邮件人周报 Vol.22

周报

1. 乌克兰国家计算机应急响应小组发现俄罗斯背景的黑客组织 APT28 使用 AI 集成在恶意软件中发起网络攻击, 该恶意软件套件被命名为 LAMEHUG. 与其他恶意软件不同的地方在于 LAMEHUG 内部集成了通过 Hugging Face API 访问大型语言模型(Qwen 2.5-Coder-32B-Instruct)的功能, 这是第一个被公开记录的使用大型语言模型执行攻击任务的案例. 攻击被发现始于伪装成政府部门的电子邮件的附件, 恶意程序中包含一系列提示词, 指示语言模型通过侦测受害者的硬件和软件环境然后定制化生成恶意代码发起攻击. ^[1]
2. 雅虎邮箱Yahoo Mail上个月悄悄将免费账户的邮箱容量从 1TB 限制为 20GB, 并推荐受到影响的客户订阅它们的 Plus 付费计划, 当前定价为100GB/US$1.99/月和1TB/US$9.99/月. 对于这个决定雅虎没有高调宣传, 以至于主流的科技媒体都没有察觉, 一些用户表示雅虎这样做早有预谋, 很多使用了超过二十年雅虎邮箱的用户表示他们不得不删除大量邮件才能满足这一变化. ^[2]
3. Cloudflare 电子邮件安全团队发表文章报告对链接包装中间页的滥用分析, 被利用的链接中间页是安全供应商 Proofpoint 和 Intermedia 提供给客户用于扫描所有点击的外部链接的工具. 安全组件会将外部链接包装在这些中间页 URL 之中, 然后将其回传给安全供应商的服务器进行扫描检测, 然后根据结果执行重定向或是阻止重定向, 但是同样新的威胁 URL 也会尚未被记录或者未被检测出, 这使得攻击者有了可乘之机. 攻击者通过被盗用的启用了链接包装安全功能的邮箱账户发送恶意链接, 通过短链接和中间页多次包装来达到 "洗白" 恶意链接的目的, 而这些未被安全网关捕获的复杂包装链接邮件有时还会被安全网关添加可信的邮件内容标记, 这也进一步使受害者的警惕性下降. ^[3]
4. Microsoft 最近封禁了 LibreOffice 开发者 Mike Kaganski 的 Hotmail 账户, 理由是违反了服务协议(ToS), 没有给出任何具体的违禁内容和原因, 并且 Mike Kaganski 也无法联系到客户服务提出申诉, 因为联系客户服务被要求他登录一个无法访问的账户. ^[4]
5. 阿里安全团队在第 25 届 USENIX Security 会议上发表有关利用「畸形 X.509 证书」发起电子邮件证书攻击的研究成果, 这是针对 X.509 证书链解析和验证过程而专门伪造的恶意证书攻击 X.509DoS和针对 macOS 中证书处理实现漏洞而发起的 S/MIME 加密邮件攻击 Banana Mail. 这两个案例都会耗尽 SSL/TLS 客户端机器的资源, 导致邮件客户端崩溃甚至导致系统崩溃, 研究团队已经在主流的开源密码算法库中进行验证, 共计发现了 18 个新 CVE 和 12 个已知 CVE. ^[5]
6. 9to5Mac 文章重新介绍了一遍 21 年 iOS 15 时代 Apple 为 Apple Mail 用户推出的隐私保护功能, 这个功能启用后会在 Apple 的服务器自动处理电子邮件内容, 也就是提前 "帮" 用户打开一遍邮件加载其中的远程资源, 以避免其中的远程资源追踪真实用户的活动. 由于远程资源实际已经被缓存, 所以还能加速电子邮件的加载速度. 不过评论区有用户指出, 这个功能的缺点是发件人可以确切地知道电子邮件被打开过了, 即使是 Apple 代理访问的也表示背后是真实的用户, 这表明这个电子邮件地址是有效的, 可能会招致更多的垃圾邮件. ^[6]
7. 国家互联网应急中心发表安全案例动态, 表示近年美国情报机构重点对境内军工, 科研院校和企业发起攻击, 手段更加隐蔽. 其中一例是 2020 利用 Microsoft Exchange Server 发起的 0day 漏洞攻击, 攻击者利用多个境外跳板对某一军工企业发起攻击, 控制了域控制服务器, 并对企业中的 50 多台重要设备持续控制近 1 年时间. ^[7]

注释