在名为“RansomHouse”的暗网上出现了另一种数据勒索网络犯罪活动，威胁行为者发布被盗文件的证据并泄露拒绝支付赎金的组织的数据。

新行动声称不使用任何勒索软件，而是专注于通过所谓的漏洞来破坏网络以窃取目标的数据。

但是，他们不对自己的行为负责。相反，他们指责这些公司没有正确保护他们的网络，以及为漏洞披露提供的“小得离谱”的漏洞赏金奖励。

“我们认为，罪魁祸首不是发现漏洞或进行黑客攻击的人，而是那些没有妥善保护安全的人。罪魁祸首是那些没有把锁锁在门上的人，让门敞开着邀请所有人中，” RansomHouse 威胁参与者在他们的“关于我们”页面上写道。

“人们天生好奇，渴望了解他们感兴趣的对象。通常，公司会在负面背景、直接威胁或沉默中回应“大门敞开”的信息。在极少数情况下，人们可能会遇到感激之情和可笑的小额付款甚至连发烧友 5% 的努力都没有。”

定位您的数据
据信 RansomHouse 于 2021 年 12 月启动，其第一个受害者据称是 萨斯喀彻温省酒类和博彩管理局(SLGA)，该机构现已列在勒索网站上。

自本月启动该网站以来，攻击者又增加了另外三名受害者，最近的受害者是一家德国航空公司支持服务提供商，上周遭到袭击。

勒索仍在进行中的最新受害者名单
有趣的是，RansomHouse 为仍在积极勒索的受害者列出了媒体帖子的 URL，突出了他们攻击的公开性并将其用作额外的勒索方法。

如果受害者不向黑客支付赎金，他们的数据就会被出售给其他威胁参与者。如果没有人有兴趣购买它，那么被盗的数据集就会发布在 Tor 网站上。

宣布被盗数据出售给拒绝谈判的受害者
一个离奇的起源故事
RansomHouse 的起源故事有些奇怪，该组织首先在White Rabbit 赎金笔记中被提及，但演员坚称他们只与勒索软件团伙合作，并没有自己使用勒索软件。

在 Cyber​​int 今天发布的一份报告中，分析师发现 Telegram 在Lapsus$ gang Telegram 频道上发布了宣传 RansomHouse 的帖子。这表明威胁参与者同样有兴趣将数据出售给其他威胁参与者以及受害者。

RansomHouse 在 Lapsus Telegram (Cyber​​int)上发帖

因此，虽然 RansomHouse 的起源目前尚不清楚，但该组织并未作为一个完全独立的实体出现，而是来自其他威胁组织。

Cyber​​int 声称已经广泛检查了 RansomHouse 的核心成员与 Telegram 频道上其他威胁参与者的通信，并报告说看到了职业行为。

“他们在博客和各种 Telegram 频道上都彬彬有礼，不会卷入无关的讨论。此外，他们声称非常自由和支持自由。他们不想将商业和政治混为一谈，并宣布他们永远不会与激进的黑客活动家或间谍组织合作，” Cyber​​int的报告解释 道。

这使得 Cyber​​int 的分析师认为，RansomHouse 是由心怀不满的红队渗透测试人员发起的一个项目，他们厌倦了低赏金和糟糕的网络安全规划。

网络安全公司 Emsisoft 的威胁分析师Brett Callow就 RansomHouse 告诉ZZQIDC：

RansomHouse 平台据称被“俱乐部成员”使用，他们使用自己的工具进行攻击 - 据他们称，这些工具包括勒索软件，如白兔。但是，我怀疑他们的说法是不真实的，并且执行攻击的同一个人也在 RansomHouse 背后。

至于起源，曾打电话给媒体宣传袭击事件的 RansomHouse 代表说英语，听起来像是东欧口音。

然而，其他网络犯罪分子表示担心新的数据勒索项目可疑且不可信。

黑客论坛上的用户讨论新的泄密门户
(KELA)
加密因子
Cyber​​int 声称 RansomHouse 仅窃取数据并处理与其他骗子的谈判或销售。此外，新操作表示他们不使用勒索软件进行加密，因此勒索完全基于暴露被盗文件的威胁。

这可以解释为什么该组织之前声称它是各种勒索软件团伙的平台，包括白兔，实际上从事加密。

奇怪的是，“加密”一词出现在 RansomHouse Onion 网站上，表示受害组织已对其数据进行了加密，因此这部分是有争议的。

RansomHouse 主页
目前，这项新行动规模很小，只有四名受害者，ZZQIDC仍在验证中。

RansomHouse 是否会在短期内成为大规模的危险是值得怀疑的，但任何勒索门户的启动都应该成为所有网络和安全管理员的关注点。

安全研究人员透露，黑客甚至可以在您注册之前劫持您的在线帐户，方法是利用 Instagram、LinkedIn、Zoom、WordPress 和 Dropbox 等流行网站上已经修复的漏洞。

微软安全响应中心研究员 Andrew Paverd 和独立安全研究员 Avinash Sudhodanan 分析了 75 种流行的在线服务，发现至少有 35 种容易受到帐户预劫持攻击。

这些攻击的类型和严重程度各不相同，但它们都源于网站本身糟糕的安全实践。

由于一些易受攻击的网站运行漏洞赏金计划，令人惊讶和担忧的是，此类基本攻击仍然可能针对其用户。

“账户预劫持攻击的影响与账户劫持相同。根据目标服务的性质，成功的攻击可能允许攻击者读取/修改与账户相关的敏感信息（例如，消息、计费）声明、使用历史等）或使用受害者的身份执行操作（例如，发送欺骗性消息、使用保存的付款方式进行购买等）。” - A. Paverd，A. Sudhodanan。

劫持前的工作原理
为了使预劫持攻击起作用，黑客需要知道目标的电子邮件地址，这通过电子邮件通信或每天困扰公司的大量数据泄露相对容易。

接下来，攻击者使用目标的电子邮件地址在易受攻击的站点上创建一个帐户，并希望受害者忽略到达其收件箱的通知，将其视为垃圾邮件。最后，攻击者等待受害者在网站上创建帐户或间接诱骗他们这样做。

在此过程中，攻击者可以进行五种不同的攻击，即经典联合合并 (CFM)、未过期会话 (US) ID、木马标识符 (TID)、未过期电子邮件更改 (UEC) 和非验证身份提供者 (IdP) 攻击 (NV)。

在第一种情况下，CFM，当目标使用现有电子邮件地址创建帐户时，易受攻击的平台使用帐户合并，在某些情况下，甚至没有通知他们这一事实。这种攻击依赖于为受害者提供单点登录 (SSO) 选项，因此他们永远不会更改攻击者设置的密码。

在未过期会话攻击中，黑客在使用自动脚本创建帐户后保持会话处于活动状态。当受害者创建帐户并重置密码时，活动会话可能不会失效，因此攻击者可以继续访问该帐户。

木马标识符方法结合了Classic-Federated Merge和Unexpired Session攻击。

“攻击者使用受害者的电子邮件地址创建了一个预劫持帐户，然后将该帐户与攻击者的 IdP 帐户相关联以进行联合身份验证。当受害者重置密码时（如在未过期会话攻击中），攻击者仍然可以访问通过联合身份验证路由帐户，”该论文解释道。

在UEC 攻击中，攻击者使用受害者的电子邮件地址创建一个帐户，然后为该电子邮件提交更改请求，但未确认。然后，在受害者执行密码重置后，攻击者会验证更改并控制帐户。

最后，在NV 攻击中，威胁行为者利用在创建帐户时缺乏验证 IdP 的所有权，从而为滥用 Okta 和 Onelogin 等基于云的登录服务开辟了道路。

劫持前攻击方法 (arxiv.org)
绕过电子邮件验证步骤
当今的许多服务都要求新用户验证电子邮件地址的所有权，因此如果不访问电子邮件帐户，就无法使用其他人的电子邮件地址创建新帐户。

为了绕过这一点，攻击者可以使用他们的电子邮件地址创建帐户，然后切换到受害者的电子邮件地址，滥用大多数在线服务中可用的标准功能。

在某些情况下，该服务不需要对新电子邮件地址进行第二次验证，从而允许威胁参与者发起上述攻击。

结果和保护
研究表明，不同攻击的可用性相似，未过期会话问题是有限数据集中最常见的问题。

易受攻击平台的一些值得注意的例子是 Dropbox (UEC)、Instagram (TID)、LinkedIn（美国）、Wordpress.com（美国和 UEC）和 Zoom（CFM 和 NV）。

容易受到帐户预劫持的网站 (arxiv.org)
研究人员负责任地向平台报告了这些问题，其中许多平台在将它们归类为高严重性后修复了这些问题。

然而，重要的是要强调这些发现只涉及少数几个站点，并且应该有更多的站点遵循类似的糟糕安全做法。

这个安全问题子类别的主要问题和已识别漏洞的根本原因是缺乏严格的验证。

正如分析师解释的那样，这些有缺陷的系统背后的原因是所有在线平台都希望尽可能减少注册过程中的摩擦，这对账户安全产生了不利影响。

为了应对预劫持账户的风险，用户可以立即在他们的账户上设置 MFA（多因素身份验证），这也应该强制所有之前的会话失效。

诈骗者现在正在利用 Tinder 和 Grindr 等约会应用程序将自己伪装成身体虐待的前受害者，以赢得您的信任和同情，并向您出售虚假的“身份验证”服务。

ZZQIDC在网上约会应用程序上遇到了多个用户被鲶鱼资料访问的情况，这些用户要求这些用户通过购买这些服务来证明他们不是前性犯罪者。

编者注：有些读者可能会觉得这份报告的内容令人痛心，但像下面概述的这样的持续骗局促使 BleepingComputer 报告此案，以提醒大家。

被瘀伤、“殴打”的受害者接近的用户
在可以被描述为最邪恶的鲶鱼计划之一的情况下，Tinder 和 Grindr 等约会应用程序的用户正被吸引人的个人资料所吸引。

除了在这些情况下，随着谈话的进行，这个英俊的人声称他们是人身攻击和虐待的受害者；前约会击败了他们，并分享了证明这一说法的令人不安的照片。

其中一位差点上当受骗的人，迈克尔（化名）带着这些照片找到了ZZQIDC。

“我几乎成为了一个独特残忍的鲶鱼计划的受害者，”迈克尔告诉ZZQIDC。

迈克尔创建了一个 Tinder 个人资料并匹配了一个“美丽的跨性别女人”，用他的话来说，两人似乎很容易相处。

随着谈话的进行，一个新的引人注目的细节出现了。迈克尔正在与之聊天的女人要求他使用第三方服务来验证迈克尔不是前性犯罪者。

这位女士，而不是个人资料背后的人，声称她之前曾被殴打过，并分享了一些如下所示的令人痛心的照片，以敦促迈克尔接受请求。应该注意的是，由于其图形性质，BleepingComputer 模糊了下面的一些图像。

骗子自称是受虐受害者（ZZQIDCr）
请求很简单——让迈克尔导航到一个名为“GDAH”（全球性别歧视和骚扰安全）的网站并验证他的详细信息。

正如 BleepingComputer 所见，仍在运行的gdahglobal.com的主页指出，“您只需花费很少的时间即可保证您的安全和保障”。

该网站主要是一个登录页面，只有“注册”和“登录”按钮——页脚中的社交媒体图标无处可去：

具有最少 UI 元素的 GDAH 诈骗网站主页(ZZQIDC)
此外，注册过程要求用户提供他们的信用卡详细信息并支付象征性的 1.99 美元/2.99 欧元/2.99 英镑的费用来注册帐户。

“GDAH”服务声称针对已知的已注册罪犯数据库运行用户身份，但不清楚他们是否真的执行此服务，因为您在登录网站并了解更多信息之前被迫输入支付信息。

注册需要 2-3 美元的“捐款”（ZZQIDC）
BleepingComputer 试图与 GDAH 联系，但我们没有在任何网站页面上找到联系信息。

我们还试图追踪“推荐”部分中的一些夫妻。

反向图像搜索使我们找到了这些夫妇的库存照片 [ 1 , 2 ]，表明这些推荐是假的。

来自“阿德里安和萨曼莎”的推荐信包含一张库存图片（ZZQIDC）
超过六打域名，链接到塞浦路斯办公地址
通过ZZQIDC的进一步调查，我们发现了几个用户帐户，在 Grindr 和 Tinder 上，“受害者”以类似的方式访问了这些帐户，声称在约会前被“殴打”。

我们还遇到了几十个仍在运行的域，它们声称是在线安全和身份检查服务，并以类似的方式向用户收取相同的名义金额。

虽然这些网站实际上可能会提供广告服务，但没有证据或保证他们会这样做，而且其中许多网站没有列出联系信息，这肯定会在被这些约会资料引导的用户中引起怀疑。

用户中出现的一个问题是，如果这些网站不仅可能会骗您钱，还会窃取您的身份。

Reddit 用户raoulduke512陈述了他们是如何被“在他最后一次遇到 Grindr 时被‘殴打’的人接近的”，并导致了其中一项服务。

“当我问到这是一个骗局时，我注意到他的英语突然变得异常奇怪。当我指出该网站只是信用卡信息的门户时，我认为他开始输入另一个回复但随后被屏蔽几分钟后，” Redditor写道。

另一位用户报告收到“来自‘女孩’的短信，向我发送了此链接 [datesafeplaysafe.com]，以便能够与她‘联系’。”

几乎所有这些网站都使用相同的工作流程和引诱——一个收集信用卡详细信息的登录页面，以便为用户“注册”一项声称排除其性犯罪者身份的服务。

这些网站使用的支付门户声称是基于塞浦路斯的（ZZQIDC）
这些支付处理网站上列出的条款和条件揭示了一些更有趣的东西。用户显然正在使用以下会员选项注册定期订阅：

完全访问权限（39.99 欧元） 这使您可以完全访问网站和所有消息
有限的消息访问（19.99 欧元）此会员资格允许您浏览网站，但每月只能发送 5 次消息
高级消息（49.99 欧元） 这使您可以完全访问网站和高级消息
季度会员资格，完全访问权限（89.97 欧元）按 3 个月等额分期付款（29.99 欧元）计费 这允许您以折扣价在 3 个月内完全访问网站和所有消息。
因此，随着在线约会诈骗的增加，用户应该警惕试图引诱他们使用身份验证服务的个人资料，无论他们的故事听起来多么令人信服。

没有迹象表明这些网站的运营商实际上在做什么。据我们所知，除了通过让您注册“订阅”来向您的信用卡收取任意金额外，其中一些门户网站很可能是由试图收集和出售您的个人信息的行为者设置的。

当被骗子或可疑个人资料联系时，请按照Grindr和Tinder规定的步骤向平台报告可疑用户。

威胁行为者使用伪造的 Windows 概念验证漏洞攻击安全研究人员，利用 Cobalt Strike 后门感染设备。

这些攻击的幕后黑手利用了最近修补的 Windows 远程代码执行漏洞，这些漏洞被跟踪为 CVE-2022-24500 和 CVE-2022-26809。

当微软修补漏洞时，安全研究人员通常会在 GitHub 上分析修复并发布针对该漏洞的概念验证漏洞利用。

安全研究人员使用这些概念验证漏洞来测试他们自己的防御措施并推动管理员应用安全更新。

然而，威胁参与者通常使用这些漏洞来进行攻击或在网络内横向传播。

虚假 PoC 以信息安全社区为目标
上周，一名威胁参与者在 GitHub 上针对GitHub 上 的 Windows CVE-2022-24500 和 CVE-2022-26809 漏洞发布了两个概念验证漏洞利用。

这些漏洞被发布在名为“rkxxz”的用户的存储库中，该用户已被删除并删除了该帐户。

假 CVE-2022-24500 PoC 发布到 GitHub
就像发布 PoC 时经常发生的那样，消息在 Twitter 上迅速传播，甚至引起了在黑客论坛上发布有关它的威胁者的注意。

在黑客论坛上分享的假 PoC
然而，很快 就 发现这些概念验证漏洞是假的，并在人们的设备上安装了 Cobalt Strike 信标。

Cobalt Strike 是一种合法的渗透测试工具，威胁行为者通常使用它来破坏并在组织中横向传播。

在网络安全公司 Cyble 的 后续报告 中，威胁分析师分析了 PoC，发现它是一个 .NET 应用程序假装利用 IP 地址，实际上用后门感染了用户。

伪造的 CVE-2022-24500 PoC 漏洞利用演示
从 Cyble 与 BleepingComputer 共享的 PoC 去混淆样本中，我们可以看到假 PoC 启动 PowerShell 脚本，该脚本执行 gzip 压缩的 PowerShell 脚本 [ malshare | VirusTotal ] 将信标注入内存。

假 PoC 启动 PowerShell 脚本
这不是威胁行为者第一次针对漏洞研究人员和渗透测试者。

2021 年 1 月，朝鲜 Lazarus 黑客组织 通过社交媒体账户和零日浏览器漏洞攻击漏洞研究人员。

2021 年 3 月，朝鲜黑客再次以信息安全社区为目标， 创建了一家 名为 SecuriElite（位于土耳其）的虚假网络安全公司。

11 月，Lazarus 黑客利用 IDA Pro 逆向工程应用程序的木马化版本进行了另一次活动，该应用程序安装了 NukeSped 远程访问木马。

通过针对信息安全社区，威胁参与者不仅可以访问受害者可能正在进行的漏洞研究，而且还可能获得对网络安全公司网络的访问权限。

由于网络安全公司往往拥有有关客户的敏感信息，例如漏洞评估、远程访问凭据，甚至是未公开的零日漏洞，因此这种类型的访问对于威胁参与者来说可能非常有价值。

美国汽车制造商通用汽车透露，它是上个月撞库攻击的受害者，该攻击暴露了一些客户的信息，并允许黑客用奖励积分兑换礼品卡。

通用汽车运营一个在线平台，帮助雪佛兰、别克、GMC 和凯迪拉克汽车的车主管理他们的账单、服务和兑换奖励积分。

车主可以将 GM 奖励积分兑换为 GM 车辆、汽车服务、配件和购买 OnStar 服务计划

针对撞库攻击
通用汽车透露，他们在 2022 年 4 月 11 日至 4 月 29 日期间检测到了恶意登录活动，并确认黑客在某些情况下将客户奖励积分兑换为礼品卡。

“我们写信是为了跟进我们给您的 [DATE] 电子邮件，告知您涉及识别最近兑换您的奖励积分似乎未经您授权的数据事件，”发送给受影响客户的数据泄露通知解释说.

通用汽车表示，他们将为所有受此违规影响的客户恢复奖励积分。

但是，这些违规行为并不是通用汽车被黑客入侵的结果，而是由针对其平台上的客户的一波撞库攻击引起的。

凭据填充攻击是指威胁参与者使用在其他站点的数据泄露中泄露的用户名/密码组合集合来访问网站上的用户帐户。

“根据迄今为止的调查，没有证据表明登录信息是从通用汽车本身获得的，”通用汽车在另一份数据泄露通知中解释道

“我们认为，未经授权的各方获得了之前在其他非通用汽车网站上被泄露的客户登录凭证的访问权限，然后在客户的通用汽车账户上重复使用这些凭证。”

GM 要求受影响的用户 在再次登录他们的帐户之前重置他们的密码。

个人信息暴露

当黑客成功入侵 GM 帐户后，他们可以访问存储在该网站上的某些信息。此信息包括以下个人详细信息：

名字和姓氏，
个人电子邮件地址，
个人地址，
与帐户绑定的注册家庭成员的用户名和电话号码，
最后已知和保存的最喜欢的位置信息，
当前订阅的 OnStar 套餐（如果适用），
家庭成员的头像和照片（如果已上传），
个人资料图片，
搜索和目的地信息。
黑客入侵通用汽车账户时可获得的其他信息包括汽车里程历史、服务历史、紧急联系人、Wi-Fi 热点设置（包括密码）等。

但是，GM 帐户不包含出生日期、社会安全号码、驾驶执照号码、信用卡信息或银行帐户信息，因此这些信息没有被泄露。

除了重置密码外，通用汽车还建议受影响的个人向银行索取信用报告，并在案件需要时进行安全冻结。通知中附有有关如何操作的说明。

不幸的是，通用汽车的在线站点不支持双重身份验证，这会阻止撞库攻击成功。但是，可以添加客户必须用于所有购买的 PIN。

至于受影响的客户数量，通用汽车只向加州总检察长办公室提交了一份通知样本，因此我们只知道该州受影响的客户数量，也就是略低于 5,000家。

ZZQIDC已联系通用汽车以获取有关这方面的更多信息，我们将在收到回复后立即更新此帖子。

加密货币诈骗者正在使用 Elon Musk 和其他著名加密货币倡导者的深度伪造视频来宣传窃取存款货币的 BitVex 交易平台骗局。

这个假冒的 BitVex 加密货币交易平台声称归 Elon Musk 所有，他创建了这个网站，让每个人都能从他们的加密货币存款中获得高达 30% 的回报。

这个骗局活动于本月早些时候开始，威胁者创建或入侵现有的 YouTube 帐户，以托管 Elon Musk、Cathie Wood、Brad Garlinghouse、Michael Saylor 和 Charles Hoskinson 的深度伪造视频。

这些视频是使用深度伪造技术修改的合法采访，以在威胁参与者提供的脚本中使用该人的声音。

下面可以看到其中一个诈骗视频的示例，Elon 在其中推广了新的诈骗网站，并表示他向该平台投资了 5000 万美元。

然而，如果你仔细看，你会发现，deep fake 将人的谈话与威胁演员的剧本同步，这愚蠢到可笑。

我们怎么知道这是一个骗局？
虽然很明显，采访已经被修改为模仿 Elon Musk 的声音来宣传 BitVex 交易平台，但许多其他线索表明这是一个骗局。

许多宣传该交易平台的 YouTube 频道已被黑客入侵，以突然显示宣传 BitVex 交易网站的 YouTube 视频或 YouTube Shorts。

例如，一个播放阿拉伯语游戏视频的 YouTube 频道突然开始播放一系列宣传 BitVex 骗局的 YouTube 短片。此外，ZZQIDC还发现了数十个其他 YouTube 频道也被类似劫持以宣传这一骗局。

YouTube Shorts 在被黑的 YouTube 频道上宣传 BitVex
来源：BleepingComputer
一旦您访问 BitVex 交易网站本身，就会发现这是一个骗局。

例如，该网站声称 Elon Musk 是交易平台的首席执行官，并包含 Ark Invest 的 Cathie Wood 和 Binance 首席执行官赵长鹏的背书。

要使用 BitVex 平台，用户必须在bitvex[.]org或 bitvex[.]net注册帐户才能访问投资平台。

登录后，该网站将显示一个仪表板，您可以在其中存入各种加密货币、选择投资计划或提取您的收入。

与几乎所有加密货币骗局一样，仪表板将显示各种加密货币的最近提款，以使该网站看起来合法，如下所示。

显示提款的 BitVex 仪表板
来源：ZZQIDC
然而，这些提款是通过 JavaScript 创建的，随机选择五种不同的加密货币（卡尔达诺、以太坊、比特币、瑞波币或币安币）之一并随机生成提款金额。这些虚假提款在每次页面刷新时随机更改。

JavaScript 生成随机加密货币提取金额
来源：ZZQIDC
值得庆幸的是，该骗局似乎不太成功，ZZQIDC看到骗局的加密货币地址仅存入 1,700 美元。但是，这些地址很可能是轮换的，因此自骗局启动以来，它们可能会窃取更多信息。

下面列出了该骗局中使用的一些加密货币地址：

比特币- 16Ge7LhzpxHTSQLptSe4sptseVwDYU6gpN（赚取 1,280.82 美元）
比特币现金- qpkrguy6ralp0pux390fr7pz2ugpq90s3uach9m42j
以太坊- 0x1087d3584AB80df8d14B4D7d5A2091C3Bb55eF2F
系绳-TRh8zMBdcEEZdPBC6xkBmkd5SrpkRQEjWK
狗狗币- DDu1kVvtd9bc4jQ1uY7EUBBddmzTgjbsav
Polkadot - 16keizqPvkS3uQ4Cad9vPNoQhbstKNqJtTG1Uk8i6mY8JNTL
虽然很难相信人们会为这些骗局而堕落，但众所周知，虚假的加密货币赠品和投资计划可为威胁行为者带来数百万美元的收益。

2021 年 1 月，一个虚假的 Elon Musk 加密赠品骗局在短短一周内就赚了 58 万美元。

甚至最近， YouTube 上宣传的一个以 Ark Invest 为主题的骗局通过重新播放与 Ark Invest 的 Elon Musk、Jack Dorsey 和 Cathie Wood 进行的关于加密货币的旧现场小组讨论的编辑版本，偷走了 130 万美元。

这些骗局变得如此普遍和有利可图，以至于 FTC 发布了一份报告警告称，自 2020 年 10 月以来，加密货币投资骗局已经损失了 8000 万美元。

因此，必须认识到几乎每个加密赠品网站都是骗局，尤其是那些据称来自 Elon Musk、特斯拉、SpaceX、Ark Invest 和 Gemini 的承诺巨额回报的网站。

如果您在社交媒体上看到宣传此类赠品的电子邮件、推文、视频或其他消息，请记住，您发送的任何加密货币都不会产生任何回报。

不法分子可以通过使用 deepfakes 欺骗实时面部识别软件来轻松窃取他人的身份。

专注于解决身份欺诈的初创公司 Sensity AI 进行了一系列伪装攻击。工程师从身份证上扫描某人的图像，并将他们的肖像映射到另一个人的脸上。然后，Sensity 测试他们是否可以通过诱使他们相信假冒的攻击者是真实用户来破坏实时面部识别系统。

所谓的“活性测试”试图实时验证身份，例如依靠来自用于解锁手机的面部识别等摄像头的图像或视频流。十个供应商中有九个未能通过 Sensity 的实时深度伪造攻击。

Sensity 没有说出容易受到深度伪造攻击的公司的名字。Sensity 的首席运营官 Francesco Cavalli告诉The Verge：“我们告诉他们‘看起来你很容易受到这种攻击’，他们说‘我们不在乎’。 ” “我们决定发布它，因为我们认为，在企业层面和一般情况下，公众应该意识到这些威胁。”

活性测试是有风险的，特别是如果银行或美国税务机关，例如，将它们用于自动生物特征认证。然而，这些攻击并不总是容易实施。Sensity 在其报告中提到需要专门的手机来劫持移动摄像头并注入预制的 deepfake 模型。

PyTorch 开发人员可以很快在自己的 Apple 笔记本电脑上训练 AI 模型
较新版本的 Apple 计算机包含定制的 GPU，但 PyTorch 开发人员在训练机器学习模型时无法利用硬件的强大功能。

然而，随着即将发布的 PyTorch v1.12 版本的发布，这种情况将会改变。“与 Apple 的 Metal 工程团队合作，我们很高兴宣布支持在 Mac 上进行 GPU 加速的 PyTorch 培训，”PyTorch 社区本周在一篇博 文中宣布。

“到目前为止，Mac 上的 PyTorch 训练仅利用 CPU，但随着即将发布的 PyTorch v1.12 版本，开发人员和研究人员可以利用 Apple 硅 GPU 显着加快模型训练。” 新版本意味着 Mac 用户将能够在自己的设备上训练神经网络，而无需通过云计算服务租用计算资源。

一位发言人告诉The Register，最新的 PyTorch v1.12 预计将在“6 月下半月的某个时候”发布。

Apple 的 GPU 比其 CPU 更适合训练机器学习模型，因此更容易更快地训练更大的模型。

医学模型的假数据
美国健康保险提供商 Anthem 正在与 Google Cloud 合作，为机器学习模型构建合成数据管道。

巧克力工厂的人们将生成多达 2 PB 的虚假数据，模仿医疗记录和医疗保健声明。这些合成数据集将用于训练人工智能算法，这些算法可以更好地检测欺诈案件，并且比从患者那里收集真实数据造成的安全风险更小。

这些模型最终将分析真实数据，例如，可以通过自动检查人们的健康记录来寻找人们提出的欺诈性索赔。Anthem 的首席信息官 Anil Bhatt告诉华尔街日报：“越来越多……合成数据将超越并成为人们未来使用 AI 的方式。 ”

使用虚假数据可以避免隐私问题，也可以减少偏见。但专家此前告诉 The Register，这些人工样本并不总是适用于所有机器学习应用程序。

“在我们看来，合成数据模型最终将推动大数据能够提供的承诺，”谷歌云美国医疗保健与生命科学董事总经理 Chris Sakalosky 说。“我们认为这实际上将推动这个行业向前发展。”

前苹果人工智能总监离开 DeepMind
据报道，苹果公司的一位前机器学习主管因公司的重返工作岗位政策而辞职，他正在前往 DeepMind 工作。

Ian Goodfellow 领导了 iGiant 的秘密“特别项目组”，帮助开发其自动驾驶汽车软件。此前有报道称，在苹果公司要求员工从 5 月 23 日开始每周三天返回办公室后，他离开了。由于 COVID 病例的增加，该政策现已被推迟。

据彭博社报道，他将继续加入 DeepMind 。有趣的是，据报道，Goodfellow 将被这家总部位于英国的研究实验室聘为“个人贡献者”。他以发明生成对抗网络（一种通常用于生成 AI 生成图像的神经网络）以及帮助编写 2015 年出版的流行深度学习教科书而闻名。

Goodfellow 在苹果公司担任董事三年多，此前曾在谷歌和 OpenAI 担任人工智能研究员。

谷歌的威胁分析小组 (TAG) 表示，国家支持的威胁行为者使用五个零日漏洞来安装由商业监控开发商 Cytrox 开发的 Predator 间谍软件。

在这些攻击中，作为 2021 年 8 月至 2021 年 10 月之间开始的三个活动的一部分，攻击者使用针对 Chrome 和 Android 操作系统的零日漏洞利用在完全最新的 Android 设备上安装 Predator 间谍软件植入物。

Google TAG 成员 Clement Lecigne 和 Christian Resell 说：“我们高度自信地评估，这些漏洞是由一家商业监控公司 Cytrox 打包的，并出售给不同的政府支持的参与者，这些参与者至少在下面讨论的三个活动中使用了这些漏洞。” .

根据谷歌的分析，购买并使用这些漏洞利用间谍软件感染安卓目标的政府支持的恶意行为者来自埃及、亚美尼亚、希腊、马达加斯加、科特迪瓦、塞尔维亚、西班牙和印度尼西亚。

这些发现与CitizenLab 于 2021 年 12 月发布的关于 Cytrox 雇佣间谍软件的报告一致 ，当时其研究人员在流亡的埃及政治家 Ayman Nour 的电话中发现了该恶意工具。

Nour 的手机也感染了 NSO Group 的 Pegasus 间谍软件，根据 CitizenLab 的评估，这两种工具由两个不同的政府客户操作。

在针对 Android 用户的三个活动中利用零日漏洞
这些活动中使用的五个以前未知的 0-day 安全漏洞包括：

Chrome中的 CVE- 2021-37973、 CVE-2021-37976、 CVE-2021-38000、 CVE-2021-38003
Android 中的 CVE-2021-1048
威胁参与者在三个不同的活动中部署了针对这些零日漏洞的攻击：

活动 #1 - 从 Chrome 重定向到 SBrowser (CVE-2021-38000)
活动 #2 - Chrome 沙盒逃逸（CVE-2021-37973、CVE-2021-37976）
活动 #3 - 完整的 Android 0 天漏洞利用链（CVE-2021-38003、CVE-2021-1048）
“所有三个活动都通过电子邮件向目标 Android 用户提供了模仿 URL 缩短服务的一次性链接。这些活动是有限的——在每种情况下，我们评估的目标数量都是几十个用户，” 谷歌 TAG 分析师补充道。

“单击后，该链接会将目标重定向到攻击者拥有的域，该域在将浏览器重定向到合法网站之前传递了漏洞。如果链接不活跃，则用户被直接重定向到合法网站。”

这种攻击技术也被用来对付被告知他们是 政府支持的攻击目标的记者和其他 Google 用户。

间谍软件植入物使用 Android 银行木马删除
在这些活动中，攻击者首先安装了 带有 RAT 功能的Android Alien 银行木马 ，用于加载 Predator Android 植入程序，允许录制音频、添加 CA 证书和隐藏应用程序。

本报告是 2021 年 7 月对 2021 年在 Chrome、Internet Explorer 和 WebKit (Safari) 中发现的其他四个 0 天漏洞的分析的后续报告。

正如 Google TAG 研究人员透露的那样，与俄罗斯外国情报局 (SVR) 有关联的俄罗斯支持的政府黑客利用 Safari 零日漏洞攻击 属于 西欧国家政府官员的 iOS 设备。

谷歌 TAG 周四补充说：“TAG 正在积极跟踪 30 多家供应商，这些供应商具有不同程度的复杂性和公开曝光，向政府支持的参与者出售漏洞或监视能力。”

芝加哥公立学校的供应商 Battelle for Kids 在 12 月遭受勒索软件攻击后，芝加哥公立学校遭受了大规模的数据泄露，导致近 500,000 名学生和 60,000 名员工的数据泄露。

位于俄亥俄州的 Battelle for Kids 是一家非营利性教育组织，它分析公立学校系统共享的学生数据，以设计教学模型并评估教师表现。

Battelle for Kid 表示，他们 与 267 个学校系统合作，其项目已惠及超过 280 万学生。

芝加哥公立学校的大规模数据泄露
昨天，芝加哥公立学校 (CPS) 学区披露，12 月 1 日对 Battelle for Kids 的勒索软件攻击暴露了其学校系统中 495,448 名学生和 56,138 名员工的存储数据。

根据 CPS，学校系统与 Battelle for Kids 合作，上传学生课程信息和评估数据以供教师评估。

CPS 表示，存储在 Battelle for Kids 服务器上的数据是 2015 至 2019 学年的数据，并暴露了学生的个人信息和评估分数。

“具体来说，未经授权的一方获得了您孩子的姓名、出生日期、性别、年级、学校、芝加哥公立学校学生证号码、州学生证号码、有关您的学生所学课程的信息以及所使用的表演任务的分数用于 2015-2016、2016-2017、2017-2018 和/或 2018-2019 学年期间的教师评估，”CPS学生数据泄露通知解释说。

对于员工，威胁参与者可能会在 2015-2016、2016-2017、2017-2018 和/或 2018-2019 学年期间访问他们的姓名、学校、员工 ID 号、CPS 电子邮件地址和 Battelle for Kids 用户名。

CPS 表示，攻击中没有暴露任何社会安全号码、家庭住址、健康数据或财务信息。

CPS 正在为任何受影响的学生或工作人员提供免费的信用监控和身份盗用保护。 可以在学校系统创建的CPS 数据泄露页面上找到有关如何访问此免费信用报告的说明 。

超过四个月披露违规行为
4 月，俄亥俄州学区开始发布 数据泄露通知 ，警告学生和教职员工，他们的数据在针对 Battelle for Kids 的勒索软件攻击中暴露。

尽管 CPS 表示他们与 Battelle for Kids 签订的合同要求立即通知数据泄露，但他们在 4 个月后，即 2022 年 4 月 26 日才首次得知数据泄露事件。

然而，直到 5 月 11 日，他们才第一次了解到哪些特定的学生或教职员工的数据暴露了。

“我们的供应商 Battelle for Kids 告诉我们，延迟通知 CPS 的原因是 Batelle 通过独立的取证分析验证违规行为的真实性以及执法当局调查问题，”CPS 在其数据泄露页面上解释道。

虽然尚不清楚这次攻击背后的勒索软件团伙是什么，但所有组织都会在加密设备上留下勒索记录，其中包括电子邮件地址或勒索谈判网站的链接。

列出被盗数据的赎金记录示例
作为勒索过程的一部分，勒索软件团伙通常通过共享所有被盗文件夹的列表并有时共享单个文件作为证据来提供他们窃取数据的证据。

当受害者拒绝支付赎金时，威胁参与者公开披露他们攻击了受害者并开始泄露他们被盗的数据。

勒索软件团伙没有公开披露他们违反了 Battelle for Kids，这可能表明 Battelle for Kids 支付了赎金要求。

纽约市教育部在 3 月披露了类似但不相关的 数据泄露事件，供应商的网络攻击暴露了 820,000 名学生的数据。

ZZQIDC已就问题联系了 Battelle for Kids，但目前尚未收到回复。

本月中旬，众所周知，以 Match Group 为代表的流行约会服务 Tinder 的所有者起诉谷歌，指控这家 IT 巨头强迫使用其支付系统。现在众所周知，Match Group 撤回了索赔声明，理由是谷歌在使用第三方支付系统方面做出了某些让步。

本月早些时候，Match Group 起诉谷歌，声称这家科技巨头威胁说，如果该公司的应用程序使用第三方支付系统，就会将其从 Play 商店中删除。事实上，Android 应用程序中的第三方支付系统允许用户不必为每笔交易向 Google 支付 30% 的佣金。因此，谷歌正在强制应用程序开发者独占使用他们自己的支付系统。

现在众所周知，Match Group 已经放弃了自己的主张，因为谷歌做出了让步，因此该公司的应用程序不会从 Play 商店中删除，因为它为用户提供了以其他方式进行交易的机会。这笔交易的细节仍然未知，谷歌官员对这个问题不予置评。

请注意，Match Group 诉讼是在 Google 与 Epic Games 和数十名美国司法部长正在进行的诉讼的背景下提起的，他们指控这家 IT 巨头的反竞争行为。同时，Match Group 也对 App Store 的政策以及苹果对 iOS 应用程序的持续交易收取的费用表示担忧。