网络安全周报第40期：加密货币大案、路由器漏洞与AI三重威胁

好消息 | 英国定罪“比特币女王”，完成史上最大加密货币收缴

本周，英国法院在经过7年追查后，正式定罪加密货币诈骗犯钱志敏（又名张雅迪）涉嫌获取和持有犯罪财产，并成功收缴价值73亿美元的被盗加密资产。

这位47岁的中国籍嫌疑人通过2014至2017年间实施的数十亿美元诈骗计划获利，她以承诺100-300%回报为诱饵，诱使约13万名不知情受害者投资所谓的“数字黄金”。

被称为“比特币女王”的钱志敏在2017年中国当局开始调查后，使用假护照逃往英国。随后她通过同伙温简（42岁女性）试图洗钱，温简协助其购置房产、珠宝等高价值资产。

2018年，当局从钱志敏和温简的伦敦住所查获多台数字设备，但直到2021年才发现这些设备中的数字钱包存有61,000枚比特币，当时价值约10亿美元。温简于2022年被捕并于2024年被定罪，钱志敏则在2024年4月落网，其量刑将于下月宣布。

关于收缴资金的处置仍存争议，因为比特币当前价值已远超受害者的投资金额。英国政府和中国受害者代表均在寻求赔偿。

坏消息 | 黑客利用Milesight路由器向用户发送钓鱼短信

最新研究表明，自2022年起，多个威胁组织可能一直在利用Milesight蜂窝路由器中的未修补漏洞，向多个国家用户发送短信钓鱼（Smishing）信息。虽然该漏洞（CVE-2023-43261）的补丁已于2023年发布，但分析显示许多未修补设备仍可从公共互联网访问。

研究人员表示，攻击者一直在利用易受攻击的路由器发送大量冒充政府服务、银行和快递公司的短信。受害者会收到看似合法的文本，敦促他们点击恶意链接，这些链接会重定向到针对移动设备优化的钓鱼页面。

该攻击得以实现是因为该漏洞允许任何人通过API调用访问暴露路由器上的日志消息。日志包含加密的管理员凭据，攻击者可以使用在客户端JavaScript中找到的硬编码AES密钥解密这些凭据，然后使用这些凭据进行进一步的API调用认证。

研究人员还认为可能存在其他漏洞，因为他们注意到许多暴露设备运行着具有其他已知漏洞的过时固件。

对目标电话号码的分析表明，欧洲是短信钓鱼活动的主要受影响区域，比利时是重点目标；但在澳大利亚、土耳其、新加坡甚至北美也观察到了易受攻击的设备。在其中一次活动中，使用域名disney[.]plus-billing[.]sbs并引用付款问题的短信诱饵敦促收件人点击恶意链接。

观察到了多种语言的钓鱼消息，包括法语、意大利语和英语。研究人员认为，不同的威胁组织针对同一易受攻击的基础设施开展了多次活动。

易受攻击的蜂窝路由器为威胁行为者提供了有吸引力的目标，使他们能够大规模发送消息而不会被标记为恶意。提醒个人和企业，与其他形式的网络钓鱼一样，对未经请求的短信保持高度警惕和怀疑态度——即使它们似乎来自可信来源——是至关重要的第一道防线。

严峻消息 | 谷歌Gemini三重漏洞将AI变为攻击载体

本周AI再次成为焦点，有消息称谷歌AI模型系列中的多个产品容易受到搜索注入攻击、提示注入攻击和用户数据外泄，研究人员将这些漏洞称为“Gemini三重奏”。

这些漏洞存在于Google Cloud Platform的Gemini Cloud Assist、Gemini Search Personalization和Gemini Browsing Tool中，提醒企业注意AI带来的风险，因为威胁行为者正寻求在其攻击中操纵此类工具。研究人员表示，他们在Gemini套件中发现了三个存在问题的不同组件：

• Gemini Cloud Assist — Google Cloud的Gemini Cloud Assist工具中的此提示注入漏洞可能使攻击者能够利用基于云的服务，可能危害云资源，并可能允许网络钓鱼尝试。此漏洞代表了云中和一般情况下的一种新攻击类别，其中日志注入可以通过任意提示注入毒化AI输入。
• Gemini Search Personalization Model — 此搜索注入漏洞使攻击者能够注入提示，控制Gemini的行为，并通过操纵用户的Chrome搜索历史潜在地泄露用户保存的信息和位置数据。
• Gemini Browsing Tool — 此漏洞允许攻击者通过滥用浏览工具外泄用户保存的信息和位置数据，可能使用户隐私面临风险。

这些漏洞已向谷歌报告并现已修补。然而，企业必须将AI助手不仅视为被动的生产力工具，而且视为主动的攻击面，并相应对待它们。