全球动态

1. 新加坡银行业将在3个月内逐步淘汰一次性密码

新加坡银行协会（ABS）的主任Ong-Ang Ai Boon在声明中表示，新措施可以进一步保护客户免受未授权访问其银行账户的风险。尽管这些措施可能会带来一些不便，但它们对于预防诈骗和保护客户是必要的。【阅读原文】

2. 科技巨头被曝未经授权用 YouTube 内容训练 AI，苹果、英伟达在列

据报道，下载这些字幕文件的是一个名为 EleutherAI 的非盈利组织，他们声称其目的是帮助开发者训练 AI 模型。虽然 EleutherAI 的初衷可能是为小型开发者和学术研究者提供训练材料，但该数据集也被苹果等科技巨头使用。【阅读原文】

3. 法案呼吁 CISA 和 HHS 努力加强卫生部门的网络建设

该法案要求 CISA 和 HHS 合作研究如何提高医疗保健行业的网络安全。法案还建议向非联邦实体提供有关网络威胁指标和适当防御措施的资源。【外刊-阅读原文】

4. "Konfety"广告欺诈利用250多个Google Play诱饵应用隐藏恶意双胞胎应用

这个广告欺诈活动最不寻常的地方在于，恶意应用（我们称之为“邪恶双胞胎”）通过模仿无害应用（我们称之为“诱饵双胞胎”）的应用程序ID和广告发布者ID来伪装自己，从而在广告展示上欺骗用户。无论是无害的诱饵应用还是恶意的邪恶双胞胎应用，它们都运行在同一套基础设施上，这使得威胁行为者可以根据需要，迅速扩大他们的欺诈活动规模。【外刊-阅读原文】

5. 美国参议员提跨党派提案：打击有害深度伪造，禁止篡改 AI 生成内容来源信息

该提案旨在打击正在兴起的有害深度伪造，目标在美国联邦层面建立一个检测、标记与认证 AI 生成内容的透明度准则，保护记者、演员、艺术家免受 AI 剽窃的影响，并对剽窃者追究责任。【阅读原文】

6. ShadowRoot：土耳其企业面临新的勒索威胁

ForcePoint 的 X-Labs 研究团队发现并确定了一种针对土耳其企业的新型勒索软件。攻击始于通过可疑电子邮件分发的 PDF 附件，PDF 文件中包含一个链接，可从 GitHub 上的一个受损账户下载另一个可执行文件。【外刊-阅读原文】

安全事件

1. 伊朗 MuddyWater APT 利用 BugSleep 后门瞄准沙特和以色列人

该组织利用被入侵的电子邮件账户，以以色列市政当局、政府实体、航空公司、旅行社和记者等领域的各种组织为目标。据信，MuddyWater 自 2017 年开始活跃。【外刊-阅读原文】

2. Rabbit R1 因旧漏洞遭黑客攻击：避免使用二手设备

漏洞修复者利用这些漏洞来获得root权限、更改设置、安装自定义操作系统，以及添加功能或应用程序。例如，越狱的Rabbit R1可以超频，运行TikTok应用程序、NES模拟器或任何其他代码。然而，恶意行为者也可以找到许多用途。【外刊-阅读原文】

3. Exim 邮件服务器严重漏洞，致数百万用户遭受恶意附件攻击

漏洞是由于对多行 RFC2231 头文件名的错误解析造成的，这使得远程攻击者可以绕过$mime_filename扩展名阻止保护机制，将恶意的可执行附件传送到最终用户的邮箱中。【阅读原文】

4. 家具巨头遭勒索软件攻击后关闭生产设施

公司的零售店和电子商务平台是开放的，客户可以下订单并购买现有商品，但是，公司履行订单的能力目前受到了影响。公司高管正在努力使受影响的系统重新上线并实施变通办法，以减少中断。【外刊-阅读原文】

5. 停运数天后，这家软件大厂向勒索软件支付超8亿元赎金

“Janczewski没有确定谁支付了款项，但另有三位密切跟踪此事件的消息人士证实，确实有大约2500万美元的支付给了BlackSuit的关联者，而CDK很可能是这笔款项的支付方。【阅读原文】

6. Void Banshee APT 在鱼叉式网络钓鱼攻击中利用微软零日漏洞

该漏洞存在于现已退役的Internet Explorer (IE)浏览器的MSHTML (Trident)引擎中，但即使IE被禁用或不是默认浏览器，它也可以在受害者的机器上被利用。【外刊-阅读原文】

优质文章

1. 打破传统思维 | 另一视角下的SSRF

SSRF，即Server-Side Request Forgery，是一种允许攻击者操纵服务器发送伪造请求的安全漏洞。攻击者通过篡改应用向URL发起的数据导入、发布或其他读取操作的请求，使之指向完全不同的地址，或者通过路径遍历等方式操控URL构建，从而达到访问内部资源的目的。【阅读原文】

2. 深入解析：Windows 提权技术全攻略

在信息安全领域，提权（Privilege Escalation）是指通过技术手段提升操作系统中用户的权限，从而获得更高的访问级别。这在渗透测试和攻击者的日常活动中是一个关键步骤。本文旨在详细介绍 Windows 提权的各种技术，帮助读者深入理解和掌握这些方法。【阅读原文】

3. 用户密码强度分析：59%的密码可以在一小时内被猜出

在大多数情况下，密码以哈希而非明文形式存储，这样攻击者就无法在发生泄露时使用它们。为了防止在彩虹表的帮助下猜到密码，密码存储时还会在哈希之前添加盐。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。