首頁 > 安全研究 > 安全通報 > 安全簡訊

OpenAI 阻止朝鮮黑客利用 ChatGPT 進行惡意活動

發布時間 2025-02-25

1. OpenAI 阻止朝鮮黑客利用 ChatGPT 進行惡意活動


2月24日,OpenAI 近期采取行動,阻止了多個朝鮮黑客組織利用ChatGPT平臺研究未來攻擊目標及入侵網絡方法。在其2025年2月的威脅情報報告中,OpenAI指出已封禁與朝鮮民主主義人民共和國(DPRK)附屬威脅組織有關聯的賬戶,這些賬戶涉及VELVET CHOLLIMA和STARDUST CHOLLIMA等黑客組織。這些賬戶通過使用ChatGPT查找加密貨幣相關信息、尋求編碼幫助及研究遠程管理工具等方式,試圖進行惡意活動。OpenAI還發現,朝鮮攻擊者在利用ChatGPT調試攻擊技術時,泄露了未知惡意二進制文件的暫存URL,相關信息已提交給安全社區共享。此外,朝鮮黑客還通過ChatGPT詢問應用程序漏洞、開發RDP客戶端、請求繞過安全警告的代碼、編寫PowerShell腳本以及設計網絡釣魚郵件等。OpenAI還禁止了與潛在朝鮮IT工人計劃有關的賬戶,該計劃旨在通過雇傭朝鮮人為平壤政權獲取收入。


https://www.bleepingcomputer.com/news/security/openai-bans-chatgpt-accounts-used-by-north-korean-hackers/


2. 俄羅斯NKTsKI警告:信貸金融業IT服務提供商LANIT遭攻擊


2月24日,俄羅斯國家計算機事件協調中心(NKTsKI)向信貸和金融部門組織發出警告,指出俄羅斯主要IT服務和軟件提供商LANIT存在違規行為,其旗下專門從事銀行技術和服務的LLC LANTER和LLC LAN ATMservice可能于2025年2月21日遭受攻擊。LANIT集團是俄羅斯重要的系統集成商,客戶包括俄羅斯國防部等知名實體,因此于2024年5月受到美國財政部制裁。NKTsKI建議所有可能受影響的組織輪換密碼和訪問密鑰,并更改遠程訪問憑據,同時加強對LANIT集團公司工程師開發、部署或維護的系統中的威脅和信息安全事件的監控。然而,NKTsKI尚未透露攻擊者的入侵方式、入侵時間、被盜數據以及攻擊者身份。近期,俄羅斯ATM運營商和銀行多次成為烏克蘭黑客的目標,而此次中央服務提供商的系統被滲透,可能引發廣泛的供應鏈損害。


https://www.bleepingcomputer.com/news/security/russia-warns-financial-sector-of-major-it-service-provider-hack/


3. 澳政府禁止卡巴斯基產品,指其構成重大安全風險


2月24日,澳大利亞政府近期禁止其系統和設備使用卡巴斯基實驗室的所有產品和網絡服務,這一決定是基于內政部對卡巴斯基構成的安全風險的分析。內政部部長斯蒂芬妮·福斯特指出,使用卡巴斯基的產品和服務對澳大利亞政府、網絡和數據構成了不可接受的安全風險,這些風險主要源于外國干涉、間諜和破壞的威脅。因此,所有非公司型聯邦實體被要求識別并刪除卡巴斯基的所有實例,并防止未來安裝??ò退够矫鎸Υ吮硎井愖h,稱這些指控沒有具體證據支持,并認為此次禁令純粹出于政治原因,沒有得到公司產品技術評估的支持。這一舉措是繼其他西方國家出于類似擔憂采取類似行動之后的又一案例,包括美國、德國和加拿大等國已經或建議禁止在政府系統或企業中使用卡巴斯基產品。


https://www.bleepingcomputer.com/news/security/australia-bans-all-kaspersky-products-on-government-systems/


4. 僵尸網絡利用13萬受感染設備對M365進行密碼噴灑攻擊


2月24日,一個由超過130,000臺受感染設備組成的僵尸網絡正對全球Microsoft 365(M365)帳戶進行密碼噴灑攻擊,主要目標是利用基本身份驗證(Basic Auth)逃避多因素身份驗證(MFA)保護。據SecurityScorecard報告,攻擊者通過信息竊取惡意軟件獲取憑證,利用非交互式登錄嘗試繞過MFA,在不觸發安全警報的情況下獲取未經授權的訪問?;旧矸蒡炞C是一種過時的身份驗證方法,微軟已計劃在2025年9月棄用,但目前在某些環境中仍啟用,使其成為攻擊者的主要目標。該僵尸網絡使用常用或泄露的密碼嘗試攻擊大量帳戶,一旦憑證得到驗證,攻擊者即可訪問舊式服務或在更復雜的網絡釣魚攻擊中獲得完全訪問權限。SecurityScorecard指出,該僵尸網絡的運營者通過美國供應商托管的命令和控制服務器運行,并使用與中國相關的云服務代理流量。組織應禁用M365中的基本身份驗證,阻止相關IP地址,啟用條件訪問策略并在所有帳戶上使用MFA以增強安全性。


https://www.bleepingcomputer.com/news/security/botnet-targets-basic-auth-in-microsoft-365-password-spray-attacks/


5. 黑客利用 Google Docs 和 Steam 傳播 ACRStealer 信息竊取程序


2月24日,AhnLab安全情報中心(ASEC)發現,新型信息竊取惡意軟件ACRStealer正利用Google Docs和Steam等合法平臺進行攻擊,自2025年以來傳播量顯著增加。該惡意軟件通過軟件破解和密鑰生成器進行傳播,偽裝成非法程序,能夠檢測防病毒解決方案、竊取加密貨幣錢包、登錄憑據、瀏覽器數據等,使網絡犯罪分子能夠瞄準金融資產和個人賬戶。ACRStealer使用Dead Drop Resolver(DDR)方法進行C2服務器通信,通過聯系合法服務檢索C2服務器的域,允許攻擊者輕松更改C2域而無需更新惡意軟件本身。它以惡意軟件即服務(MaaS)形式運行,使感染追蹤變得困難。為防止感染,建議避免訪問分發破解程序和密鑰生成器的網站,僅從官方來源下載軟件,謹慎對待未經請求的通信中的鏈接和附件,啟用多因素身份驗證,并維護有效的反惡意軟件解決方案。


https://hackread.com/hackers-google-docs-steam-drop-acrstealer-infostealer/


6. Fluent Bit 關鍵0-day漏洞威脅云基礎設施安全


2月24日,研究人員發現了Fluent Bit中的兩個關鍵0-day漏洞(CVE-2024-50608和CVE-2024-50609),這兩個漏洞的CVSS評分為8.9,影響了廣泛應用于AWS、Google Cloud和Microsoft Azure等云服務提供商的云基礎設施中的日志收集工具。這些漏洞利用了Fluent Bit的Prometheus Remote Write和OpenTelemetry插件中的空指針解引用弱點,可能導致服務器崩潰、拒絕服務攻擊或敏感信息泄露。Fluent Bit擁有超過150億次下載和每日1000萬次部署,對全球企業和云生態系統構成嚴重威脅。攻擊者利用這些漏洞可能會破壞日志管道,影響事件響應和合規工作流程。Fluent Bit維護者已發布補丁進行修復,并建議企業立即為Fluent Bit實例打補丁、限制API訪問、禁用未使用的端點,并審核配置、分割監控網絡,采用持續的模糊測試策略。盡管行業與云服務提供商協作發布補丁,但鑒于每日有大量部署面臨風險,未打補丁的系統響應時間極其有限。


https://cybersecuritynews.com/fluent-bit-0-day-vulnerabilities-exposes-billions-of-production-environments/

上一篇 下一篇