新闻速览

•美国海关执法局间谍软件合同被叫停，将接受白宫审查

•澳大利亚发布首份商业AI产品使用隐私指南

•北京市新增12款已完成备案的生成式人工智能服务

•《网络安全标准实践指南》文件管理办法、标准参与单位管理办法等2项制度文件印发

•黑客兜售1.45TB美军机密数据，声称已掌握美太空军尖端技术信息

•新兴恶意软件加载器Latrodectus正成为网络攻击者的新宠

•重磅交易！Sophos拟斥资61亿溢价收购威胁检测厂商Secureworks

•新型AI工具Vulnhuntr实现大规模零日漏洞自动化检测

热点观察

美国海关执法局间谍软件合同被叫停，将接受白宫审查

据美国《连线》杂志报道，美国移民海关执法局（ICE）与以色列商业间谍软件供应商Paragon Solutions公司签署的一份价值200万美元服务合同已被紧急暂停，并开始接受白宫的合规审查。这也是拜登政府发布限制政府机构使用间谍软件行政令后的首次实际考验。

9月27日，Paragon美国子公司与ICE签署了一份为期一年的间谍软件服务合同。10月8日，国土安全调查局发布了暂定决定，要求审查和核实该合同遵守是否符合14093号行政令的相关要求。拜登政府所签署的这项行政令旨在限制美国政府对商业间谍软件技术的使用，并倡导负责任的使用，符合保护人权的要求。国土安全部（DHS）尚未确认该合同是否包括Paragon的旗舰产品Graphite。这是一种强大的间谍软件工具，报道称其主要从云备份中提取数据。

当前，国际社会对商业间谍软件的监管努力正在加速。10月11日，在第57届人权理事会会议上，联合国成员国达成共识，要采用行动消除商业间谍软件滥用对民主价值观以及人权和基本自由的威胁。

原文链接：

https://www.wired.com/story/ice-paragon-contract-white-house-review/

澳大利亚发布首份商业AI产品使用隐私指南

澳大利亚信息专员办公室（OAIC）于10月21日正式发布了首份商用AI产品使用的指南规范。该规范详细解释了企业在现成的AI产品（聊天机器人、生产力工具和图像生成器等）中使用个人信息时应尽的义务。文件概述了针对AI产品部署生命周期中的几个关键考量因素的最佳实践，包括AI产品的选择、使用AI产品时遵循隐私设计原则、使用AI产品时的透明度要求，以及使用AI时的数据隐私和准确性风险。

对于使用AI的组织，该规范提出了五大隐私保护建议：

1. 明确了隐私保护要求适用于输入到AI系统中的任何个人信息，以及AI生成的任何个人信息输出数据。
   
2. 企业应更新隐私政策和通知，阐明AI使用方面的信息，确保任何面向公众的AI工具在对外用户（如客户）中明确标识；
3. 用于生成或推断个人信息的AI系统被认为是在收集个人信息，必须遵守澳大利亚隐私原则指导方针的相关要求；
4. 组织应尽量减少在面向公众的AI工具中输入个人和敏感信息；
5. 如果个人信息被输入到AI系统中，实体仅可在收集信息的主要目的下使用或披露该信息，除非获得同意或能够证明次要用途是个体合理预期的，并且与主要目的相关。

原文链接：

https://www.infosecurity-magazine.com/news/australia-privacy-guidance-ai/

北京市新增12款已完成备案的生成式人工智能服务

根据《生成式人工智能服务管理暂行办法》，截至10月21日，北京市新增12款已完成备案的生成式人工智能服务，累计已完成94款生成式人工智能服务备案。

《生成式人工智能服务管理暂行办法》明确要求，已上线的生成式人工智能应用或功能，应在显著位置或产品详情页面，公示所使用已备案的生成式人工智能服务情况，注明模型名称、备案编号。

原文链接：

https://mp.weixin.qq.com/s/6tukMTdZgj2jCksAxNnkkw

《网络安全标准实践指南》文件管理办法、标准参与单位管理办法等2项制度文件印发

为了落实全国网络安全标准化技术委员会2024年度工作要点，网安标委秘书处组织对《全国网络安全标准化技术委员会<网络安全标准实践指南>文件管理办法》、《全国网络安全标准化技术委员会标准参与单位管理办法》等2项委员会制度文件进行了修订。日前，文件正式印发，相关标准工作组及成员单位需认真遵照执行。

制度文件链接：

https://mp.weixin.qq.com/s/b8CdnyhVvoPhchImBhkBWQ

网络攻击

黑客兜售1.45TB美军机密数据，声称已掌握美太空部队尖端技术信息

日前，一个自称为“TAINTU”的黑客组织正在暗网上大肆兜售一份“美国太空部队军事技术档案”，声称其中包含关于先进太空防御系统和人工智能武器的机密数据。该黑客提供的文件大小为1.45TB，标价为1.5万美元，接受比特币（BTC）或门罗币（XMR）支付。

该条销售广告最初于10月19日在数据泄露和网络犯罪平台Breach Forums上发布，但同一天便被删除。不过黑客表示，数据仍可通过地下渠道出售，原因是Breach Forums上的用户缺乏“认真态度”。

黑客所发布的数据样本显示，文件含有20多份技术PDF报告，涵盖卫星通信加密、电磁脉冲防御和人工智能瞄准系统。其中似乎包含美国太空部队的机密信息，详述了先进的军事技术、太空武器系统、未来研发和模拟战斗场景。这些数据还包括来自美国太空部队正在开展的研发计划的深入技术分析、项目文件和系统图，重点是下一代轨道防御。被问及数据泄露是否涉及第三方承包商时，黑客声称这是“直接从美国太空部队泄露的数据”，不涉及第三方公司。

原文链接：

https://hackread.com/hacker-advertise-secret-us-space-force-military-tech-archive/

新兴恶意软件加载器Latrodectus正成为网络攻击者的新宠

近几个月，恶意软件加载器Latrodectus在网络攻击活动中越来越猖獗。该软件加载器又叫BlackWidow、IceNova或Lotus，于2023年11月首次出现在与TA577组织相关的攻击活动中，自12月以来还出现在另一个组织TA578的攻击活动中。

攻击者使用受感染的电子邮件账户发送含有PDF附件的钓鱼邮件。另一条感染链是附有HTML附件而不是PDF附件的钓鱼邮件。页面打开后，它伪装成Word文档弹出窗口，通知用户文档无法正确离线显示，并提供解决方案按钮。一旦用户点击该按钮，就会调用PowerShell，并执行下载DLL攻击载荷的脚本。

Latrodectus恶意软件加载器的出现填补了IcedID等主要恶意软件分发僵尸网络被打击后留下的空白。今年，全球执法机构已破获多个用于勒索软件团伙的主要僵尸网络，但当这些大玩家从网络犯罪生态系统中消失时，新的恶意软件迅速崛起，Latrodectus就是其中之一。

根据安全公司Forcepoint的最新报告，Latrodectus使用混淆、加密和其他复杂的检测规避技术。其功能包括收集系统信息、建立后门、执行远程命令和从系统中提取数据。研究人员观察到的一个名为cmd_run_icedid的命令，旨在下载并执行IcedID加载器的副本，进一步与曾是多个勒索软件家族载体的恶意软件建立联系。

原文链接：

https://www.csoonline.com/article/3570919/meet-latrodectus-initial-access-brokers-new-favorite-malware-loader.html

新型Spectre漏洞变种持续威胁Intel和AMD处理器安全性

苏黎世联邦理工学院的研究人员近日在英特尔和AMD处理器中发现了该漏洞的新型变种。新的Spectre变种被命名为“Post-Barrier Spectre（后屏障Spectre）”，允许攻击者绕过关键的安全屏障，访问哈希密码等敏感信息，即使芯片厂商之前已采取了防止此类攻击的措施。这一漏洞影响了多款Intel处理器，包括第12、13和14代Intel Core处理器以及第5和第6代Intel Xeon处理器。

Spectre是现代处理器设计中的一个安全漏洞，利用了投机执行这一性能特性，处理器预测即将执行的任务并提前执行。虽然这加快了处理速度，但如果攻击者能够强迫处理器访问越界内存，可能暴露出密码或加密密钥等机密信息。自2018年首次披露以来，Spectre漏洞一直是硬件制造商和软件开发者面临的挑战。

研究人员指出，该漏洞变种由间接分支预测屏障（IBPB）的弱点导致，这一防御机制原本为了保护免受Spectre v2攻击而引入的。尽管Intel和AMD已经努力修复之前的漏洞，但研究人员仍然能够绕过IBPB获取到敏感数据，例如来自suid进程的根密码哈希。

尽管Intel和AMD已采取措施应对这一问题，但新攻击方法的发现表明，Spectre攻击仍然是一个重大隐患，要完全消除该漏洞风险可能需要更全面的硬件重新设计。

原文链接：

https://www.csoonline.com/article/3573888/spectre-flaw-still-haunts-intel-and-amd-chips-putting-security-at-risk.html

产业观察

重磅交易！Sophos拟斥资61亿溢价收购威胁检测厂商Secureworks

英国网络安全企业Sophos日前宣布，计划以8.59亿美元（约合人民币61亿元）收购Secureworks，将其包括扩展检测和响应（XDR）在内的威胁检测、情报等技术整合到现有的安全平台中。此次交易对Secureworks的估值为每股8.50美元，较其90天成交量加权平均价溢价28%。

Sophos要提供保护员工设备、服务器和其他系统免受黑客攻击的软件。此外，Sophos还提供网络风险管理服务业务，帮助企业扫描基础设施漏洞并检测黑客攻击尝试。Secureworks是纳斯达克上市企业，主要产品是名为Taegis的三个网络安全应用程序工具，包括帮助企业发现基础设施漏洞、检测服务器和员工笔记本电脑等系统的黑客活动，以及发现恶意网络流量。截至今年8月初，该公司的全球客户数量约为2000家。

Sophos公司表示，本次收购将以全现金交易方式进行，预计将在2025年初完成。两家公司都是“以合作伙伴为中心”的供应商，合并的预期结果是为渠道及客户创造“更大的价值”。

原文链接：

https://www.crn.com/news/security/2024/sophos-to-acquire-secureworks-for-859m-in-major-security-consolidation-deal

新型AI工具Vulnhuntr实现大规模零日漏洞自动化检测

一款名为Vulnhuntr的新AI工具，有望彻底改变当前开源项目的漏洞检测方式。这个创新的工具能够利用大语言模型（LLM）的强大功能，以前所未有的效率和准确性发现并解释复杂的多步骤漏洞，包括远程利用的零日漏洞。Vulnhuntr由Protect AI开发，已经在发现GitHub上热门项目的漏洞方面取得重大进展。

仅仅运行几小时后，Vulnhuntr就发现了十多个零日漏洞，包括全面的远程代码执行（RCE）漏洞。其他发现的安全隐患还包括gpt_academic、ComfyUI、FastChat和Ragflow等项目中的漏洞。

Vulnhuntr的主要特点在于它能够将代码分解成易于管理的小块，而不是将多个完整的文件扔给LLM去处理。这种方法便于对代码库执行精准扫描，大大减少误报漏报。通过分析和重新分析代码，Vulnhuntr绘制了从用户输入到服务器输出的整条路径，为每个漏洞提供了详细的最终分析、概念验证漏洞利用代码和置信度评级。

据介绍，目前该工具主要专注于检测一些特定的高危零日漏洞，包括LFI、AFO、RCE、XSS、SQLi、SSRF和IDOR。虽然Vulnhuntr存在局限性，例如目前仅支持Python并专注于影响较大的可远程利用漏洞，但其潜力巨大。该工具能够创建并逻辑理解用户输入的整个调用链，相较于当前一代静态代码分析器，具有显著的改进。

希望测试Vulnhuntr的用户，可在https://huntr.com上获取。这是一个帮助保护快速发展的开源AI生态系统的AI漏洞赏金计划。

原文链接：

https://cybersecuritynews.com/vulnhuntr-ai-tool-to-discover-0-days/