大量运行 Kubernetes API 的服务器暴露在互联网上，这并不是很好：它们可能容易受到滥用。

非营利性安全组织 Shadowserver Foundation 最近扫描了 454,729 个托管用于管理和编排容器的流行开源平台的系统，发现超过 381,645 个（约 84%）可以通过互联网不同程度地访问，从而为进入企业提供了破门。网络。

“虽然这并不意味着这些实例完全开放或容易受到攻击，但这种访问级别很可能不是故意的，这些实例是不必要的暴露攻击面，”Shadowserver 的团队在一篇文章中强调。“它们还允许有关版本和构建的信息泄漏。”

尽管如此，数据安全公司 Comforte AG 的市场主管 Erfan Shadabi 表示，企业不应低估这种暴露的 Kubernetes API 服务器所带来的风险。

“Kubernetes 的增长势不可挡，虽然它为企业提供了敏捷应用程序交付的巨大好处，但有一些特征使其成为理想的攻击目标，”Shadabi 告诉The Register。“例如，由于拥有许多容器，Kubernetes 有一个很大的攻击面，如果不采取先发制人的保护措施，就可以利用这些攻击面，因此 Shadowserver 基金会的扫描发现了如此多的漏洞也就不足为奇了。”

最令人担忧的是，Kubernetes 内置的数据安全功能符合最低标准，可以保护静态数据和动态数据，但“没有对数据本身进行持久保护，例如，使用行业认可的技术，如字段级标记化”沙达比说。

“如果一个生态系统受到损害，它处理的敏感数据屈服于更隐蔽的攻击只是时间问题。在生产环境中使用容器和 Kubernetes 的组织必须非常重视 Kubernetes 的安全性。”

Kubernetes 大约十年前由 Google 开发，现在是用于在本地和公共云中管理容器的最流行工具，Red Hat (OpenShift)、VMware (Tanzu) 和 SUSE (Rancher) 等供应商都在销售商业版本。根据市场研究公司 Statista的数据，截至 2021 年，全球近 50% 的组织已经以某种形式采用了 Kubernetes 。

Shadowserver 扫描了响应为 的可访问 Kubernetes API 实例，200 OK在其报告中列出了近两打返回该响应的实例。该组织还披露了五个最容易访问的平台。

研究人员还指出，近 53% 的可访问实例（201,348 个 Kubernetes API 服务器）位于美国。

开源系统是威胁参与者越来越受欢迎的目标。在云计算时代，围绕 Linux 的攻击面只是在扩大。

网络安全供应商趋势科技在去年的一份报告中指出，在其 Cloud One 产品保护的云工作负载中，61% 是 Linux 系统，39% 运行 Windows。网络威胁的范围从勒索软件和木马到硬币矿工和网络外壳。

“鉴于 Linux 深深植根于日常生活，尤其是作为云基础设施和物联网 (IoT) 不可或缺的一部分，Linux 和 Linux 工作负载的安全性必须与 Windows 和其他操作系统同等对待，”趋势科技研究人员写道。

去年年底，当无处不在的Apache Log4j日志工具中的漏洞浮出水面时，开源系统的威胁就被凸显出来了。这些漏洞很容易被利用，而且 Log4j 的使用如此广泛，以至于许多企业很难找到其 IT 环境中的所有实例来修补它们。网络犯罪分子迅速采取行动，利用这些被称为 Log4Shell 的缺陷，并继续将它们用作系统的访问点。

上周的一份报告说明了这一点，该报告发现与俄罗斯有关的 Wizard Spider（Conti 和 Ryuk 等勒索软件背后的威胁组织）在其一些活动中利用了 Log4Shell。

Shadowserver 建议使用可访问的 Kubernetes API 服务器的企业实施访问授权或在防火墙处阻止访问，以减少攻击面。

creencastify 是一种流行的用于从网站捕获和共享视频的 Chrome 扩展程序，最近发现它容易受到跨站点脚本 (XSS) 漏洞的攻击，该漏洞允许任意网站欺骗人们在不知情的情况下激活他们的网络摄像头。

然后，利用此漏洞的不法分子可以从受害者的 Google Drive 帐户下载生成的视频。

ad amelioration biz Eyeo 的联合创始人、软件开发人员 Wladimir Palant 周一发表了一篇关于他的发现的博客文章。他说他在 2 月份报告了 XSS 漏洞，Screencastify 的开发人员在一天内修复了它。

但 Palant 认为，浏览器扩展继续构成风险，因为代码信任多个合作伙伴子域，并且其中任何一个站点上的 XSS 漏洞都可能被滥用来攻击 Screencastify 用户。

Chrome Web Store 上的Screencastify 页面显示，该浏览器扩展拥有超过 1000 万用户，这是商店指标列出的最大值。正如 Palant 指出的那样，扩展是针对教育市场的，带来了一些不愉快的可能性。

“该扩展授予 screencastify.com 足够的权限，可以通过用户的网络摄像头录制视频并获得结果，”他在帖子中解释道。“不需要用户交互，只有极少的视觉指标来表明正在发生的事情。甚至可以掩盖你的踪迹：从 Google Drive 中删除视频并使用另一条消息关闭录制后打开的扩展选项卡。”

令人担忧的是，扩展代码为其他几个域提供了相同的权限：不仅通过app.screencastify.com域的 Screencastify，而且还通过 Screencastify 子域的 Webflow、Teachable、Atlassian、Netlify、Marketo、ZenDesk 和 Pendo。

而且，Palant 说，Screencastify 域或委托给合作伙伴的子域都没有有意义的内容安全策略保护——一种减轻 XSS 风险的方法。

Palant 的概念验证利用涉及在 Screencastify 代码中查找 XSS 错误，这并不是一项特别困难的任务，因为它们很常见。NIST 数据库列出了从 2001 年至今的近 20,000 个。根据OWASP的说法，“XSS 是 OWASP Top 10 中第二普遍的问题，大约三分之二的应用程序都存在 XSS。”

Palant 在一个错误页面上发现了一个 XSS 错误，当用户在为作业提交视频后尝试提交视频时，该错误页面会出现。该页面包含一个“查看课堂”按钮，该按钮使用以下代码将用户发送到 Google 课堂：

window.open(this.courseworkLink);
“这是一个查询字符串参数，”帕兰特在他的帖子中解释道。“中间是否有一些链接验证？没有。所以，如果查询字符串参数类似于javascript:alert(document.domain)，单击此按钮会在screencastify.com域的上下文中运行 JavaScript 代码吗？肯定会！”

要做到这一点，攻击者仍然需要诱骗受害者点击这个按钮。但正如 Palant 所观察到的，该页面没有针对框架的保护，这意味着它容易受到点击劫持。所以他的概念验证攻击就是这样做的，将易受攻击的页面加载到一个不可见的框架中，并将其定位在鼠标光标下，这样任何点击都会传递到隐藏的按钮。

此后，该页面可以向 Screencastify 发送消息以获取受害者的 Google 访问令牌并要求 Google 提供用户的身份。它还可以列出 Google Drive 内容或开始录制会话。

Palant 说他在 2022 年 2 月 14 日报告了这个问题，他的消息在同一天得到了确认。一天后，错误页面的 XSS 修复。他收到的消息还提到了实施内容安全策略保护的长期计划，但根据 Palant 的说法，截至 5 月 23 日，除了添加框架保护之外，这还app.screencastify.com没有发生。www.screencastify.com

Palant 说，他观察到，该 API 似乎没有受到限制，并且仍会生成可用于访问受害者的 Google Drive 的 Google OAuth 令牌。让网站开始视频录制的 onConnectExternal 处理程序也是如此。

The Register询问 Google 是否愿意对 Palant 的意见发表评论，即 Google Drive 访问范围过于广泛，但我们尚未收到回复。

“因此，此时是否继续使用 Screencastify 的问题归结为您是否信任 Screencastify、Pendo、Webflow、Teachable、Atlassian、Netlify、Marketo 和 ZenDesk 可以访问您的网络摄像头和您的 Google Drive 数据，”他总结道。“以及你是否信任所有这些各方来保证他们的网络资产不受 XSS 漏洞的影响。如果不信任，你应该尽快卸载 Screencastify。”

Screencastify 没有立即回复寻求评论的电话和电子邮件。

在一次新的侦察活动中，观察到俄罗斯国家支持的黑客组织 Turla 瞄准了奥地利经济商会、北约平台和波罗的海国防学院。

这一发现来自网络安全公司 Sekoia，该公司建立在谷歌 TAG 之前的调查结果之上，该公司今年一直在密切关注俄罗斯黑客。

谷歌在2022 年 3 月下旬警告了俄罗斯威胁组织的协调活动 ，而在 5 月，他们发现 了正在进行的活动中使用的两个 Turla 域。

Sekoia利用这些信息进一步调查，发现Turla针对的是奥地利的联邦组织和波罗的海地区的军事学院。

图拉是谁
Turla 是一个讲俄语的网络间谍威胁组织，据信与俄罗斯联邦的 FSB 服务有密切联系。它至少从 2014 年开始运作，影响了多个国家的广泛组织。

他们此前曾针对全球 Microsoft Exchange 服务器部署后门，劫持其他 APT 的基础设施在中东进行间谍活动，并对亚美尼亚目标进行水坑攻击。

最近，有人看到 Turla 使用各种后门和远程访问木马来 攻击欧盟政府和大使馆 以及重要的研究机构。

欧洲目标
根据 Sekoia 的说法，谷歌 TAG 共享的 IP 指向域“baltdefcol.webredirect[.]org”和“wkoinfo.webredirect[.]org”，它们分别是“baltdefcol.org”和“wko.at”。 ”

第一个目标是 BALTDEFCOL，是位于爱沙尼亚的一所军事学院，由爱沙尼亚、拉脱维亚和立陶宛运营，作为波罗的海战略和运营研究中心。

该学院还组织北约和欧洲各国高级官员参加的会议，因此在乌克兰持续冲突和俄罗斯边境紧张局势中对俄罗斯具有特殊意义。

WKO (Wirtschaftskammer Österreich) 是奥地利联邦经济商会，担任立法和经济制裁方面的国际顾问。

奥地利在制裁俄罗斯问题上保持中立立场。然而，Turla 希望成为第一批了解这方面是否有任何变化的人。

Sekoia 还注意到第三个拼写错误域名“jadlactnato.webredirect[.]org”，它试图作为北约联合高级分布式学习平台的电子学习门户。

执行侦察
仿冒域名用于托管名为“War Bulletin 19.00 CET 27.04.docx”的恶意 Word 文档，该文档可在这些站点的各个目录中找到。

此文件包含一个嵌入的 PNG (logo.png)，在加载文档时会检索该 PNG。Word 文件不包含任何恶意宏或行为，使 Sekoia 认为 PNG 用于执行侦察。

“由于文档向其自己控制的服务器发出 HTTP 请求，攻击者可以获得受害者使用的 Word 应用程序的版本和类型——这可能是发送针对特定 Microsoft Word 版本的定制漏洞利用的有趣信息，” Sekoia 的报告解释道

此外，Turla 还可以访问受害者的 IP 地址，这将有助于后续的攻击阶段。

为了使防御者能够检测到此活动，Sekoia 提供了以下 Yara 规则：

在名为“RansomHouse”的暗网上出现了另一种数据勒索网络犯罪活动，威胁行为者发布被盗文件的证据并泄露拒绝支付赎金的组织的数据。

新行动声称不使用任何勒索软件，而是专注于通过所谓的漏洞来破坏网络以窃取目标的数据。

但是，他们不对自己的行为负责。相反，他们指责这些公司没有正确保护他们的网络，以及为漏洞披露提供的“小得离谱”的漏洞赏金奖励。

“我们认为，罪魁祸首不是发现漏洞或进行黑客攻击的人，而是那些没有妥善保护安全的人。罪魁祸首是那些没有把锁锁在门上的人，让门敞开着邀请所有人中，” RansomHouse 威胁参与者在他们的“关于我们”页面上写道。

“人们天生好奇，渴望了解他们感兴趣的对象。通常，公司会在负面背景、直接威胁或沉默中回应“大门敞开”的信息。在极少数情况下，人们可能会遇到感激之情和可笑的小额付款甚至连发烧友 5% 的努力都没有。”

定位您的数据
据信 RansomHouse 于 2021 年 12 月启动，其第一个受害者据称是 萨斯喀彻温省酒类和博彩管理局(SLGA)，该机构现已列在勒索网站上。

自本月启动该网站以来，攻击者又增加了另外三名受害者，最近的受害者是一家德国航空公司支持服务提供商，上周遭到袭击。

勒索仍在进行中的最新受害者名单
有趣的是，RansomHouse 为仍在积极勒索的受害者列出了媒体帖子的 URL，突出了他们攻击的公开性并将其用作额外的勒索方法。

如果受害者不向黑客支付赎金，他们的数据就会被出售给其他威胁参与者。如果没有人有兴趣购买它，那么被盗的数据集就会发布在 Tor 网站上。

宣布被盗数据出售给拒绝谈判的受害者
一个离奇的起源故事
RansomHouse 的起源故事有些奇怪，该组织首先在White Rabbit 赎金笔记中被提及，但演员坚称他们只与勒索软件团伙合作，并没有自己使用勒索软件。

在 Cyber​​int 今天发布的一份报告中，分析师发现 Telegram 在Lapsus$ gang Telegram 频道上发布了宣传 RansomHouse 的帖子。这表明威胁参与者同样有兴趣将数据出售给其他威胁参与者以及受害者。

RansomHouse 在 Lapsus Telegram (Cyber​​int)上发帖

因此，虽然 RansomHouse 的起源目前尚不清楚，但该组织并未作为一个完全独立的实体出现，而是来自其他威胁组织。

Cyber​​int 声称已经广泛检查了 RansomHouse 的核心成员与 Telegram 频道上其他威胁参与者的通信，并报告说看到了职业行为。

“他们在博客和各种 Telegram 频道上都彬彬有礼，不会卷入无关的讨论。此外，他们声称非常自由和支持自由。他们不想将商业和政治混为一谈，并宣布他们永远不会与激进的黑客活动家或间谍组织合作，” Cyber​​int的报告解释 道。

这使得 Cyber​​int 的分析师认为，RansomHouse 是由心怀不满的红队渗透测试人员发起的一个项目，他们厌倦了低赏金和糟糕的网络安全规划。

网络安全公司 Emsisoft 的威胁分析师Brett Callow就 RansomHouse 告诉ZZQIDC：

RansomHouse 平台据称被“俱乐部成员”使用，他们使用自己的工具进行攻击 - 据他们称，这些工具包括勒索软件，如白兔。但是，我怀疑他们的说法是不真实的，并且执行攻击的同一个人也在 RansomHouse 背后。

至于起源，曾打电话给媒体宣传袭击事件的 RansomHouse 代表说英语，听起来像是东欧口音。

然而，其他网络犯罪分子表示担心新的数据勒索项目可疑且不可信。

黑客论坛上的用户讨论新的泄密门户
(KELA)
加密因子
Cyber​​int 声称 RansomHouse 仅窃取数据并处理与其他骗子的谈判或销售。此外，新操作表示他们不使用勒索软件进行加密，因此勒索完全基于暴露被盗文件的威胁。

这可以解释为什么该组织之前声称它是各种勒索软件团伙的平台，包括白兔，实际上从事加密。

奇怪的是，“加密”一词出现在 RansomHouse Onion 网站上，表示受害组织已对其数据进行了加密，因此这部分是有争议的。

RansomHouse 主页
目前，这项新行动规模很小，只有四名受害者，ZZQIDC仍在验证中。

RansomHouse 是否会在短期内成为大规模的危险是值得怀疑的，但任何勒索门户的启动都应该成为所有网络和安全管理员的关注点。

安全研究人员透露，黑客甚至可以在您注册之前劫持您的在线帐户，方法是利用 Instagram、LinkedIn、Zoom、WordPress 和 Dropbox 等流行网站上已经修复的漏洞。

微软安全响应中心研究员 Andrew Paverd 和独立安全研究员 Avinash Sudhodanan 分析了 75 种流行的在线服务，发现至少有 35 种容易受到帐户预劫持攻击。

这些攻击的类型和严重程度各不相同，但它们都源于网站本身糟糕的安全实践。

由于一些易受攻击的网站运行漏洞赏金计划，令人惊讶和担忧的是，此类基本攻击仍然可能针对其用户。

“账户预劫持攻击的影响与账户劫持相同。根据目标服务的性质，成功的攻击可能允许攻击者读取/修改与账户相关的敏感信息（例如，消息、计费）声明、使用历史等）或使用受害者的身份执行操作（例如，发送欺骗性消息、使用保存的付款方式进行购买等）。” - A. Paverd，A. Sudhodanan。

劫持前的工作原理
为了使预劫持攻击起作用，黑客需要知道目标的电子邮件地址，这通过电子邮件通信或每天困扰公司的大量数据泄露相对容易。

接下来，攻击者使用目标的电子邮件地址在易受攻击的站点上创建一个帐户，并希望受害者忽略到达其收件箱的通知，将其视为垃圾邮件。最后，攻击者等待受害者在网站上创建帐户或间接诱骗他们这样做。

在此过程中，攻击者可以进行五种不同的攻击，即经典联合合并 (CFM)、未过期会话 (US) ID、木马标识符 (TID)、未过期电子邮件更改 (UEC) 和非验证身份提供者 (IdP) 攻击 (NV)。

在第一种情况下，CFM，当目标使用现有电子邮件地址创建帐户时，易受攻击的平台使用帐户合并，在某些情况下，甚至没有通知他们这一事实。这种攻击依赖于为受害者提供单点登录 (SSO) 选项，因此他们永远不会更改攻击者设置的密码。

在未过期会话攻击中，黑客在使用自动脚本创建帐户后保持会话处于活动状态。当受害者创建帐户并重置密码时，活动会话可能不会失效，因此攻击者可以继续访问该帐户。

木马标识符方法结合了Classic-Federated Merge和Unexpired Session攻击。

“攻击者使用受害者的电子邮件地址创建了一个预劫持帐户，然后将该帐户与攻击者的 IdP 帐户相关联以进行联合身份验证。当受害者重置密码时（如在未过期会话攻击中），攻击者仍然可以访问通过联合身份验证路由帐户，”该论文解释道。

在UEC 攻击中，攻击者使用受害者的电子邮件地址创建一个帐户，然后为该电子邮件提交更改请求，但未确认。然后，在受害者执行密码重置后，攻击者会验证更改并控制帐户。

最后，在NV 攻击中，威胁行为者利用在创建帐户时缺乏验证 IdP 的所有权，从而为滥用 Okta 和 Onelogin 等基于云的登录服务开辟了道路。

劫持前攻击方法 (arxiv.org)
绕过电子邮件验证步骤
当今的许多服务都要求新用户验证电子邮件地址的所有权，因此如果不访问电子邮件帐户，就无法使用其他人的电子邮件地址创建新帐户。

为了绕过这一点，攻击者可以使用他们的电子邮件地址创建帐户，然后切换到受害者的电子邮件地址，滥用大多数在线服务中可用的标准功能。

在某些情况下，该服务不需要对新电子邮件地址进行第二次验证，从而允许威胁参与者发起上述攻击。

结果和保护
研究表明，不同攻击的可用性相似，未过期会话问题是有限数据集中最常见的问题。

易受攻击平台的一些值得注意的例子是 Dropbox (UEC)、Instagram (TID)、LinkedIn（美国）、Wordpress.com（美国和 UEC）和 Zoom（CFM 和 NV）。

容易受到帐户预劫持的网站 (arxiv.org)
研究人员负责任地向平台报告了这些问题，其中许多平台在将它们归类为高严重性后修复了这些问题。

然而，重要的是要强调这些发现只涉及少数几个站点，并且应该有更多的站点遵循类似的糟糕安全做法。

这个安全问题子类别的主要问题和已识别漏洞的根本原因是缺乏严格的验证。

正如分析师解释的那样，这些有缺陷的系统背后的原因是所有在线平台都希望尽可能减少注册过程中的摩擦，这对账户安全产生了不利影响。

为了应对预劫持账户的风险，用户可以立即在他们的账户上设置 MFA（多因素身份验证），这也应该强制所有之前的会话失效。

诈骗者现在正在利用 Tinder 和 Grindr 等约会应用程序将自己伪装成身体虐待的前受害者，以赢得您的信任和同情，并向您出售虚假的“身份验证”服务。

ZZQIDC在网上约会应用程序上遇到了多个用户被鲶鱼资料访问的情况，这些用户要求这些用户通过购买这些服务来证明他们不是前性犯罪者。

编者注：有些读者可能会觉得这份报告的内容令人痛心，但像下面概述的这样的持续骗局促使 BleepingComputer 报告此案，以提醒大家。

被瘀伤、“殴打”的受害者接近的用户
在可以被描述为最邪恶的鲶鱼计划之一的情况下，Tinder 和 Grindr 等约会应用程序的用户正被吸引人的个人资料所吸引。

除了在这些情况下，随着谈话的进行，这个英俊的人声称他们是人身攻击和虐待的受害者；前约会击败了他们，并分享了证明这一说法的令人不安的照片。

其中一位差点上当受骗的人，迈克尔（化名）带着这些照片找到了ZZQIDC。

“我几乎成为了一个独特残忍的鲶鱼计划的受害者，”迈克尔告诉ZZQIDC。

迈克尔创建了一个 Tinder 个人资料并匹配了一个“美丽的跨性别女人”，用他的话来说，两人似乎很容易相处。

随着谈话的进行，一个新的引人注目的细节出现了。迈克尔正在与之聊天的女人要求他使用第三方服务来验证迈克尔不是前性犯罪者。

这位女士，而不是个人资料背后的人，声称她之前曾被殴打过，并分享了一些如下所示的令人痛心的照片，以敦促迈克尔接受请求。应该注意的是，由于其图形性质，BleepingComputer 模糊了下面的一些图像。

骗子自称是受虐受害者（ZZQIDCr）
请求很简单——让迈克尔导航到一个名为“GDAH”（全球性别歧视和骚扰安全）的网站并验证他的详细信息。

正如 BleepingComputer 所见，仍在运行的gdahglobal.com的主页指出，“您只需花费很少的时间即可保证您的安全和保障”。

该网站主要是一个登录页面，只有“注册”和“登录”按钮——页脚中的社交媒体图标无处可去：

具有最少 UI 元素的 GDAH 诈骗网站主页(ZZQIDC)
此外，注册过程要求用户提供他们的信用卡详细信息并支付象征性的 1.99 美元/2.99 欧元/2.99 英镑的费用来注册帐户。

“GDAH”服务声称针对已知的已注册罪犯数据库运行用户身份，但不清楚他们是否真的执行此服务，因为您在登录网站并了解更多信息之前被迫输入支付信息。

注册需要 2-3 美元的“捐款”（ZZQIDC）
BleepingComputer 试图与 GDAH 联系，但我们没有在任何网站页面上找到联系信息。

我们还试图追踪“推荐”部分中的一些夫妻。

反向图像搜索使我们找到了这些夫妇的库存照片 [ 1 , 2 ]，表明这些推荐是假的。

来自“阿德里安和萨曼莎”的推荐信包含一张库存图片（ZZQIDC）
超过六打域名，链接到塞浦路斯办公地址
通过ZZQIDC的进一步调查，我们发现了几个用户帐户，在 Grindr 和 Tinder 上，“受害者”以类似的方式访问了这些帐户，声称在约会前被“殴打”。

我们还遇到了几十个仍在运行的域，它们声称是在线安全和身份检查服务，并以类似的方式向用户收取相同的名义金额。

虽然这些网站实际上可能会提供广告服务，但没有证据或保证他们会这样做，而且其中许多网站没有列出联系信息，这肯定会在被这些约会资料引导的用户中引起怀疑。

用户中出现的一个问题是，如果这些网站不仅可能会骗您钱，还会窃取您的身份。

Reddit 用户raoulduke512陈述了他们是如何被“在他最后一次遇到 Grindr 时被‘殴打’的人接近的”，并导致了其中一项服务。

“当我问到这是一个骗局时，我注意到他的英语突然变得异常奇怪。当我指出该网站只是信用卡信息的门户时，我认为他开始输入另一个回复但随后被屏蔽几分钟后，” Redditor写道。

另一位用户报告收到“来自‘女孩’的短信，向我发送了此链接 [datesafeplaysafe.com]，以便能够与她‘联系’。”

几乎所有这些网站都使用相同的工作流程和引诱——一个收集信用卡详细信息的登录页面，以便为用户“注册”一项声称排除其性犯罪者身份的服务。

这些网站使用的支付门户声称是基于塞浦路斯的（ZZQIDC）
这些支付处理网站上列出的条款和条件揭示了一些更有趣的东西。用户显然正在使用以下会员选项注册定期订阅：

完全访问权限（39.99 欧元） 这使您可以完全访问网站和所有消息
有限的消息访问（19.99 欧元）此会员资格允许您浏览网站，但每月只能发送 5 次消息
高级消息（49.99 欧元） 这使您可以完全访问网站和高级消息
季度会员资格，完全访问权限（89.97 欧元）按 3 个月等额分期付款（29.99 欧元）计费 这允许您以折扣价在 3 个月内完全访问网站和所有消息。
因此，随着在线约会诈骗的增加，用户应该警惕试图引诱他们使用身份验证服务的个人资料，无论他们的故事听起来多么令人信服。

没有迹象表明这些网站的运营商实际上在做什么。据我们所知，除了通过让您注册“订阅”来向您的信用卡收取任意金额外，其中一些门户网站很可能是由试图收集和出售您的个人信息的行为者设置的。

当被骗子或可疑个人资料联系时，请按照Grindr和Tinder规定的步骤向平台报告可疑用户。

威胁行为者使用伪造的 Windows 概念验证漏洞攻击安全研究人员，利用 Cobalt Strike 后门感染设备。

这些攻击的幕后黑手利用了最近修补的 Windows 远程代码执行漏洞，这些漏洞被跟踪为 CVE-2022-24500 和 CVE-2022-26809。

当微软修补漏洞时，安全研究人员通常会在 GitHub 上分析修复并发布针对该漏洞的概念验证漏洞利用。

安全研究人员使用这些概念验证漏洞来测试他们自己的防御措施并推动管理员应用安全更新。

然而，威胁参与者通常使用这些漏洞来进行攻击或在网络内横向传播。

虚假 PoC 以信息安全社区为目标
上周，一名威胁参与者在 GitHub 上针对GitHub 上 的 Windows CVE-2022-24500 和 CVE-2022-26809 漏洞发布了两个概念验证漏洞利用。

这些漏洞被发布在名为“rkxxz”的用户的存储库中，该用户已被删除并删除了该帐户。

假 CVE-2022-24500 PoC 发布到 GitHub
就像发布 PoC 时经常发生的那样，消息在 Twitter 上迅速传播，甚至引起了在黑客论坛上发布有关它的威胁者的注意。

在黑客论坛上分享的假 PoC
然而，很快 就 发现这些概念验证漏洞是假的，并在人们的设备上安装了 Cobalt Strike 信标。

Cobalt Strike 是一种合法的渗透测试工具，威胁行为者通常使用它来破坏并在组织中横向传播。

在网络安全公司 Cyble 的 后续报告 中，威胁分析师分析了 PoC，发现它是一个 .NET 应用程序假装利用 IP 地址，实际上用后门感染了用户。

伪造的 CVE-2022-24500 PoC 漏洞利用演示
从 Cyble 与 BleepingComputer 共享的 PoC 去混淆样本中，我们可以看到假 PoC 启动 PowerShell 脚本，该脚本执行 gzip 压缩的 PowerShell 脚本 [ malshare | VirusTotal ] 将信标注入内存。

假 PoC 启动 PowerShell 脚本
这不是威胁行为者第一次针对漏洞研究人员和渗透测试者。

2021 年 1 月，朝鲜 Lazarus 黑客组织 通过社交媒体账户和零日浏览器漏洞攻击漏洞研究人员。

2021 年 3 月，朝鲜黑客再次以信息安全社区为目标， 创建了一家 名为 SecuriElite（位于土耳其）的虚假网络安全公司。

11 月，Lazarus 黑客利用 IDA Pro 逆向工程应用程序的木马化版本进行了另一次活动，该应用程序安装了 NukeSped 远程访问木马。

通过针对信息安全社区，威胁参与者不仅可以访问受害者可能正在进行的漏洞研究，而且还可能获得对网络安全公司网络的访问权限。

由于网络安全公司往往拥有有关客户的敏感信息，例如漏洞评估、远程访问凭据，甚至是未公开的零日漏洞，因此这种类型的访问对于威胁参与者来说可能非常有价值。

美国汽车制造商通用汽车透露，它是上个月撞库攻击的受害者，该攻击暴露了一些客户的信息，并允许黑客用奖励积分兑换礼品卡。

通用汽车运营一个在线平台，帮助雪佛兰、别克、GMC 和凯迪拉克汽车的车主管理他们的账单、服务和兑换奖励积分。

车主可以将 GM 奖励积分兑换为 GM 车辆、汽车服务、配件和购买 OnStar 服务计划

针对撞库攻击
通用汽车透露，他们在 2022 年 4 月 11 日至 4 月 29 日期间检测到了恶意登录活动，并确认黑客在某些情况下将客户奖励积分兑换为礼品卡。

“我们写信是为了跟进我们给您的 [DATE] 电子邮件，告知您涉及识别最近兑换您的奖励积分似乎未经您授权的数据事件，”发送给受影响客户的数据泄露通知解释说.

通用汽车表示，他们将为所有受此违规影响的客户恢复奖励积分。

但是，这些违规行为并不是通用汽车被黑客入侵的结果，而是由针对其平台上的客户的一波撞库攻击引起的。

凭据填充攻击是指威胁参与者使用在其他站点的数据泄露中泄露的用户名/密码组合集合来访问网站上的用户帐户。

“根据迄今为止的调查，没有证据表明登录信息是从通用汽车本身获得的，”通用汽车在另一份数据泄露通知中解释道

“我们认为，未经授权的各方获得了之前在其他非通用汽车网站上被泄露的客户登录凭证的访问权限，然后在客户的通用汽车账户上重复使用这些凭证。”

GM 要求受影响的用户 在再次登录他们的帐户之前重置他们的密码。

个人信息暴露

当黑客成功入侵 GM 帐户后，他们可以访问存储在该网站上的某些信息。此信息包括以下个人详细信息：

名字和姓氏，
个人电子邮件地址，
个人地址，
与帐户绑定的注册家庭成员的用户名和电话号码，
最后已知和保存的最喜欢的位置信息，
当前订阅的 OnStar 套餐（如果适用），
家庭成员的头像和照片（如果已上传），
个人资料图片，
搜索和目的地信息。
黑客入侵通用汽车账户时可获得的其他信息包括汽车里程历史、服务历史、紧急联系人、Wi-Fi 热点设置（包括密码）等。

但是，GM 帐户不包含出生日期、社会安全号码、驾驶执照号码、信用卡信息或银行帐户信息，因此这些信息没有被泄露。

除了重置密码外，通用汽车还建议受影响的个人向银行索取信用报告，并在案件需要时进行安全冻结。通知中附有有关如何操作的说明。

不幸的是，通用汽车的在线站点不支持双重身份验证，这会阻止撞库攻击成功。但是，可以添加客户必须用于所有购买的 PIN。

至于受影响的客户数量，通用汽车只向加州总检察长办公室提交了一份通知样本，因此我们只知道该州受影响的客户数量，也就是略低于 5,000家。

ZZQIDC已联系通用汽车以获取有关这方面的更多信息，我们将在收到回复后立即更新此帖子。

加密货币诈骗者正在使用 Elon Musk 和其他著名加密货币倡导者的深度伪造视频来宣传窃取存款货币的 BitVex 交易平台骗局。

这个假冒的 BitVex 加密货币交易平台声称归 Elon Musk 所有，他创建了这个网站，让每个人都能从他们的加密货币存款中获得高达 30% 的回报。

这个骗局活动于本月早些时候开始，威胁者创建或入侵现有的 YouTube 帐户，以托管 Elon Musk、Cathie Wood、Brad Garlinghouse、Michael Saylor 和 Charles Hoskinson 的深度伪造视频。

这些视频是使用深度伪造技术修改的合法采访，以在威胁参与者提供的脚本中使用该人的声音。

下面可以看到其中一个诈骗视频的示例，Elon 在其中推广了新的诈骗网站，并表示他向该平台投资了 5000 万美元。

然而，如果你仔细看，你会发现，deep fake 将人的谈话与威胁演员的剧本同步，这愚蠢到可笑。

我们怎么知道这是一个骗局？
虽然很明显，采访已经被修改为模仿 Elon Musk 的声音来宣传 BitVex 交易平台，但许多其他线索表明这是一个骗局。

许多宣传该交易平台的 YouTube 频道已被黑客入侵，以突然显示宣传 BitVex 交易网站的 YouTube 视频或 YouTube Shorts。

例如，一个播放阿拉伯语游戏视频的 YouTube 频道突然开始播放一系列宣传 BitVex 骗局的 YouTube 短片。此外，ZZQIDC还发现了数十个其他 YouTube 频道也被类似劫持以宣传这一骗局。

YouTube Shorts 在被黑的 YouTube 频道上宣传 BitVex
来源：BleepingComputer
一旦您访问 BitVex 交易网站本身，就会发现这是一个骗局。

例如，该网站声称 Elon Musk 是交易平台的首席执行官，并包含 Ark Invest 的 Cathie Wood 和 Binance 首席执行官赵长鹏的背书。

要使用 BitVex 平台，用户必须在bitvex[.]org或 bitvex[.]net注册帐户才能访问投资平台。

登录后，该网站将显示一个仪表板，您可以在其中存入各种加密货币、选择投资计划或提取您的收入。

与几乎所有加密货币骗局一样，仪表板将显示各种加密货币的最近提款，以使该网站看起来合法，如下所示。

显示提款的 BitVex 仪表板
来源：ZZQIDC
然而，这些提款是通过 JavaScript 创建的，随机选择五种不同的加密货币（卡尔达诺、以太坊、比特币、瑞波币或币安币）之一并随机生成提款金额。这些虚假提款在每次页面刷新时随机更改。

JavaScript 生成随机加密货币提取金额
来源：ZZQIDC
值得庆幸的是，该骗局似乎不太成功，ZZQIDC看到骗局的加密货币地址仅存入 1,700 美元。但是，这些地址很可能是轮换的，因此自骗局启动以来，它们可能会窃取更多信息。

下面列出了该骗局中使用的一些加密货币地址：

比特币- 16Ge7LhzpxHTSQLptSe4sptseVwDYU6gpN（赚取 1,280.82 美元）
比特币现金- qpkrguy6ralp0pux390fr7pz2ugpq90s3uach9m42j
以太坊- 0x1087d3584AB80df8d14B4D7d5A2091C3Bb55eF2F
系绳-TRh8zMBdcEEZdPBC6xkBmkd5SrpkRQEjWK
狗狗币- DDu1kVvtd9bc4jQ1uY7EUBBddmzTgjbsav
Polkadot - 16keizqPvkS3uQ4Cad9vPNoQhbstKNqJtTG1Uk8i6mY8JNTL
虽然很难相信人们会为这些骗局而堕落，但众所周知，虚假的加密货币赠品和投资计划可为威胁行为者带来数百万美元的收益。

2021 年 1 月，一个虚假的 Elon Musk 加密赠品骗局在短短一周内就赚了 58 万美元。

甚至最近， YouTube 上宣传的一个以 Ark Invest 为主题的骗局通过重新播放与 Ark Invest 的 Elon Musk、Jack Dorsey 和 Cathie Wood 进行的关于加密货币的旧现场小组讨论的编辑版本，偷走了 130 万美元。

这些骗局变得如此普遍和有利可图，以至于 FTC 发布了一份报告警告称，自 2020 年 10 月以来，加密货币投资骗局已经损失了 8000 万美元。

因此，必须认识到几乎每个加密赠品网站都是骗局，尤其是那些据称来自 Elon Musk、特斯拉、SpaceX、Ark Invest 和 Gemini 的承诺巨额回报的网站。

如果您在社交媒体上看到宣传此类赠品的电子邮件、推文、视频或其他消息，请记住，您发送的任何加密货币都不会产生任何回报。

不法分子可以通过使用 deepfakes 欺骗实时面部识别软件来轻松窃取他人的身份。

专注于解决身份欺诈的初创公司 Sensity AI 进行了一系列伪装攻击。工程师从身份证上扫描某人的图像，并将他们的肖像映射到另一个人的脸上。然后，Sensity 测试他们是否可以通过诱使他们相信假冒的攻击者是真实用户来破坏实时面部识别系统。

所谓的“活性测试”试图实时验证身份，例如依靠来自用于解锁手机的面部识别等摄像头的图像或视频流。十个供应商中有九个未能通过 Sensity 的实时深度伪造攻击。

Sensity 没有说出容易受到深度伪造攻击的公司的名字。Sensity 的首席运营官 Francesco Cavalli告诉The Verge：“我们告诉他们‘看起来你很容易受到这种攻击’，他们说‘我们不在乎’。 ” “我们决定发布它，因为我们认为，在企业层面和一般情况下，公众应该意识到这些威胁。”

活性测试是有风险的，特别是如果银行或美国税务机关，例如，将它们用于自动生物特征认证。然而，这些攻击并不总是容易实施。Sensity 在其报告中提到需要专门的手机来劫持移动摄像头并注入预制的 deepfake 模型。

PyTorch 开发人员可以很快在自己的 Apple 笔记本电脑上训练 AI 模型
较新版本的 Apple 计算机包含定制的 GPU，但 PyTorch 开发人员在训练机器学习模型时无法利用硬件的强大功能。

然而，随着即将发布的 PyTorch v1.12 版本的发布，这种情况将会改变。“与 Apple 的 Metal 工程团队合作，我们很高兴宣布支持在 Mac 上进行 GPU 加速的 PyTorch 培训，”PyTorch 社区本周在一篇博 文中宣布。

“到目前为止，Mac 上的 PyTorch 训练仅利用 CPU，但随着即将发布的 PyTorch v1.12 版本，开发人员和研究人员可以利用 Apple 硅 GPU 显着加快模型训练。” 新版本意味着 Mac 用户将能够在自己的设备上训练神经网络，而无需通过云计算服务租用计算资源。

一位发言人告诉The Register，最新的 PyTorch v1.12 预计将在“6 月下半月的某个时候”发布。

Apple 的 GPU 比其 CPU 更适合训练机器学习模型，因此更容易更快地训练更大的模型。

医学模型的假数据
美国健康保险提供商 Anthem 正在与 Google Cloud 合作，为机器学习模型构建合成数据管道。

巧克力工厂的人们将生成多达 2 PB 的虚假数据，模仿医疗记录和医疗保健声明。这些合成数据集将用于训练人工智能算法，这些算法可以更好地检测欺诈案件，并且比从患者那里收集真实数据造成的安全风险更小。

这些模型最终将分析真实数据，例如，可以通过自动检查人们的健康记录来寻找人们提出的欺诈性索赔。Anthem 的首席信息官 Anil Bhatt告诉华尔街日报：“越来越多……合成数据将超越并成为人们未来使用 AI 的方式。 ”

使用虚假数据可以避免隐私问题，也可以减少偏见。但专家此前告诉 The Register，这些人工样本并不总是适用于所有机器学习应用程序。

“在我们看来，合成数据模型最终将推动大数据能够提供的承诺，”谷歌云美国医疗保健与生命科学董事总经理 Chris Sakalosky 说。“我们认为这实际上将推动这个行业向前发展。”

前苹果人工智能总监离开 DeepMind
据报道，苹果公司的一位前机器学习主管因公司的重返工作岗位政策而辞职，他正在前往 DeepMind 工作。

Ian Goodfellow 领导了 iGiant 的秘密“特别项目组”，帮助开发其自动驾驶汽车软件。此前有报道称，在苹果公司要求员工从 5 月 23 日开始每周三天返回办公室后，他离开了。由于 COVID 病例的增加，该政策现已被推迟。

据彭博社报道，他将继续加入 DeepMind 。有趣的是，据报道，Goodfellow 将被这家总部位于英国的研究实验室聘为“个人贡献者”。他以发明生成对抗网络（一种通常用于生成 AI 生成图像的神经网络）以及帮助编写 2015 年出版的流行深度学习教科书而闻名。

Goodfellow 在苹果公司担任董事三年多，此前曾在谷歌和 OpenAI 担任人工智能研究员。