《联合国打击网络犯罪公约》将提交联大表决，我国发挥关键作用；韩国“伪猎者”APT组织利用国产化软件漏洞对我国进行网络攻击 |牛览

•《联合国打击网络犯罪公约》将提交联大表决，我国发挥关键作用

•大语言模型精准提取网络威胁情报的准确率高达98％

• 韩国“伪猎者”APT组织利用国产化软件漏洞对我国进行网络攻击

•Google绘图和WhatsApp生成的短链接成为新型网络钓鱼攻击帮凶

•Windows可被降级攻击，大量已修复漏洞或遭攻击者再次利用

•CISA 警告Cisco  SMI功能正在网络攻击活动中被恶意利用

•1Password密码管理器漏洞可能导致macOS用户数据泄露

•微软AI助手Copilot被曝存在提示注入安全威胁

•Anthropic推出AI安全漏洞悬赏计划

近日，联合国打击网络犯罪公约特委会顺利通过《关于打击为犯罪目的使用信息和通信技术行为的全面国际公约》（简称《联合国打击网络犯罪公约》)。该条约接下来将于秋季提交联合国大会进行投票。由于投票国家与之前相同，预计该条约将在联合国大会顺利通过。

我国一贯倡导并支持在联合国谈判制定关于打击网络犯罪的全球性公约，并于2019年共同提出关于启动公约谈判的联大第74/247号决议。2022年以来，中国作为特委会副主席国，以网络空间命运共同体理念为引领，旗帜鲜明倡导加强打击网络犯罪国际合作，支持强化发展中国家能力建设，并在谈判中与各方开展建设性对话，引导各方展现灵活，为最终谈成公约发挥关键作用。

据了解，该公约是网络领域首个由联合国主持制定的普遍性国际公约，将在全球范围内为打击网络犯罪国际合作提供法律框架，对网络空间国际法发展有重大意义。

原文链接：

https://mp.weixin.qq.com/s/w4C5XAKFU3vvxUykNnPKgQ

近日，来自蒙特利尔大学和Flare Systems的安全研究人员发现，大型语言模型（LLMs）能够以98％的高准确率从网络犯罪论坛中提取重要的网络威胁情报（CTI）。这项研究显示了人工智能在增强网络安全方面的巨大潜力。

研究人员联合Flare Systems开发了一个基于OpenAI的GPT－3.5－turbo模型的LLM系统，分析了XSS、Exploit.in和RAMP三个主要网络犯罪论坛的用户留言信息，并从中提取关键CTI信息。结果显示，基于该系统收集到的网络威胁情报平均准确率达到了98％。

研究人员表示，将继续探索安全大语言模型系统在更多网络安全领域的应用。此外，他们还计划使用更先进的模型应用，如Claude 3.5 Sonnet和 GPT－4o，以推动人工智能驱动的网络威胁情报的发展。

原文链接：

https://cybersecuritynews.com/ai-model-achieve-98-accuracy-in-collecting-threat-intelligence/

近日，安恒猎影实验室捕获到一起“伪猎者”APT组织的攻击，在深入研究过程中，研究人员发现该组织已掌握多个国产化0day武器，如WPS 0day漏洞只需根据诱导点击一次，就足以使目标失陷； Foxmail 0day漏 洞 ，用户使用客户端打开邮件时，无需其他任何操作，就可以执行恶意代码进而控制目标； 126邮箱/163邮箱XSS漏洞，被攻击者用来隐蔽的窃取用户邮箱的Cookies，从而使攻击者无需密码即可登录邮箱，进而窃取邮箱内的信件，或者利用该邮箱向其他人发送钓鱼邮件等。

利用此类漏洞进行攻击，表现出了其对我国目标的针对性。通过排查分析，研究人员发现其意图是针对包括我国多个涉外政府部门、以及多个行业人员实施窃密活动，且这些人员都与中韩关系相关。经过缜密的溯源分析，结合“伪猎者”组织背景，猎影实验室确定该攻击来自于韩国，其目的为窃取我国中韩相关情报。

研究人员提醒，软件漏洞向来是APT组织对目标进行攻击、运行木马的入口点。及时对系统、软件进行升级，可以大大减少被攻击者利用漏洞进行攻击的可能性。目前，“伪猎者”组织所利用的WPS漏洞和Foxmail漏洞都已修复，用户可通过官方网站，升级安装最新版软件来避免被这两个漏洞攻击，也可以选择安装安恒信息办公智盾系统进行防护。

原文链接：

https://mp.weixin.qq.com/s/F8hNyESBdKhwXkQPgtGpew

近日，网络安全研究人员发现了一种新型的网络钓鱼攻击，该攻击利用Google绘图和WhatsApp生成的短链接来规避检测，诱使用户点击虚假链接，从而窃取收集凭据、个人信息和信用卡详细信息等敏感信息。

Menlo Security的研究员 Ashwin Vamshi认为，这是一个利用可信网站威胁的典型例子。攻击的起于一封钓鱼邮件，邮件中包含一个看似是亚马逊账户验证链接的图形，该图形托管在Google绘图上，旨在规避检测。点击验证链接的用户会被引导到一个仿冒亚马逊的登录页面，该URL是通过两个不同的URL缩短器逐步构造的——WhatsApp（“l.wl[。]co”）后接 qrco[。]de。这作为额外的混淆层，以欺骗安全URL扫描器。在窃取用户的敏感信息后，受害者被重定向到真实亚马逊登录页面，同一IP地址无法再次访问钓鱼网页。

研究人员建议用户提高警惕，特别是在涉及账户验证和敏感信息时，仔细检查链接的来源和真实性。同时，安全公司和服务提供商需要加强对合法服务的监控，以防止其被滥用进行网络钓鱼攻击。

原文链接：

https://thehackernews.com/2024/08/new-phishing-scam-uses-google-drawings.html

日前，SafeBreach的研究员Alon Leviev发现了一种新的Windows降级攻击方法。这种攻击可以使已经完全打过补丁的Windows系统变得脆弱，重新暴露于过去的数千个漏洞中。

Leviev发现Windows更新过程存在安全漏洞，攻击者可以通过注册表中的PoqexecCmdline键控制所有更新操作。Leviev利用硬链接文件操作，将源文件替换为目标文件，并用自定义的降级操作列表更新系统。通过这种方式，攻击者可以用自定义的降级操作列表更新系统，而安全机制检测不到，使得系统看起来已经更新。此外，他还发现，通过修补操作列表解析器（poqexec.exe）和完整性修复工具（SFC.exe），使其不再检测任何损坏。通过这些方法，Leviev成功降级了关键的操作系统组件，包括动态链接库（DLL）、驱动程序和NT内核，甚至整个虚拟化堆栈。

Leviev已将发现分享给微软，微软正在开发安全更新以减轻这些漏洞。在此期间，建议用户通过执行权限审计并实施访问控制列表来降低风险。

原文链接：

https://www.helpnetsecurity.com/2024/08/08/windows-downgrade-attack/

日前，美国网络安全和基础设施安全局（CISA）发布警告，发现近期黑客滥用旧版Cisco Smart Install（SMI）功能进行攻击，窃取系统配置文件等敏感数据。

调查发现，威胁行为者利用了交换机所有者未能正确配置或禁用SMI协议的漏洞，使得SMI客户端处于等待“安装/配置”命令的状态，从而获得对设备的控制权，进而更改配置文件、替换IOS系统映像、添加恶意账户，并通过TFTP协议窃取信息。早在2018年，Cisco Talos团队就曾警告称SMI协议被滥用用于攻击Cisco交换机。据悉，Cisco Talos团队早在2018年曾警告称SMI协议被滥用用于攻击Cisco交换机，目前威胁监控服务Shadowserver跟踪到超过6000个在线暴露的SMI功能的IP地址。

CISA强调，攻击者主要利用弱密码类型攻陷Cisco网络设备，获取系统配置文件和密码，进而入侵受害者网络。CISA建议管理员禁用旧版SMI协议，同时提倡对所有Cisco设备使用NIST批准的8型密码保护，确保密码经过足够强度的哈希处理，并采取一系列密码管理的最佳实践。

原文链接：

https://www.bleepingcomputer.com/news/security/cisa-warns-of-hackers-abusing-cisco-smart-install-feature/

近日，1Password密码管理器的开发者AgileBits披露了一个严重的安全漏洞（CVE-2024-42219）。该漏洞可能允许攻击者提取macOS用户的敏感信息。此漏洞涉及1Password的关键安全缺陷，恶意行为者可以通过受损的本地进程获取账户解锁密钥和其他保险箱项目。

1Password使用12位密钥与主密码结合来保护保险箱内容。该密钥在用户的设备上生成，1Password 本身无法访问，从而增加了一层额外的安全性。研究人员指出，该漏洞源于对macOS特定进程间验证的不足，攻击者可以冒充1Password浏览器扩展。该漏洞允许macOS设备上的恶意进程绕过进程间通信保护，获取1Password保险箱项目和登录所需的派生值，包括账户解锁密钥和SRP-𝑥。SRP（安全远程密码）协议是保护1Password保险箱安全框架的重要组成部分。

该漏洞影响macOS上的1Password 8.10.36之前的版本。据悉，目前尚未证明CVE-2024-42219漏洞被威胁行为者利用。AgileBits已发布更新版本8.10.38来修复这些漏洞，安全专家建议macOS上的1Password用户立即更新应用程序。