AI生成的TikTok视频成为信息窃取恶意软件新的分发渠道

近日，一种复杂的搜索引擎优化(SEO)投毒攻

去中心化加密货币交易所Cetus于5月22日遭遇黑客攻击，约2.23亿美元资金被盗。Cetus当天在社交媒体上首先宣布发生安全事件，随后确认攻击者窃取了用户资金。

该公司表示，他们立即采取行动锁定合约，防止更多资金被盗。据悉，1.62亿美元的受损资金已被成功"暂停"。运行在Sui区块链上的Cetus正与Sui Foundation等机构合作，积极寻求途径追回剩余被盗资金，并承诺稍后提供完整事件报告。

多位加密货币安全专家表示，区块链数据显示约5000万美元被盗资金已转移至新钱包。关于事件原因存在争议，有人指出黑客可能利用协议漏洞，也有专家认为攻击者操纵了代币价格。

安全研究人员本周发现，威胁行为者正在利用多个云服务提供商的基础设施分发臭名昭著的Lumma Stealer恶意软件。该攻击活动利用Oracle Cloud Infrastructure（OCI）、Scaleway Object Storage和Tigris等合法云平台托管恶意内容，针对各组织的特权用户实施攻击。

感染过程始于受害者与伪装的游戏下载或假冒的reCAPTCHA表单交互。当用户与这些元素互动时，系统会下载一个ZIP压缩包，其中包含一个签名的可执行文件。这个看似合法的可执行文件随后从内存中执行Lumma Stealer，使其能够收集凭证、加密货币钱包和其他敏感信息。攻击者还通过恶意MpGear.dll文件使用DLL搜索顺序劫持技术，确保恶意软件在启动某些合法应用程序时自动加载，从而在受感染系统上提供持久性，并允许长时间持续数据窃取。

安全专家建议实施能够识别可疑云托管内容的高级威胁检测系统，为特权用户维持严格的访问控制，并部署全面的端点保护解决方案，以降低此类攻击带来的风险。

近日，安全研究人员发现一种新型恶意软件攻击活动正利用TikTok的病毒式传播特性和庞大用户群，分发Vidar和StealC等信息窃取恶意软件。攻击者通过看似无害的视频内容，利用平台的影响力和用户信任来传播有害软件。

这种策略通过视频中的口头和视觉指导传递命令，而非嵌入文本或链接，使传统安全系统难以检测。用户被诱导自行输入这些命令，从而在不知情的情况下参与恶意软件的安装过程。该PowerShell脚本会在用户目录中隐藏文件，将其添加到Windows Defender的排除列表中，从amssh[.]co下载恶意软件，使用重试逻辑确保执行，建立系统持久性，并清理取证证据以避免检测。

Trend Micro呼吁组织主动监控社交媒体平台上包含技术指令的高互动帖子，实施行为检测工具以标记异常用户操作，并加强用户教育，帮助识别和报告欺骗性视频内容。

可口可乐公司及其装瓶合作伙伴可口可乐欧太平洋合作伙伴公司(CCEP)近日成为两个不同威胁组织的攻击目标。Everest勒索软件团伙声称已入侵可口可乐系统，而另一个名为Gehenna(又称GHNA)的黑客组织则声称从CCEP的Salesforce环境中窃取了大量数据库。

Everest勒索软件组织在其暗网泄露网站上列出可口可乐为受害者，分享的截图显示他们获取了内部文件和959名员工的个人信息，包括签证和护照扫描件、薪资数据和其他人力资源相关记录。根据样本审查，此次入侵似乎影响了可口可乐在中东的业务，多个文件表明迪拜机场自由区(DAFZ)的迪拜办事处可能是特定目标。

与此同时，Gehenna黑客组织声称本月早些时候入侵了CCEP的Salesforce仪表板。该组织称他们窃取了超过2300万条记录，包含自2016年以来的敏感客户关系管理(CRM)数据。Gehenna发布了一条针对CCEP员工的信息，表示他们"接受报价"，并警告称"还有更多数据"。

安全研究人员近日披露，GitLab的AI助手Duo存在间接提示注入(indirect prompt injection)漏洞，攻击者可利用该漏洞窃取源代码、引导用户访问恶意网站，甚至分发恶意软件。

Legit Security的研究人员发现，Duo在处理输入和输出时缺乏足够的审查机制。攻击者可以通过在代码中隐藏特殊提示来操纵AI助手，从而实施钓鱼攻击、投放恶意软件或窃取敏感数据。从问题跟踪到CI/CD管道和源代码，Duo与整个DevSecOps流程的深度集成。由于Duo分析丰富的交叉链接项目数据，因此滥用的攻击面更广。

攻击者甚至可以使用编码提示或白色文本（与网页背景相同）来隐藏其恶意行为。最严重的漏洞与Duo响应的渲染方式有关。Duo以Markdown格式逐行输出响应，并在生成过程中实时渲染HTML。研究人员设计了一个概念验证(PoC)提示，可隐藏在合并请求描述或提交评论中，当受害者使用Duo审查时，Duo会将恶意HTML传递给浏览器，然后浏览器会向攻击者的服务器发送GET请求，窃取受害者的私有源代码。

美国联邦贸易委员会（FTC）近日最终确定了一项命令，要求网络托管巨头GoDaddy加强其服务安全措施，以解决自2018年以来导致多次数据泄露的安全漏洞问题。

今年1月，FTC指控拥有约500万客户的GoDaddy误导用户关于其安全实践的信息。调查发现，由于缺乏标准安全措施，GoDaddy未能及时发现其托管环境中的漏洞。

根据FTC的命令，GoDaddy必须建立健全的信息安全计划，使用HTTPS或其他安全传输协议保护API，并设立软件和固件更新管理程序。此外，该公司还需聘请独立第三方评估机构对其信息安全计划进行两年一次的审查，并在客户数据被暴露、访问或窃取后10天内报告任何事件。

FTC的投诉指出，GoDaddy存在安全措施不足的问题，包括缺乏多因素认证（MFA）、适当的软件更新管理和安全事件日志记录。这些安全缺陷导致了重大安全漏事件：2023年2月，GoDaddy披露未知威胁行为者在被入侵的服务器上安装了恶意软件，并在入侵其cPanel共享托管环境后窃取了源代码。

Signal即时通讯应用近日更新了其Windows版本，通过默认启用"屏幕安全"(screen security)功能，阻止Microsoft的AI驱动Recall功能对用户对话进行截屏，以保护用户隐私。

Microsoft Recall是Windows 11上的一项功能，它每隔几秒钟自动截取所有活动窗口的屏幕截图，并分析这些内容建立可通过自然语言搜索的数据库。Signal的屏幕安全功能通过在应用窗口上设置数字版权管理(DRM)标志，阻止Recall或其他Windows应用和功能捕获其内容。

Microsoft于2024年5月推出Recall功能，当时安全专家将其描述为"隐私噩梦"和重大安全风险。为解决这些担忧，Microsoft将Recall设为可移除的选择性功能，并增加了过滤敏感信息和排除某些应用、网站或私人浏览会话的功能。

网络安全研究人员Jeremiah Fowler近日发现了一个配置错误且未受保护的数据库，其中包含超过1.84亿组独特的登录名和密码，总计约47.42GB数据。这些凭据很可能是通过信息窃取恶意软件(infostealer)收集而来。

该数据库未经密码或加密保护，存储了众多在线服务的凭据，包括流行电子邮件提供商、Microsoft等主要科技平台，以及Facebook、Instagram、Snapchat和Roblox等社交媒体网站。更严重的是，泄露还包含来自各国的银行账户、健康平台甚至政府门户网站的访问信息，使毫无防备的个人面临高风险。Fowler通过联系数据库中发现的部分电子邮件所有者，多位用户证实列出的密码确实准确有效。Fowler迅速通知了托管提供商，该数据库已被移除公共访问。

Fowler敦促用户停止将电子邮件用作冷存储，定期更新密码（尤其是在未知泄露情况下），切勿在多个账户中重复使用密码，启用双因素认证(2FA)，并开启登录通知或可疑活动警报。

网络安全已经成为现代企业数智化发展的重要组成部分，甲方用户需要选择更加先进的网络安全产品来保护自己的业务和数据。而在选择创新网络安全产品时，甲方会根据自己不断变化的业务发展需求，选择能够满足自身需求、具有成本效益、易于使用和管理的方案。

要想让甲方快速发现并认可创新网络安全产品的应用价值，核心在于使用甲方熟悉的 “决策语言” 进行沟通，关注用户的业务结果而非技术功能，重视创新的战略价值而非战术细节，帮助用户实现业务增长而非单纯的成本控制。

1.要突出体现对甲方业务的价值转化

2.尝试将潜在的风险影响量化体现

3.以最佳实践案例去呈现单调的技术指标

4.构建跨甲方多部门的支持联盟

5.从成本与价值角度向甲方说明购买费用

6.说明产品的实施难度，消除甲方的采购顾虑

7.重塑网络安全产品创新的战略定位

一项代号为"Operation RapTor"的国际执法行动近日成功打击暗网犯罪网络，共有270名暗网卖家和买家在欧洲、南美、亚洲和北美（美国）等十个国家被捕。此次行动缴获现金和加密货币共计约1.84亿欧元（2.07亿美元），查获超过2吨毒品（包括安非他明、可卡因、氯胺酮、阿片类药物和大麻），以及180多支枪支。

执法部门通过分析Nemesis、Tor2Door、Bohemia和Kingdom Market等多个暗网市场被关闭后收集的情报，成功锁定了这些嫌疑人。其中大部分嫌疑人在美国（130人）、德国（42人）、英国（37人）、法国（29人）和韩国（19人）被捕，另有13人在荷兰、奥地利、巴西、西班牙和瑞士被拘留。

Europol欧洲网络犯罪中心主任Edvardas Šileris表示，Operation RapTor表明暗网并非法律无法触及的地方。此次行动是继2023年 "Operation SpecTor" 、2020年 "DisrupTor" 和 "Dark HunTOR" 等行动后的又一次重大打击。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除