网络安全中的善、恶与丑——第25周

善 | 五角大楼加速AI应用以增强网络与战备能力

美国国防部（DoD）与OpenAI签署了一份价值高达2亿美元的合同，旨在为五角大楼开发前沿AI能力，这是政府现代化运营的重要一步。该合同由首席数字与人工智能办公室（CDAO）管理，该办公室目前领导美军全军的AI应用工作。CDAO成立于2022年，是五角大楼AI专业知识和创新的中心枢纽。

该合同是政府更广泛倡议的一部分，旨在负责任且有效地利用AI，以简化运营、减轻行政负担并加强国防。项目的核心包括开发原型代理工作流——半自主AI代理，设计用于执行重复性、耗时的任务，这些任务目前需要大量人力。这些AI工具将解放军事和文职人员，将注意力和时间重新投入到高价值工作中，以增强任务准备度。

这项工作建立在五角大楼先前AI工作的基础上，包括Task Force Lima，该工作组花费了一年多时间评估生成式AI在国防应用中的可靠性。随着DoD继续在其潜力上推进并实施保障措施，陆军正在积极使用AI筛选大量非结构化数据，如法规、野战手册和采购文件。值得注意的是，生成式AI已经在协助起草采购文书并将命令转化为军事援助行动的可执行任务。

这份合同标志着DoD对AI实用性的信心日益增强，并指向一个更大的趋势：联邦机构正在推进安全、精心治理的AI集成，以增强各政府机构的网络安全、数据管理和运营效率。

恶 | 新威胁组织“Water Curse”暴露武器化GitHub平台的风险

Water Curse是一个新识别的威胁集群，正在武器化GitHub存储库以分发多阶段恶意软件，伪装成渗透测试工具。尽管该集群尚未归因于任何已知行为者，但其活动被描述为隐秘且以财务为目标。

网络研究人员自2023年3月以来一直在跟踪该集群，注意到至少76个GitHub账户使用Visual Studio文件来隐藏有效载荷，如SMTP电子邮件轰炸器和名为Sakura-RAT的远程访问木马。这些有效载荷允许攻击者窃取凭据、浏览器信息和会话令牌等数据，同时在受感染系统上建立长期访问权限。

感染链始于高度混淆的Visual Basic脚本和PowerShell加载器，这些加载器下载包含恶意基于Electron的应用程序的加密存档。然后，这些应用程序进行系统侦察并使用反调试、权限提升和防御规避技术建立持久性。其他脚本用于削弱系统防御并防止恢复。

到目前为止，与Water Curse相关的基础设施和工具显示出对可扩展性、隐秘性和跨功能开发的关注。未知威胁行为者模糊了红队工具和实际恶意软件之间的界限，部署了从OSINT爬虫和游戏作弊工具到加密钱包工具和凭据窃取器的各种组件，所有这些都表明了一种多垂直货币化策略。尽管Water Curse与已知的分发即服务（DaaS）活动存在相似之处，但研究人员尚未确认直接联系。

威胁行为者继续悄悄利用受信任平台将恶意软件隐藏在显而易见的地方，将恶意工具嵌入看似合法的项目中。像Water Curse使用的这些策略不仅使检测复杂化，还突显了有效保护开发者生态系统和开源平台的必要性。

丑 | “Trinper”恶意软件活动中使用的零日漏洞凸显软件供应链风险

一个最近修补的Google Chrome漏洞在3月被名为TaxOff的威胁行为者利用，用于在目标系统上植入一个名为“Trinper”的隐秘后门。攻击始于网络钓鱼邮件，然后利用沙箱逃逸漏洞（CVE-2025-2783）绕过Chrome的防御，使TaxOff在初始链接之外无需点击或下载即可获得访问权限。

恶意软件使用C++编写，并利用多线程保持隐藏，同时捕获击键、收集文件和窃取数据。它与远程命令和控制（C2）服务器通信以执行命令、启动反向shell并扩展其功能。初始感染向量追溯到网络钓鱼邮件，所有这些邮件都包含指向托管漏洞利用的恶意网站的链接或带有启动PowerShell命令的快捷方式的ZIP文件，通常使用Donut或Cobalt Strike等加载器。

TaxOff于2024年底首次被报告，并一直使用金融主题和地缘政治诱饵针对国内组织。在最近代号为“ForumTroll”的行动中，网络钓鱼邮件冒充邀请参加高调俄罗斯论坛，将用户引导至托管漏洞利用的虚假网站。安全研究人员据称已发现该行动与可追溯到2024年10月的早期攻击之间的进一步联系，其中一些与另一个名为Team46的组织共享策略，增加了两者重叠的可能性。

攻击者反复使用零日漏洞和复杂后门表明了一种专注于持久性和隐秘性的长期策略。这些事件强调了继续利用软件供应链和广泛使用的平台通过受信任但易受攻击的入口点提供高级恶意软件的问题。