4月3日，星期一，您好！中科汇能与您分享信息安全快讯：

Google Threat Analysis Group (TAG) 安全团队多年来一直跟踪间谍软件供应商的活动。它跟踪了逾三十家公司，认为这些间谍软件的开发商推动了黑客工具的扩散，让内部缺乏技术能力的政府能利用先进的黑客工具去监视持不同政见者、记者、人权活动人士和反对党政客。间谍软件供应商组合利用 0day 和 Nday 漏洞去攻击流行平台，它们囤积了已知和未知的漏洞，利用了已知漏洞及其修复补丁推送到终端用户的时间差。Google 安全研究人员根据其活动认为，间谍软件开发商之间在分享漏洞和技术，加速了危险黑客工具的扩散。

近日，一名黑客利用了一个新创建的“burn”智能合约功能，人为抬高价格，使参与者能够以高价出售SafeMoon，SafeMoon代币流动资金池损失了890万美元。DeFi平台中的流动性池是大量资金存款（加密货币），有助于交易，提供市场流动性，通常允许交易所在不向第三方借款的情况下运作。29日，SafeMoon在推特上证实了这起安全事件，并表示目前正在努力解决这一问题。

据报道，3CX 互联网语音协议（VOIP）桌面客户端的一个数字签名和木马版本正被用来针对该公司的客户进行持续的供应链攻击。

3CX 是一家 VoIP IPBX 软件开发公司，其 3CX Phone System 被全球超过600000家公司使用，每日用户超过1200万。

该公司的客户名单包括一长串备受瞩目的公司和组织，如美国运通、可口可乐、麦当劳、宝马、本田、法国航空公司、丰田、梅赛德斯-奔驰、宜家和英国国民健康服务（他们发布了一份周四警报）。

中国台湾硬件供应商 QNAP 警告客户保护其 Linux 供电的网络连接存储（NAS）设备免受高严重性 Sudo 权限升级漏洞的攻击。该漏洞（跟踪为CVE-2023-22809）由 Synacktiv 安全研究人员发现，他们将其描述为“使用 sudoedit 时在 Sudo 版本1.9.12p1 中绕过 sudoers 策略”。

使用 Sudo 版本1.8.0到1.9.12p1 在未打补丁的设备上成功利用可以使攻击者通过在将任意条目附加到要处理的文件列表后编辑未经授权的文件来提升权限。

据央视网消息，最近美国和加拿大各地使用AI合成语音进行电信诈骗的案例多发，不少上当的都是老年人。人工智能语音一直受到业界关注，如今该技术已经发展到需要几秒钟的对话就足以准确模仿某人声音的程度。

加拿大各地都有不少类似案件发生，涉案金额已达数百万加元。有受害者表示，犯罪分子使用的声音和她儿子的声音简直一模一样。在美国，类似的诈骗案件近期也呈上升趋势。美国联邦贸易委员会公布的数据显示，电信诈骗是美国最常见的诈骗形式，2022年相关涉案金额已达26亿美元，其中很多案件都借助了AI技术。

澳大利亚赌场巨头皇冠度假村（Crown Resorts）在Cl0p勒索软件组织遭受攻击后披露了数据泄露事件。据BleepingComputer报道，该组织声称通过利用Fortra的GoAnywhere MFT安全文件传输工具中的零日漏洞（CVE-130-2023）从0669多个组织窃取了敏感数据。

这家澳大利亚赌场巨头是这场运动的受害者之一。该事件发生在一月份，但该公司本周披露了数据泄露事件。

包括马斯克(Elon Musk)和图灵奖得主 Yoshua Bengio 在内的科技行业高管和顶级 AI 研究人员正呼吁暂停对强大的新 AI 工具的快速开发。主张暂停的这些人士表示，六个月或更长时间的暂停，将使该行业有时间制定 AI 设计方面的安全标准，从而防止风险最高的一些 AI 技术的潜在危害。《暂停巨型 AI 实验：一封公开信》并非呼吁暂停所有 AI 开发，但敦促各公司暂时停止训练比 GPT-4 更强大的系统。OpenAI 的管理人员说他们还没有开始训练 GPT-5。OpenAI 首席执行官 Sam Altman 在接受采访时表示，公司长期以来在开发时将安全作为重点，并在 GPT-4 发布前花了六个多月的时间对其进行安全测试。

纽约一家律师事务所已同意向该州支付200万美元的罚款，因为它未能保护大约000，114名患者的私人和电子健康信息。

微软几个月前就发布了此漏洞的补丁，但HPMB没有及时应用这些补丁，使这个漏洞暴露在潜在的利用之下。

攻击者在 HPMB 的系统上部署了恶意软件，导致该公司的电子邮件系统中断。在随后的调查中，HPMB发现数以万计的文件可能已从其系统中获取。

根据总检察长办公室的调查结果，该公司支付了100万美元的赎金以换取回报，并承诺删除泄露的数据，但没有提供数据被删除的证据。

据报道，美国加州一家法庭裁决称，在一宗安卓操作系统反垄断诉讼过程中，科技巨头 Alphabet 旗下的谷歌公司故意毁灭员工的内部聊天证据，谷歌将为此遭到罚款，并且在后续审判过程中面临进一步惩罚。

据报道，这宗复杂的反垄断诉讼涉及到多个司法管辖区，其中包括了一个有关 2100 万名美国人的消费者集体诉讼，覆盖了美国 38 个州和哥伦比亚特区，涉及到的公司包括游戏厂商 Epic 以及相亲约会服务商 Match 集团。

这一反垄断诉讼的关键点，是消费者和厂商原告指控谷歌公司的 Play 应用商店在发行安卓应用软件上的垄断做法，所有原告索取的赔偿金总额高达 47 亿美元（当前约 323.83 亿元人民币）。不过谷歌否认这一垄断指控。

哥斯达黎加新当选的总统罗德里戈·查韦斯宣布进入紧急状态，此前现已解散的 Conti 勒索软件组织严重破坏了财政部、公共工程和运输部以及哥斯达黎加社会保障基金。该团伙公开发布信息，呼吁推翻政府，然后要求20万美元的赎金。

美国政府将利用国务院的资金为哥斯达黎加的网络安全工作投入25万美元。这笔资金将用于保护该国的网络并捍卫其关键基础设施。