5月6日，星期六，您好！中科汇能与您分享信息安全快讯：

据了解，俄罗斯“沙虫”黑客组织与对乌克兰国家网络的攻击有关。在该网络攻击中，WinRAR 被用来破坏政府设备上的数据。

在一份新的通报中，乌克兰政府计算机应急响应小组 (CERT-UA) 表示，俄罗斯黑客使用未受多因素身份验证保护的受损 VPN 帐户访问乌克兰国家网络中的关键系统。一旦获得网络访问权，他们就会使用脚本来使用 WinRAR 归档程序擦除 Windows 和 Linux 机器上的文件。

近日，Apple 和 Google 联手推动采用新的行业标准，旨在阻止通过支持蓝牙的位置跟踪设备进行跟踪。两家科技巨头公布的新规范草案建议，制造可能启用不需要的跟踪的设备的供应商应该更容易在发生这种情况时提醒目标个人 。

苹果和谷歌在发布的协调新闻稿中表示：“首创的规范将允许蓝牙位置跟踪设备与跨 iOS 和安卓平台的未经授权的跟踪检测和警报兼容。”三星、Tile、Chipolo、eufy Security 和 Pebblebee 已表示支持该规范草案。如果他们选择将这些功能构建到他们的产品中，该规范将为制造商提供了最佳实践和说明。

这名名为 “neskafe3v1” 的研究员主动联系 BleepingComputer 媒体表示已接管超过14个 Packagist 包，其中一个包的安装量超过5亿次。Packagist 是 PHP 包的主要注册表，通过依赖管理工具 Composer 安装。

Packagist 并不会托管这些包而是充当元数据目录，将开源包发布到 GitHub 上。之后，开发人员可通过运行 composer install 命令在机器上安装这些包。

该研究员提供证据演示称，他在近日修改了这些包的 Packagist 页面并指向自己的（虚假）仓库而不是每个包的合法 GitHub 仓库。这些变化目前已被 Packagist 团队修正。

这三个漏洞位于适用于 Linux 和 Unix 平台的热门开源互联网路由协议套件 FRRouting 中。目前 FRRouting 用于多家厂商如 NVIDIA Cumulus、DENT和 SONiC 中，因此存在供应链安全风险。

Forescout Vedere 实验室对七种不同的 BGP 实现进行分析后发现了这些漏洞。这七种实现包括 FRRouting、BIRD、OpenBGPd、Mikrotik RouterOS、Juniper JunOS、Cisco IOS 和 Arista EOS。

BGP 是一种网关协议，旨在异步系统中交换路由和可达性信息，用于找到传播互联网流量的最有效路径。这三个漏洞包括：CVE-2022-40302、CVE-2022-40318、CVE-2022-40318。

全球有数十亿用户每天都在不同设备上使用密码作为应用系统的登录口令，虽然密码的重要性不容小觑，但糟糕的密码管理和使用方法比比皆是。据2022年《Verizon数据泄露事件报告》数据显示，超过80%的数据泄露是由于被窃取或破解的账户密码所引发，但很多用户并没有意识到潜在的危险。

企业面临的最大安全风险之一就是将不安全的密码技术作为身份验证的主要方法。在此背景下，包括微软、苹果和Google在内的领先科技厂商都在积极开发一种更先进的无密码登录技术和标准，以实现更高的安全性和保护性。而本次Passkey服务功能发布，则是替代传统密码验证技术的一个重要标志。

Microsoft Azure API管理服务中披露了三个新的安全漏洞，恶意行为者可能会滥用这些漏洞来访问敏感信息或后端服务。

据以色列云安全公司 Ermetic称，这包括两个服务器端请求伪造(SSRF)漏洞和一个API管理开发人员门户中的无限制文件上传功能实例：

通过滥用SSRF漏洞，攻击者可以从服务的CORS代理和托管代理本身发送请求，访问内部Azure资产，拒绝服务并绕过Web应用程序防火墙；通过文件上传路径遍历，攻击者可以将恶意文件上传到Azure托管的内部工作负载。

Apple为其Beats和AirPods产品发布了首个安全更新，以修补可被利用通过蓝牙攻击获取耳机访问权限的漏洞。

该缺陷被追踪为CVE-2023-27964，由谷歌ChromeOS的Yun-hao Chung和Archie Pusaka报告给了Apple。该漏洞被描述为身份验证问题。

“当您的耳机正在寻求与您之前配对的设备之一的连接请求时，蓝牙范围内的攻击者可能能够欺骗预期的源设备并获得对您耳机的访问权限，”Apple在其公告中解释道。

Facebook的母公司Meta发出警告称，黑客正在利用人们对ChatGP和其他生成式AI应用程序的兴趣，诱使他们安装假装提供AI功能的恶意软件。

自3月以来，Meta发现了大约10个恶意软件家族使用AI主题来破坏互联网上的商业账户——包括社交媒体商业账户——并阻止了1000多个独特的以 ChatGPT为主题的恶意URL在其平台上共享。

Meta在ChatGPT浏览器插件和生产力工具中检测到DuckTail和 NodeStealer 等恶意软件。

在2023年第一季度中，沃尔玛被评为最有可能被网络犯罪分子在品牌网络钓鱼攻击中冒充的品牌。

根据Check Point研究公司的最新品牌网络钓鱼报告，沃尔玛在上一季度的排名中“名列前茅”，占全球所有网络钓鱼事件的16%。世界各地都在受到网络钓鱼的侵扰，每天发送恶意电子邮件的数量更是惊人。

根据最近的网络钓鱼邮件统计数据，每天有高达34亿封网络钓鱼邮件被发送，相当于全球所有邮件发送量的1.2%。

国家计算机病毒应急处理中心和360公司近日联合发布了一份调查报告，揭秘了美国中央情报局利用网络攻击他国的相关情况，披露部分发生在中国和其他国家的网络安全典型案事件的具体过程，全面深入分析美国中央情报局的网络攻击窃密和相关现实危害活动，以及其对美国成为“黑客帝国”所做的贡献。

此次报告发布将为遍布全球的网络攻击受害者提供参考和建议。