的典型特征，属于彻头彻尾的、基于精准广告投送的“认知域”作战。

调查发现，美国政府是“伏特台风”计划的幕后主使，其通过这个秘密项目对我国进行了大规模网络攻击，并关联其他网络攻击和监听活动的行为。在攻击行动中，美国情报机构滥用自身行政权力，操纵网络安全企业和其他行政机构，通过制作传播虚假信息，制造和渲染“中国网络威胁论”，欺骗美国纳税人、国会议员，侵害中国企业合法权益，力推被称为“无证监视法案”的美国《外国情报监视法案》（FISA）702条款获批延续，并争取国会批准更大规模的预算投入，进一步巩固和强化美国情报机构的网络渗透能力，特别是加强对外攻击和威慑竞争对手，以及对内监视和控制民众的能力。

另据我国网络安全机构发布的最新报告显示，从2023年5月至今的1年时间里，美国政府机构背景的黑客组织对中国的网络攻击活动总数超过4500万次，已被明确攻击受害单位超过140家，其中攻击武器样本都指向了美国中央情报局（CIA）、国家安全局（NSA）和联邦调查局（FBI）等部门，而这些攻击行动的背后都是“702条款”的授权。

原文链接：

https://mp.weixin.qq.com/s/GUD7DG2trRBi1ttbJimNsg

热点观察

微软将从9月起禁止中国员工使用安卓手机

根据彭博社爆料，微软要求所有在中国的员工必须放弃他们的安卓设备，改用苹果的iPhone。微软称，这一举措是为了提升网络安全标准，是其2023年11月启动的“安全未来计划”的一部分。然而，这一“安全计划”背后的真实动机却容易引发争议。

近年来，微软公司在安全方面的表现并不令人信服。尽管不断宣称提升网络安全水平，但其内部系统频频遭受攻击，甚至连涉及美国政府用户的邮件账户也发生泄露。美国联邦监管机构在今年四月指出，微软需要对其网络安全政策进行“根本性”改革。

原文链接：

https://mp.weixin.qq.com/s/ax0TIU9hMR4o62muxokpcQ

OpenAI故意隐瞒了部分AI技术设计细节泄露事故

据《纽约时报》近日报道，一名黑客在去年3月曾成功侵入了OpenAI公司内部的在线消息系统，并从该论坛的内部技术讨论中获取了该公司人工智能技术的部分设计细节。值得庆幸的是，黑客并没有能入侵OpenAI存放和构建人工智能的核心系统。

报道称，OpenAI公司在去年4月的全体员工大会上向员工和公司董事会通报了这一入侵事件，但最终决定不对外公开这一消息，也未向美国联邦执法机构通报此次事件情况，理由是该起事件中并没有涉及用户或合作伙伴的隐私信息被盗，未对美国国家安全的威胁，只是攻击者的私人行为。

不过，一些安全专业人士认为，若上述网络攻击的细节属实，那么无疑会引发行业对该公司技术安全性的担忧。据悉，在该起黑客事件发生后，负责确保未来AI技术不会造成严重危害的OpenAI原技术项目经理Leopold Aschenbrenner，曾向OpenAI董事会发送了一份备忘录，认为公司在防止威胁组织窃取其机密方面做得不够。

Leopold称，目前为止OpenAI的安全性还远远不够，如果有攻击者渗透到公司内部，OpenAI将难以防止关键机密被窃取。

原文链接：

https://hackread.com/openai-kept-mum-of-sensitive-ai-research-hack/

78%企业将AI技术应用视为一种新的风险

日前，AuditBoard公司开展了一项针对AI技术应用的状况调查，对美国400多名参与其组织网络安全和数字风险管理的安保专业人士的调查。调查数据显示，近78%的组织将AI技术应用视为一种新兴的安全风险，会在采用该技术的同时对其进行风险性监控和评估。

调查数据还显示：

●2024年，各类企业组织的数字风险防护成熟度同比大幅提升，平均成熟度达到2022年的2.5倍，显示出积极主动的风险管理快速发展趋势；

●三分之二的组织优先使用现有的内部流程（65%）或行业最佳实践（63%）进行AI风险评估。另有55%的受访企业表示，他们会依照现有的法律法规对AI技术应用风险进行优先排序；

●在接受调查的组织中，超过一半的组织（ 56 %）将AI技术应用到安全运营中，并进一步加强威胁检测能力；

●近一半的受访者认为他们对AI的风险承受能力非常高（19%）或很高（29%），而只有12%的受访者认为他们对AI的风险承受能力很低（9%）或非常低（3%）。这表明现代企业能够接受AI作为一种既有好处又有风险的新兴技术。

原文链接：

https://www.helpnetsecurity.com/2024/07/05/digital-risk-management-approach/

网络攻击 

恶意软件GootLoader出现新版本，攻击能力更强

日前，网络安全公司Cybereason的研究人员发现，流行恶意软件GootLoader的攻击热度仍在持续，并发现了新版本的升级，其感染策略和整体功能比2020年复苏时明显增强。

GootLoader属于是Gootkit银行木马的一种，与威胁行为者Hive0127（又名UNC2565）密切关联。GootLoader会滥用JavaScript下载后渗透工具，并通过搜索引擎优化（SEO）的毒化策略进行传播。它通常充当传递各种载荷的通道，如Cobalt Strike、Gootkit、IcedID、Kronos、REvil和SystemBC。

这些攻击还采用源代码编码、控制流混淆和载荷大小膨胀等技术来抵抗分析和检测。此外，它还将恶意软件嵌入合法的JavaScript库文件中，如jQuery、Lodash、Maplace.js和tui-chart。近几个月，攻击者还发布了自己的命令和控制（C2）以及横向移动工具GootBot，表明该组织正在扩大其市场，以获得更广。

原文链接：

https://thehackernews.com/2024/07/gootloader-malware-delivers-new.html

新型僵尸网络Zergeca可支持六种DDos攻击

日前，奇安信公司的XLab团队发现了一个名为Zergeca的具有高级功能和多样化攻击方法的基于Golang的僵尸网络，可以进行分布式拒绝服务（DDoS）攻击。

Zergeca的DDoS僵尸网络支持六种攻击方法，并具备代理、扫描、自升级、持久性、文件传输、反向Shell和收集敏感设备信息等其他功能。其独特功能包括多种DNS解析方法，将DNS优先于HTTPS（DoH）用于命令和控制（C2）解析，并使用不常见的Smux库进行C2通信，通过异或加密（XOR加密）进行加密。

Zergeca的C2 IP地址84.54.51.82自2023年9月以来与至少两个Mirai僵尸网络有关联。研究人员推测Zergeca的作者可能从操作Mirai僵尸网络中获得了经验。

Zergeca僵尸网络的功能通过persistence、proxy、silivaccine和zombie四个不同的模块实现。其中，silivaccine模块允许僵尸网络移除竞争性恶意软件，而僵尸模块实现了完整的僵尸网络功能，包括报告被入侵设备的敏感信息到C2，并等待命令。

原文链接：

https://securityaffairs.com/165288/cyber-crime/golang-based-zergeca-botnet.html

一种专门针对Linux系统的新型勒索软件——Mallox

Uptycs团队发现了一种新型的Mallox勒索软件变种，专门针对Linux系统。这种恶意软件会加密受害者的数据，使其无法访问，直到支付赎金为止。

该变种的攻击者使用自定义Python脚本（web_server.py），基于Flask框架的Mallox勒索软件Web面板，通过系统的环境变量提供凭据连接到后端数据库。Mallox勒索软件的Web面板允许网络犯罪分子构建自定义变种，管理其部署，并下载勒索软件。

新的Mallox变种与之前的版本相比，使用了不同的文件扩展名和传播方式，并具有更多的功能和管理选项。其功能实现路径包括用户身份验证、构建管理、新用户注册、登录和密码重置以及勒索软件构建创建。

Mallox的加密过程采用了强大的加密标准AES-256 CBC算法，使受害者几乎没有办法解密被加密文件。尽管Uptycs团队发现了Mallox的解密工具，但由于恶意软件作者可能会更新其软件以逃避解密，所以这种解决方法可能只是暂时有效。

原文链接：

https://hackread.com/mallox-ransomware-variant-targets-linux-systems/

RockYou2024事件引发凭证填充攻击担忧，或导致近百亿条密码被泄漏

网络安全领域正因规模巨大的密码泄露事件“RockYou2024”而引发广泛担忧。黑客ObamaCare于7月4日发布在一个流行的黑客论坛上的这一数据集合包含99.48亿条独特的明文密码，给全球用户带来了严重的风险。安全研究人员正忙于评估该事件所带来的后果。

安全专业人士警告称，在RockYou2024事件中，攻击者利用窃取的登录凭证对多个在线服务进行攻击，通常在用户在不同账户上使用相同密码时会成功。

研究人员强调，“泄露如此多密码显著提高了凭证填充攻击的风险”。攻击者可能潜在地获取对大量目标的未经授权访问权限，包括个人账户、联网设备，甚至工业控制系统。此外，结合其他泄露数据，如电子邮件地址，RockYou2024可能引发一波数据泄露、金融欺诈和身份盗用。专家建议，应该采取包括抵御钓鱼的多因素认证、无密码认证，以及行为基础的检测和响应程序等在内的减轻控制措施。

原文链接：

https://thecyberexpress.com/rockyou2024-10-billion-password-leak/

产业动态

安恒信息与杭州电子科技大学共建网络攻防特色课程

7月4日，安恒信息与杭州电子科技大学共建的“安恒网络攻防特色班”正式开班，双方在实战型网络安全人才培养方面迈出坚实一步。

安恒信息与杭电将共同制定培养方案与课程体系，确保教学内容与时俱进，紧密贴合行业需求；共建师资队伍，共建校内外实践育人基地，让广大有志于从事网络安全行业的青年人才在实践中学习，在实践中成长，以期培养出大批高质量就业、产业急需的高质素网络安全人才。

原文链接：

https://mp.weixin.qq.com/s/V5Bg1tq1vYQzcNa34PAcDg

合作电话：18311333376

合作微信：aqniu001

投稿邮箱：editor@aqniu.com