1. ChatGPT与Sora AI全球瘫痪,OpenAI紧急修复中
12月12日,ChatGPT和Sora AI是两款由OpenAI推出的热门AI产品,目前在全球范围内遭遇服务中断。OpenAI已确认并正在积极修复此问题。中断始于2024年12月11日太平洋标准时间下午3:17左右,涉及ChatGPT网站及其API,以及最近推出的视频生成模型Sora。用户访问ChatGPT网站时会收到关于服务不可用的通知,OpenAI已识别出问题并正努力推出修复程序。由于ChatGPT拥有超过2亿的庞大周活跃用户群,它已成为网络攻击的主要目标。此前,一个名为Anonymous Sudan的组织曾声称对一次与ChatGPT服务中断同时发生的DDoS攻击负责。然而,OpenAI尚未确认当前中断是否由类似攻击造成,中断原因尚不清楚。全球用户正密切关注OpenAI的修复进展,期待服务能够尽快恢复正常。
/sora-chatgpt-down-worldwide-openai-working-on-fix/
2. 新型隐秘 Pumakit Linux rootkit 恶意软件被发现
12月12日,Pumakit 是一种新型 Linux rootkit 恶意软件,它利用隐身和高级权限提升技术来隐匿于系统中。该恶意软件由多个组件构成,包括投放器、内存驻留可执行文件、内核模块 rootkit 和用户空间 rootkit(Kitsune SO)。Elastic Security 在 2024 年 9 月 4 日于 VirusTotal 上传的可疑二进制文件“cron”中发现了它,但无法确定其使用者或目标。Pumakit 采用多阶段感染过程,首先通过“cron”投放器执行嵌入式有效负载,最终将 LKM rootkit 模块部署到系统内核中,并利用 Kitsune SO 在用户空间中注入进程,拦截系统调用。该 rootkit 针对 5.7 版之前的 Linux 内核设计,利用“kallsyms_lookup_name()”函数操纵系统行为,并通过 ftrace 钩住系统调用来提升权限、执行命令和隐藏进程。此外,它还能隐藏特定文件和对象,确保恶意更改不被恢复,并与 Kitsune SO 协同运行,拦截用户级系统调用,隐藏 rootkit 相关文件、进程和网络连接。
/news/security/new-stealthy-pumakit-linux-rootkit-malware-spotted-in-the-wild/
3. 国际联合行动查封Rydox网络犯罪市场,逮捕三名管理人员
12月12日,阿尔巴尼亚执法部门与国际合作伙伴联手,成功查封了名为Rydox的网络犯罪市场,并逮捕了三名科索沃国民——Ardit Kutleshi、Jetmir Kutleshi和Shpend Sokoli,其中前两人已被美国司法部起诉并等待引渡。自2016年以来,Rydox市场卖家参与了超过7600起信用卡信息、登录凭证和个人信息的销售,这些信息是从数千名美国公民和各种网络犯罪工具中窃取的。Rydox还向超过18000名用户出售了321000种其他网络犯罪产品。注册用户需先存入一定数量的加密货币才能购买非法产品,而Rydox授权卖家可获得销售收益的60%。美国获得司法授权,查封了Rydox的域名和服务器,并从被告账户中扣押了约225000美元的加密货币。此次行动得到了多国执法部门的协助。美国检察官表示,Rydox市场是一个一站式商店,虽然网络犯罪通常涉及海外行为,但其危害可能是毁灭性的。
/news/security/police-shuts-down-rydox-cybercrime-market-arrests-3-admins/
4. 伊朗利用IOCONTROL恶意软件攻击美以关键基础设施
12月12日,伊朗威胁行为者正利用新型恶意软件IOCONTROL攻击以色列和美国的关键基础设施,特别是物联网(IoT)设备和OT/SCADA系统,包括路由器、PLC、HMI、IP摄像机、防火墙和燃料管理系统等,涉及制造商如D-Link、Hikvision等。该恶意软件具有模块化特性,可感染不同设备,并被视为可能对关键基础设施造成严重破坏的民族国家网络武器。据报道,IOCONTROL与伊朗黑客组织CyberAv3ngers有关,该组织曾表现出对攻击工业系统的兴趣。攻击者声称入侵了以色列和美国的200个加油站,并在2023年末至2024年中期进行了新的攻击活动。IOCONTROL存储在“/usr/bin/”目录中,使用模块化配置适应不同设备,通过MQTT协议与C2服务器通信,并使用AES-256-CBC加密配置。它可执行多种命令,如报告系统信息、确认恶意软件安装、运行任意命令、自我删除和端口扫描等。
/news/security/new-iocontrol-malware-used-in-critical-infrastructure-attacks/
5. Byte Federal比特币ATM运营商遭黑客攻击
12月12日,美国比特币ATM运营商Byte Federal遭遇了一次数据泄露事件,黑客利用其系统上的GitLab漏洞,未经授权访问了其服务器,导致58,000名客户的数据被泄露。该公司在发现事件后立即关闭了平台,隔离了不良行为者,并保护了受感染的服务器。受影响的敏感信息包括姓名、出生日期、地址、电话号码、电子邮件、政府签发的身份证、社会安全号码、交易活动、用户照片等。Byte Federal对所有客户账户进行了“硬重置”,更新了内部密码和账户管理系统,并撤销了内部网络访问的令牌和密钥。虽然用户资金和数字资产未受损,但敏感信息的泄露可能使加密货币持有者面临SIM卡交换攻击、账户接管或其他网络钓鱼攻击的风险。Byte Federal建议受影响的人对未经请求的通信保持警惕,并定期检查账户报表和信用报告以防范欺诈和身份盗窃。该公司设立了专门的帮助热线供人们解决疑虑。
/news/security/bitcoin-atm-firm-byte-federal-hacked-via-gitlab-flaw-58k-users-exposed/
6. 俄罗斯组织Turla隐藏在其他黑客背后攻击乌克兰
12月11日,俄罗斯网络间谍组织Turla(又称“秘密暴雪”)被曝正在利用其他黑客组织的基础设施攻击乌克兰通过Starlink连接的军事设备。微软和Lumen揭示了Turla如何劫持或使用巴基斯坦黑客组织Storm-0156的恶意软件和服务器,以及如何利用Amadey僵尸网络和俄罗斯黑客组织Storm-1837的基础设施,在乌克兰系统上部署其自定义恶意软件,如Tavdig和KazuarV2。这些攻击始于网络钓鱼电子邮件,利用恶意附件、Storm-1837后门或Amadey僵尸网络部署有效载荷。微软指出,Turla利用被投放的批处理文件提供的侦察信息,识别连接到Starlink互联网系统的军事设备等高优先级目标。Turla的定制恶意软件家族Tavdig和KazuarV2在其间谍活动中发挥着独特作用,前者用于建立初始立足点和监视,后者则专注于长期情报收集、命令执行和数据泄露。微软建议防御者检查其提出的缓解措施和搜索查询,以应对Turla的活动。
/news/security/russian-cyber-spies-hide-behind-other-hackers-to-target-ukraine/
[来源: 启明星辰]