黑客团伙利用Python、Golang和Rust恶意软件袭击印国防部门；OpenAI揭秘，AI模型如何被用于全球虚假信息传播？ | 安全周报0531

巴黑客团伙利用Python、Golang和Rust恶意软件袭击印度国防部门！

与巴基斯坦有联系的Transparent Tribe组织已被确认与一系列新的攻击有关，这些攻击使用Python、Golang和Rust编写的跨平台恶意软件，针对印度政府、国防和航空航天部门。

“这一系列活动从2023年底持续到2024年4月，并预计将持续下去.”黑莓研究和情报团队在上周初发布的一份技术报告中说。

此次鱼叉式网络钓鱼活动还因滥用Discord、Google Drive、Slack和Telegram等热门在线服务而引人注目，这再次强调了黑客是如何将合法程序纳入其攻击流程的。

据黑莓称，基于电子邮件的攻击目标包括国防部生产部（DDP）的三个重要利益相关者和客户公司。这三家目标公司的总部都设在印度班加罗尔市。

虽然没有透露这些公司的名称，但有迹象表明，这些电子邮件的目标是印度斯坦航空有限公司（HAL），这是世界上最大的航空航天和国防公司之一；巴拉特电子有限公司（BEL），这是一家国有航空航天和国防电子公司；以及BEML有限公司，这是一家生产土方设备的公共部门企业。

关键词：Python、Golang、Rust、跨平台恶意软件、鱼叉式网络钓鱼、黑莓研究和情报团队、Discord、Google Drive、Slack、Telegram

来源：https://thehackernews.com/2024/05/pakistan-linked-hackers-deploy-python.html

OpenAI揭秘：AI模型如何被用于全球虚假信息传播？

OpenAI周四披露，他们已采取措施切断了源自伊朗、以色列和俄罗斯的五个隐蔽影响力行动（IO），这些行动试图滥用其人工智能（AI）工具来操纵网络上的公众舆论或政治结果，同时掩盖他们的真实身份。

这些活动在过去三个月中被发现，利用OpenAI的人工智能模型生成各种语言的简短评论和长篇文章，编造社交媒体账户的名称和个人简介，进行开源研究，调试简单的代码，以及翻译和校对文本。

这家人工智能研究机构表示，其中两个网络与俄罗斯的黑客有关，包括一个以前未记录的行动，代号为“Bad Grammar”，主要使用至少十几个Telegram账户，用俄语和英语向乌克兰、摩尔多瓦、波罗的海国家和美国的受众发布粗制滥造的内容。

“该网络使用我们在Telegram上的模型和账户建立了一个评论垃圾邮件传输管道，”OpenAI说，“首先，操作者使用我们的模型来调试显然是为自动化在Telegram上发布而设计的代码。然后，他们用俄语和英语生成评论，回复特定的Telegram帖子。”

操作者还利用其模型，以美国政治光谱两端的各种虚构人物的名义，生成评论。

另一个与俄罗斯有关的信息行动对应于多产的Doppelganger网络（又名“Recent Reliable News”），该网络今年3月早些时候因从事网络影响力行动而受到美国财政部外国资产控制办公室（OFAC）的制裁。

据说，该网络使用了OpenAI的模型，生成了英语、法语、德语、意大利语和波兰语的评论，并在X和9GAG上分享；将文章从俄语翻译成英语和法语，然后发布在该组织维护的虚假网站上；生成标题；并将发布在其网站上的新闻报道转化为Facebook帖子。

“这项活动针对欧洲和北美的受众，侧重于为网站和社交媒体生成内容，”OpenAI说，“这场运动在网上发布的大部分内容都集中在乌克兰战争上。它把乌克兰、美国、北约和欧盟描绘成负面形象，而把俄罗斯描绘成正面形象。”

其他li个活动集群如下：

一个名为国际虚拟媒体联盟（IUVM）的伊朗行动，该行动使用其AI模型生成和翻译英文和法文的长篇文章、标题和网站标签，随后在名为iuvmpress[.]co的网站上发布。

一个名为Zero Zeno的网络，源自以色列一家名为STOIC的商业情报公司雇佣的黑客，该公司使用其AI模型在Instagram、Facebook、X和其附属网站上生成和传播反哈马斯、反卡塔尔、亲以色列、反印度人民党和亲以色列工会的内容，针对加拿大、美国、印度和加纳的用户。“Zero Zeno行动还使用我们的模型，基于年龄、性别和位置等某些变量，为社交媒体创建虚构的角色和简介，并对在以色列公开发表关于以色列工会的评论的人进行研究，”OpenAI说，并补充说，其模型拒绝提供个人数据作为对这些提示的回应。

关键词：人工智能、AI模型、影响力行动、评论垃圾邮件、调试代码、

来源：https://thehackernews.com/2024/05/openai-meta-tiktok-disrupt-multiple-ai.html

紧急警告！CISA敦促修补被黑客利用的Linux内核大漏洞！

美国网络安全和基础设施安全局（CISA）周四将一个影响Linux内核的安全漏洞添加到已知被利用漏洞（KEV）目录中，并引用了该漏洞被积极利用的证据。

该高严重性漏洞编号为CVE-2024-1086（CVSS评分：7.8），与netfilter组件中的一个释放后使用（use-after-free）漏洞有关，该漏洞允许本地攻击者将权限从普通用户提升到root用户，并可能执行任意代码。

CISA表示：“Linux内核的netfilter：nf_tables组件中存在一个释放后使用的漏洞，该漏洞允许攻击者实现本地权限提升。”
Netfilter是Linux内核提供的一个框架，它允许以自定义处理程序的形式实现各种网络相关操作，以简化数据包过滤、网络地址转换和端口转换。

关键词：Linux Kernel、netfilter、Known Exploited Vulnerabilities (KEV) Catalog、CVE-2024-1086、CVSS Score、Local Privilege Escalation

来源：https://thehackernews.com/2024/05/cisa-alerts-federal-agencies-to-patch.html

警惕！网络罪犯利用Python包进行加密货币大盗！

网络安全研究人员发出警告，称在Python包索引（PyPI）存储库中发现了一个新的恶意Python包，这是一项更大规模活动的一部分，旨在窃取加密货币。

有问题的包是pytoileur，截至撰写本文时，该包已被下载316次。有趣的是，名为PhilipsPY的包作者在PyPI维护人员于2024年5月28日撤下先前的版本（1.0.1）后，上传了一个功能相同的新版本（1.0.2）。

根据Sonatype发布的分析，恶意代码嵌入在包的setup.py脚本中，允许它执行一个Base64编码的有效载荷，该有效载荷负责从外部服务器检索Windows二进制文件。

关键词：Python Package Index (PyPI)、恶意Python包、cryptocurrency theft（加密货币盗窃）、pytoileur、Base64编码

来源：https://thehackernews.com/2024/05/cybercriminals-abuse-stackoverflow-to.html