1、发现针对iPhone 

的以色列 QuaDream 间谍软件

近日，多伦多大学公民实验室和微软发表研究报告，披露了以色列间谍软件公司 QuaDream 利用零点击漏洞入侵 iPhone。

ENDOFDAYS 漏洞存在回溯和“隐形 iCloud 日历邀请”中，影响 2021 年 1 月至 2021 年 11 月期间运行 iOS 1.4 至 14.4.2 的 iPhone。

利用这一漏洞，攻击者可以在用户 iOS 设备上收到带有回溯时间戳的 iCloud 日历邀请时，不经任何提示将间谍软件自动添加到日历中。

根据 Citizen Lab 的分析，该间谍软件能在没有任何交互的情况下运行，且其具备广泛的功能：

• 从电话中录制音频

• 从麦克风录制音频

• 通过设备的前置或后置摄像头拍照

• 从设备的钥匙串中泄露和删除项目

• 劫持手机的 Anisette 框架并挂钩 gettimeofday 系统调用以生成任意日期的 iCloud 基于时间的一次性密码 (TOTP) 登录代码。我们怀疑这用于生成对未来日期有效的双因素身份验证代码，以促进直接从 iCloud 持续泄露用户数据

• 在手机上的 SQL 数据库中运行查询

• 清除零点击漏洞可能留下的残留物

• 跟踪设备的位置

• 执行各种文件系统操作，包括搜索与指定特征匹配的文件

  
  

截止目前，Citizen Lab 研究人员表示，已经发现北美、中亚、东南亚、欧洲和中东等多个地区的记者、政治反对派人士和一些非政府组织工作人员遭遇攻击。

https://www.bleepingcomputer.com/news/security/iphones-hacked-via-invisible-calendar-invites-to-drop-quadream-spyware/

2、攻击者正在使用

 CVE-2023-28252漏洞部署勒索软件 

3、Mandiant 公司证实朝鲜黑客是

3CX 供应链攻击的幕后黑手

IP 语音软件提供商 3CX 已确认最近的供应链攻击与朝鲜黑客有关。 

3CX 聘请了谷歌旗下的网络安全公司 Mandiant 来调查上个月对其 Windows 和 macOS 用户的大规模供应链攻击。

近日，Mandiant 发布报告称：“根据 Mandiant 迄今为止对 3CX 入侵和供应链攻击的调查，幕后攻击者是一个名为 UNC4736 的集群。”

https://www.bleepingcomputer.com/news/security/3cx-confirms-north-korean-hackers-behind-supply-chain-attack/

4、比利时人力资源巨头SD Worx 

因遭遇网络攻击关闭大量IT系统

比利时人力资源和薪资巨头 SD Worx因遭受网络攻击，关闭了其英国和爱尔兰服务的所有 IT 系统。

SD Worx 是一家位于比利时的欧洲人力资源和薪资管理公司，为 82,000 多家公司的 520 万名员工提供服务，管理大量敏感数据，包括税务信息、政府身份证号码、地址、全名、出生日期、电话号码、银行帐号、员工评估等。

虽然没有关于该公司遭受何种类型网络攻击的进一步信息，但相关客户担心敏感数据在攻击期间被盗。

https://www.bleepingcomputer.com/news/security/sd-worx-shuts-down-uk-payroll-hr-services-after-cyberattack/

 5、OpenAI发布漏洞赏金计划 

AI 研究公司 OpenAI 今天宣布启动一项新的漏洞赏金计划，允许注册安全研究人员发现其产品线中的漏洞，并通过 Bugcrowd 众包安全平台报告漏洞并获得报酬。

正如该公司今天透露的那样，赏金是根据所报告问题的严重性和影响而定的，奖励范围从针对低严重性安全漏洞的 200 美元到针对特殊发现的 20,000 美元不等。

https://securityaffairs.com/144707/security/openai-launched-bug-bounty-program.html

6、人工智能工具

如何在几秒钟内破解你的密码

安全专家发现，在 AI 的帮助下，常见密码可以在不到一分钟的时间内被破解。

为了确定通过人工智能破解 15,600,000 个常用密码需要多长时间，安全专家 使用了一种名为 PassGAN （名称由来：“密码”和 GAN（生成对抗网络）的组合）的人工智能工具，可以帮助攻击者更快、更准确地破解密码。

专家发现，在AI的帮助下，其中 81% 的密码可以在一个月内破解，71% 的一天内破解，65% 的一小时内破解，51% 的密码不到一分钟内破解。

密码的长度和复杂性都会影响破解的难度。PassGAN 只用了六分钟就算出了一个七个字符的、包含大小写字母、数字和符号的密码，只用了三分钟就确定了一个只有数字的 13 个字符密码。

正如预期的那样，结合了长度和复杂性的密码是最安全的。一个包含所有不同类型字符的九字符密码需要五年才能破解，而一个只有数字的 18 字符密码需要 10 个月才能破解。一个有 18 个字符和所有不同类型的字符将需要 6 个 quintillion 年。

https://www.zdnet.com/article/how-an-ai-tool-could-crack-your-passwords-in-seconds/