针对中国用户的恶意链接广泛存在；K8s高危漏洞紧急修复；微软证实俄黑客窃取源代码；Google大模型易受攻击

在百度等搜索引擎上寻找Notepad++和VNote等正版软件的中国用户正成为恶意广告和虚假链接的目标，这些广告和链接会分发这些软件的木马版本，并最终部署基于Golang实现的Cobalt Strike的Geacon。

卡巴斯基研究员谢尔盖·普赞说："在notepad++搜索中发现的恶意网站是通过一个广告区块进行分发的。"

"打开它，细心的用户会立即注意到一个有趣的不一致之处：网站地址中包含vnote这一行，标题提供的是Notepad--(Notepad++的类似产品，也作为开源软件分发)的下载，而图片上却自豪地显示着Notepad++。事实上，从这里下载的软件包包含的是Notepad--。"

来源：https://thehackernews.com/2024/03/malicious-ads-targeting-chinese-users.html

目前，Kubernetes中一个已修复的高严重性漏洞的细节已公之于众。该漏洞可能在特定情况下允许恶意攻击者获得提升的权限以实现远程代码执行。

Akamai安全研究员Tomer Peled表示："该漏洞允许在Kubernetes集群内的所有Windows端点上以SYSTEM权限执行远程代码。为了利用这个漏洞，攻击者需要在集群上应用恶意的YAML文件。"

作为CVE-2023-5528（CVSS得分：7.2）追踪的漏洞，该缺陷影响所有版本的kubelet，包括1.8.0及以后的版本。该问题已在2023年11月14日发布的更新中得到解决，具体涉及的版本包括：

"我们在Kubernetes中发现了一个安全问题，在Windows节点上可以创建pod和持久卷的用户可能能够在这些节点上获得管理员权限，"Kubernetes维护人员在当时发布的一份公告中说，"只有当Kubernetes集群对Windows节点使用内置的存储插件时，它们才会受到影响。"

来源：https://thehackernews.com/2024/03/researchers-detail-kubernetes.html

微软周五透露，在 2024 年 1 月曝光的一次黑客攻击后，由克里姆林宫支持的、名为"Midnight Blizzard"（又名 APT29 或 Cozy Bear）的黑客成功访问了其部分源代码存储库和内部系统。

这家科技巨头表示："最近几周，我们看到有证据表明，Midnight Blizzard 正利用最初从我们的企业电子邮件系统中窃取的信息，获得或试图获得未经授权的访问权限。"

"这包括访问公司的一些源代码存储库和内部系统。迄今为止，我们没有发现任何证据表明微软托管的面向客户的系统遭到了破坏。"

来源：https://thehackernews.com/2024/03/microsoft-confirms-russian-hackers.html

谷歌的Gemini大型语言模型（LLM）容易受到安全威胁，可能导致其泄露系统提示、生成有害内容并执行间接注入攻击。

这些发现来自HiddenLayer，该公司表示，这些问题影响了使用带有Google Workspace的Gemini Advanced的消费者以及使用LLM API的公司。

第一个漏洞涉及绕过安全护栏以泄露系统提示（或系统消息），这些提示旨在向LLM设置会话范围的指令，以帮助其生成更有用的响应，方法是要求模型在markdown块中输出其"基础指令"。

"系统消息可用于向LLM提供有关上下文的信息，"微软在其关于LLM提示工程的文档中指出。

"上下文可能是它正在进行的对话类型，或者是它应该执行的功能。它有助于LLM生成更适当的响应。"

来源：https://thehackernews.com/2024/03/researchers-highlight-googles-gemini-ai.html

俄罗斯首次以网络间谍指控拘留了一名韩国公民，并将其从符拉迪沃斯托克转移到莫斯科进行进一步调查。

这一事态发展最初由俄罗斯新闻机构塔斯社报道。

"在调查一起间谍案件期间，韩国公民白元淳在符拉迪沃斯托克被确认身份并拘留，并根据法院命令被监禁，"一位不愿透露姓名的消息人士称。

元淳被指控向未具名的外国情报机构提供"绝密"机密信息。

来源：https://thehackernews.com/2024/03/south-korean-citizen-detained-in-russia.html

针对中国用户的恶意链接广泛存在；K8s高危漏洞紧急修复；微软证实俄黑客窃取源代码；Google大模型易受攻击 | 安全周报 0315