网络安全中的好、坏与丑 – 第25周

The Good | 五角大楼加速AI应用以增强网络与作战战备能力

美国国防部（DoD）与OpenAI签署价值高达2亿美元的合同，为五角大楼开发前沿AI能力，由数字与人工智能首席办公室（CDAO）管理。CDAO成立于2022年，是五角大楼AI专业知识和创新的核心枢纽。

该合同是政府更广泛计划的一部分，旨在负责任且有效地利用AI来简化操作、减轻行政负担并加强国防。项目的核心包括开发原型代理工作流——半自主AI代理，用于执行当前需要大量人力的重复性、耗时任务。这些AI工具将解放军事和文职人员，使其将注意力和时间重新投入到高价值工作中以增强任务战备能力。

该努力建立在五角大楼先前AI工作的基础上，包括Task Force Lima，该小组花费超过一年时间评估生成式AI在国防应用中的可靠性。随着DoD继续在其潜力上投入，并采取保障措施，陆军正在积极使用AI筛选大量非结构化数据，如法规、野战手册和采购文件。值得注意的是，生成式AI已经在协助起草采购文书并将命令转化为军事援助行动的可执行任务。

该合同标志着DoD对AI实用性的信心日益增强，并指向一个更大的趋势：联邦机构正在推进安全、精心治理的AI集成，以增强各政府机构的网络安全、数据管理和运营效率。

The Bad | 新型威胁组织“Water Curse”暴露武器化GitHub平台的风险

Water Curse是一个新识别的威胁集群，正在武器化GitHub存储库分发多阶段恶意软件，伪装成渗透测试工具。虽然该集群尚未归因于任何已知行为者，但其活动被描述为隐秘且具有经济动机。

网络安全研究人员自2023年3月以来一直在跟踪该集群，注意到至少76个GitHub账户使用Visual Studio文件隐藏有效载荷，如SMTP电子邮件炸弹和一个名为Sakura-RAT的远程访问木马。这些有效载荷允许攻击者窃取凭据、浏览器信息和会话令牌等数据，同时在受感染系统上建立长期访问权限。

感染链始于高度混淆的Visual Basic脚本和PowerShell加载器，这些加载器下载包含恶意基于Electron的应用程序的加密存档。然后这些应用程序进行系统侦察并使用反调试、权限提升和防御规避技术建立持久性。额外的脚本用于削弱系统防御并防止恢复。

迄今为止，与Water Curse相关的基础设施和工具显示出对可扩展性、隐秘性和跨功能开发的关注。未知威胁行为者模糊了红队工具和实际恶意软件之间的界限，部署了从OSINT爬虫和游戏作弊工具到加密货币钱包工具和凭据窃取器的各种组件，所有这些都表明了一种多垂直货币化策略。虽然Water Curse与已知的分发即服务（DaaS）活动存在相似之处，但研究人员尚未确认直接联系。

威胁行为者继续悄悄利用受信任平台将恶意软件隐藏在显而易见的地方，将恶意工具嵌入看似合法的项目中。像Water Curse使用的这类战术不仅使检测复杂化，还突显了有效保护开发者生态系统和开源平台的必要性。

The Ugly | “Trinper”恶意软件活动中使用的零日漏洞凸显软件供应链风险

一个最近修补的Google Chrome漏洞在3月被一个名为TaxOff的威胁行为者利用，用于在目标系统上植入一个名为“Trinper”的隐秘后门。攻击始于网络钓鱼邮件，然后利用沙箱逃逸漏洞（CVE-2025-2783）绕过Chrome的防御，使TaxOff在初始链接之外无需点击或下载即可获得访问权限。

该恶意软件使用C++编写，并利用多线程保持隐藏，同时捕获击键、收集文件和窃取数据。它与远程命令和控制（C2）服务器通信以执行命令、启动反向shell并扩展其能力。初始感染向量追溯到网络钓鱼邮件，所有这些邮件都包含指向托管漏洞利用的恶意网站的链接或带有启动PowerShell命令的快捷方式的ZIP文件，通常使用Donut或Cobalt Strike等加载器。

TaxOff于2024年底首次被报告，并一直使用金融主题和地缘政治诱饵针对国内组织。在最近代号为“ForumTroll”的行动中，网络钓鱼邮件冒充邀请参加高调俄罗斯论坛，将用户引导至托管漏洞利用的虚假网站。安全研究人员据称随后发现了该行动与可追溯到2024年10月的早期攻击之间的进一步联系，其中一些与另一个名为Team46的组织共享战术，增加了两者之间重叠的可能性。

攻击者反复使用零日漏洞和复杂后门表明了一种专注于持久性和隐秘性的长期策略。这些事件强调了继续利用软件供应链和广泛使用的平台通过受信任但脆弱的入口点提供高级恶意软件的情况。