研究人员在 Google Play 商店中发现了多个恶意 Android 应用程序，这些应用程序将运行安卓系统的移动设备转变为其他攻击者使用的住宅代理 (RESIP)。 PROXYLIB 第一个变体的两个应用程序 该调查结果来自 HUMAN 的 Satori 威胁情报团队，该团队表示，VPN 应用程序集群配备了一个 Golang 库，可以在用户不知情的情况下将用户的设备转变为代理节点。 该公司将该行动代号命名为PROXYLIB 。此后，这 29 个有问题的应用程序已被 Google 删除。 住宅代理是源自互联网服务提供商 (ISP) 提供的真实 IP 地址的代理服务器网络，通过中间服务器路由互联网流量，帮助用户隐藏其实际 IP 地址。 抛开匿名性的好处不谈，攻击者滥用它们的时机已经成熟，不仅可以混淆其来源，还可以进行广泛的攻击。 安全研究人员表示：“当攻击者使用住宅代理时，这些攻击的流量似乎来自不同的住宅 IP 地址，而不是数据中心的 IP 或黑客组织基础设施的其他部分。” “许多攻击者购买这些网络的访问权限以促进他们的行动。” 其中一些网络可能是由恶意软件运营商创建的，他们诱骗毫无戒心的用户安装虚假应用程序，这些应用程序本质上将设备围入僵尸网络，然后通过向其他客户出售访问权限来获利。 HUMAN 发现的 Android VPN 应用程序旨在与远程服务器建立联系，将受感染的设备注册到网络，并处理来自代理网络的任何请求。 这些应用程序的另一个值得注意的方面是，2023 年 5 月至 10 月期间确定的其中一个子集包含了 LumiApps 的软件开发套件 (SDK)，其中包含代理软件功能。在这两种情况下，恶意功能都是使用本机 Golang 库来实现的。 LumiApps 还提供一项服务，本质上允许用户上传他们选择的任何 APK 文件（包括合法应用程序），并将 SDK 捆绑到其中，而无需创建用户帐户，然后可以重新下载并与其他人共享。 这家以色列公司在其网站上表示：“LumiApps 帮助公司收集互联网上公开的信息。” “它使用用户的 IP 地址在后台加载知名网站的多个网页。” “这样做的方式不会打扰用户，并且完全符合 GDPR/CCPA。然后将网页发送给公司，公司使用它们来改进数据库，提供更好的产品、服务和定价。” 这些修改后的应用程序（称为 mods）在 Google Play 商店内外分发。LumiApps 将自身和 SDK 宣传为渲染广告的替代应用程序盈利方法。 有证据表明，PROXYLIB 背后的黑客组织正在通过 LumiApps 和 Asocks 出售对受感染设备创建的代理网络的访问权限，Asocks 是一家自称为住宅代理卖家的公司。 此外，为了将 SDK 融入到尽可能多的应用程序中并扩大僵尸网络的规模，LumiApps 根据通过已安装应用程序的用户设备路由的流量向开发人员提供现金奖励。SDK服务也在社交媒体和黑帽论坛上进行广告宣传。 Orange Cyberdefense 和 Sekoia 最近发表的研究将住宅代理描述为“分散但相互关联的生态系统”的一部分，其中代理软件服务以各种方式进行广告，从自愿贡献到专门商店和转售渠道。 “[就 SDK 而言]，代理软件通常嵌入在产品或服务中。”这些公司指出。用户可能没有注意到在接受嵌入的主应用程序的使用条款时将安装代理软件，这种缺乏透明度导致用户在没有明确了解的情况下共享他们的互联网连接。” 安装了 LumiApps SDK 的一款应用程序 Lumen Black Lotus Labs透露，报废 (EoL) 小型家庭/小型办公室 (SOHO) 路由器和物联网设备正受到名为 TheMoon 的僵尸网络的攻击，该僵尸网络为名为 Faceless 的犯罪代理服务提供支持。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/IcZSLkfOGPwJFI2EVkKhzw 封面来源于网络，如有侵权请联系删除

谷歌威胁分析小组 (TAG) 和谷歌子公司 Mandiant 表示，他们观察到 2023 年攻击中利用的0day漏洞数量显着增加，其中许多与间谍软件供应商及其客户有关。 谷歌研究人员周三表示，他们观察到 2023 年有 97 个0day漏洞被利用，而 2022 年为 62 个，增加了 50%。 在 97 个0day漏洞中，研究人员能够确定其中 58 个0day漏洞利用的攻击者动机。其中 48 个漏洞归因于间谍活动，其余 10 个漏洞则归因于出于经济动机的黑客。 自 2019 年以来的攻击中利用的零日漏洞 FIN11利用了三个0day漏洞，四个勒索软件团伙——Nokoyawa 、Akira、LockBit和Magniber——分别利用了另外四个。该报告指出，FIN11 是影响Accellion 旧版文件传输设备的2021 年0day漏洞的幕后黑手，该设备被用来攻击数十家知名机构。 研究人员表示：“FIN11 重点关注文件传输应用程序，这些应用程序可以高效且有效地访问敏感受害者数据，而无需横向网络移动，从而简化了渗透和货币化的步骤。” “随后，大规模勒索或勒索软件活动产生的巨额收入可能会刺激这些组织对新漏洞进行额外投资。” 有官方背景、专注于间谍活动的黑客发起了 12 个0day攻击，而 2022 年有 7 个。 研究人员称，包括明确针对梭子鱼电子邮件安全网关的攻击活动，黑客的目标是东盟成员国的电子邮件域和用户，以及敏感地区的外贸机构、学术研究组织或个人。 谷歌指出，一个0day漏洞与Winter Vivern相关，Winter Vivern 是白俄罗斯国家资助的网络组织，幕后策划了对乌克兰和其他欧洲国家的多次攻击。谷歌表示，这是据报道与白俄罗斯有联系的间谍组织在其活动中利用0day漏洞的第一个已知实例，表明该组织“正在变得越来越复杂”。 就目标产品而言，研究人员发现攻击者寻求“提供可对多个目标进行广泛访问的产品或组件中的漏洞”。 研究人员表示，梭子鱼电子邮件安全网关、思科自适应安全设备、Ivanti Endpoint Manager Mobile and Sentry以及Trend Micro Apex One等企业特定技术反复成为目标，并补充说这些产品通常提供广泛的访问和高级权限。 商业间谍软件供应商 2023 年企业专用技术的利用增加主要是由安全软件和设备的利用推动的。 商业监控软件供应商（CSV）是浏览器和移动设备利用背后的罪魁祸首，2023 年，谷歌将 75% 的已知0day漏洞利用针对 Google 产品以及 Android 生态系统设备（17 个漏洞中的 13 个）。 谷歌研究人员的调查结果中最令人震惊的部分是商业间谍软件开发者利用大量漏洞，目前缺乏针对该行业的全球规范。 “我们已经广泛记录了 CSV 造成的危害，但它们仍然构成针对最终用户的野外 0day 攻击的大部分。”她说。 这家科技巨头重申其警告，称商业监控行业继续向世界各国政府出售尖端技术，这些技术利用消费设备和应用程序中的漏洞“在个人设备上秘密安装间谍软件”。 他们表示：“私营部门公司多年来一直参与发现和销售漏洞，但我们观察到过去几年这类攻击者驱动的漏洞显着增加。” 谷歌表示，它正在追踪至少 40 家参与创建间谍软件和其他黑客工具的公司，这些工具被出售给某些政府机构并针对“高风险”用户，包括记者、人权捍卫者和持不同政见者。 谷歌在二月份发布的一份报告中强调的一些间谍软件供应商包括： Cy4Gate 和 RCS Lab：Android 和 iOS 版 Epeius 和 Hermit 间谍软件的意大利制造商。 Intellexa：Tal Dilian 领导的间谍软件公司联盟，结合了 Cytrox 的“Predator”间谍软件和 WiSpear 的 WiFi 拦截工具等技术。 Negg  Group：具有国际影响力的意大利 CSV，以通过漏洞利用链针对移动用户的 Skygofree 恶意软件和 VBiss 间谍软件而闻名。 NSO 集团：Pegasus 间谍软件和其他商业间谍工具背后的以色列公司。 Variston：与 Heliconia 框架相关的西班牙间谍软件制造商，因与其他监控供应商合作开展零日漏洞而闻名。 浏览器内攻击 谷歌还指出，第三方组件和库中的漏洞是“主要的攻击面，因为它们通常会影响多个产品。” 2023 年，谷歌看到了这种定位的增加，特别是在浏览器方面。他们发现第三方组件中存在三个浏览器0day漏洞，并影响了多个浏览器。 该报告指出，影响 Chrome 的 CVE-2023-4863 和影响 Safari 的 CVE-2023-41064 “实际上是同一个漏洞”，并补充说它还影响了 Android 和 Firefox。他们还引用了 CVE-2023-5217——去年合并的一个引人注目的漏洞，影响了 libvpx 。去年，其他几个浏览器内工具也被利用。 “2023 年，有 8 个针对 Chrome 的野外0day漏洞，11 个针对 Safari 的野外0day漏洞。虽然被跟踪的 Safari 0day漏洞被用于针对 iPhone 的链中，但除了其中一个 Chrome 0day漏洞外，所有其他漏洞都被用于针对 Android 设备的攻击链中。”谷歌研究人员表示。 谷歌警告称，随着越来越多的黑客大力投资研究，被利用的0day漏洞数量可能会继续增加。 0day漏洞利用“不再只是少数参与者可以使用的攻击功能，我们预计过去几年我们所看到的增长可能会持续下去。” 安全建议 为了防御0day攻击，谷歌建议高风险用户在 Pixel 8 设备上启用内存标记扩展（MTE），并在 iPhone 智能手机上启用锁定模式。 谷歌建议Chrome高风险用户打开“HTTPS优先模式”并禁用v8优化器以消除潜在风险，以消除JIT（Just-in-Time）编译引入的潜在安全漏洞，这些漏洞可能使攻击者操纵数据或注入恶意代码。 此外，谷歌还建议高风险用户注册其高级保护计划（APP），该计划提供增强的帐户安全性和内置防御措施，以防范商业间谍软件的攻击。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/IOMnGZ6gBeDC7VIBSmNj_A 封面来源于网络，如有侵权请联系删除

据BleepingComputer网站消息，HUMAN 的 Satori 威胁情报团队发现Google Play 应用商店中有10多款免费VPN应用内含恶意工具包，能在用户不知情的情况下将安卓设备变成住宅代理，进而从事各种恶意活动。 住宅代理是通过位于家中的设备为其他远程用户路由互联网流量，使流量看起来合法，虽然这种代理具有市场研究、广告验证和搜索引擎优化 (SEO) 等合法用途，但也被许多网络犯罪分子利用来隐藏恶意活动，包括广告欺诈、垃圾邮件、网络钓鱼、撞库和密码喷洒。 当住宅代理被秘密安装时，受害者的互联网带宽将在他们不知情的情况下被劫持，并成为恶意活动流量的“帮凶”，事后容易给自身惹来法律纠纷。 Satori团队一共列出了 Google Play 上的 28 个应用程序，这些应用程序能秘密地将安卓设备变成代理服务器。在这 28 个应用程序中，有 17 个为免费 VPN 软件。 Satori 分析师报告称，违规应用程序均使用 LumiApps 的软件开发工具包 (SDK)，其中包含“ Proxylib ”（一个用于执行代理的 Golang 库）。LumiApps 是一个安卓应用程序货币化平台，声称其 SDK 将使用设备的 IP 地址在后台加载网页并将检索到的数据发送给公司。 LumiApps 主页 这一功能被宣传为完全符合 GDPR/CCPA相关规定，旨在公司将这些搜集来的数据用来改进数据库，以提供更好的产品、服务和定价。然而，尚不清楚开发人员是否知道 SDK 正在将其用户的设备转换为可用于有害活动的代理服务器。 Satori 在观察到代理提供商网站的链接后认为，这些恶意应用程序与俄罗斯住宅代理服务提供商“Asocks”有关联。 Asocks 通常在黑客论坛上向网络犯罪分子提供服务。 根据团队的报告，谷歌已于 2024 年 2 月从Google Play应用商店中删除了所有使用 LumiApps SDK 的应用程序，并更新了 Google Play Protect 以检测应用程序中使用的 LumiApp 库。 与此同时，这些VPN应用也在被开发人员删除恶意的 SDK 后重新上线。BleepingComputer 已联系谷歌，问询这些应用现在是否安全，但目前尚未收到回复。   转自Freebuf，原文链接：https://www.freebuf.com/news/396042.html 封面来源于网络，如有侵权请联系删除

三位安全研究人员发表的文章称，超过 900 个配置错误的 Google Firebase 网站可能泄露了近 1.25 亿条用户记录，他们的在线账号为“mrbuh”、“xyzeva”和“logykk”。 安全研究员 mrbruh 于1 月 10 日首次报告称，他们在侵入基于人工智能的招聘系统 Chattr.ai 时，成功访问了 Applebee’s、Chick-fil-A、KFC、Subway 和 Taco Bell 等零售食品网站。 ISAC 于1 月 11 日（mrbruh 发表第一篇帖子的第二天）报告了该事件，称攻击者可以利用 Chattr.ai 的注册功能，通过滥用漏洞或错误配置来创建具有完全读写权限的新用户配置文件于Google Firebase后端数据库中，随后建议零售和酒店行业的公司联系 Chattr.ai。 在关于破解 Chattr.ai 的最初新闻发布之后，三名研究人员开始通过配置错误的 Firebase 实例在互联网上扫描暴露的 PII，因此发现了泄露的记录，其中包括银行信息、账单信息和发票。泄露数据还包括姓名、电话号码、电子邮件地址和密码等。 行业对错误配置并不陌生 Keeper Security 安全与架构副总裁 Patrick Tiquet 表示，目前对云基础设施的大多数成功攻击都源于错误配置。 Tiquet 表示，Google Firebase 不断升级并改进其安全建议，但这些组件并不总是得到正确实施或监控。 “管理员应始终确保他们使用安全的保管库和机密管理解决方案，并立即执行必要的补丁和更新，”Tiquet 说。 “他们还应该检查云控制台的安全控制，以确保遵循最新的建议。” Sectigo 产品高级副总裁 Jason Soroko 表示，这个案例对于云系统用户以及云架构师本身来说都是一个很好的教训。 索罗科表示：“最近的 Google Firebase 问题在某些方面可能会更严重，因为它允许恶意行为者使用管理功能，从而导致可能更深层次的妥协。”   转自安全客，原文链接：https://www.anquanke.com/post/id/294111 封面来源于网络，如有侵权请联系删除

上周四（3月15日），谷歌宣布宣布升级 Google Safe Browsing，为用户提供实时 URL 保护功能，降低用户受到恶意网站攻击的风险。 桌面版和 iOS 版 Chrome 浏览器的标准保护模式将根据谷歌服务器端的已知不良网站列表对网站进行实时检查。通过匹配主列表，帮助用户防范网络钓鱼攻击、恶意软件和潜在有害程序。 Chrome 浏览器用户在 Standard 级别保护下，在设备本地存储一份不良网站黑名单，每隔 30 到 60 分钟和谷歌云服务器同步，而现在谷歌将这项安全方案挪到谷歌服务器端，这样可以实现实时检测。 谷歌新闻稿中前后对比图如下： 此前方案为每隔 30 到 60 分钟同步 新方案可实时保护 URL 去年 9 月，谷歌表示会尝试在不与公司共享用户浏览历史记录的情况下切换到实时服务器端检查。之所以做出这样的改变，是因为有害网站的列表数量正在快速增长，而且 60% 的钓鱼域名存在时间不到 10 分钟，因此很难对其进行拦截。但并非所有设备都有必要来维护这个不断增长的列表，也并非所有设备都能以必要的频率接收和应用列表更新。 因此，在新的架构下，用户每次尝试访问一个网站时，都会根据浏览器的全局和本地缓存（包含已知的安全 URL 和以前的安全浏览检查结果）对 URL 进行检查，以确定网站的状态。如果缓存中没有访问过的 URL，就会进行实时检查，将 URL 混淆成 32 字节的完整哈希值，然后截断成 4 字节长的哈希前缀，加密后发送到隐私服务器。 谷歌解释称：隐私服务器会移除潜在的用户标识符，并通过 TLS 连接将加密的哈希前缀转发给安全浏览服务器，该连接会将请求与许多其他 Chrome 浏览器用户的请求混合在一起。安全浏览服务器随后会解密哈希前缀，并将其与服务器端数据库进行匹配，返回与浏览器发送的哈希前缀之一相匹配的所有不安全 URL 的完整哈希值。在客户端，完整哈希值会与访问过的 URL 的完整哈希值进行比较，如果发现匹配，就会显示警告信息。 此外，Chrome 浏览器用户还可以选择 Enhanced Protection 模式，这是一种安全浏览模式，使用人工智能来阻止攻击，并提供针对恶意 Chrome 扩展程序的保护。 谷歌最近还更新了 iOS 设备上的密码检查功能。除了让用户意识到密码泄露外，它还会标记弱密码和重复使用的密码。   转自Freebuf，原文链接：https://www.freebuf.com/news/395061.html 封面来源于网络，如有侵权请联系删除

近期有安全研究人员警告称，黑客滥用谷歌云运行服务传播大量银行木马，如Astaroth、Mekotio和Ousaban。 谷歌云运行服务无需管理基础设施或进行扩展，允许用户部署前端和后端服务、网站或应用程序，处理工作负载。 思科Talos研究人员观察到，从2023年9月开始，滥用谷歌服务传播恶意软件的情况大量增加，当时就曾有巴西黑客发起了使用MSI安装文件部署恶意软件有效载荷的活动。 研究人员的报告中指出，谷歌云运行服务近来对网络犯罪分子很有吸引力，因为它成本效益高，而且能够绕过标准的安全拦截和过滤器。 链接到谷歌云运行服务的大量钓鱼电子邮件 攻击链 这些攻击往往是通过发送给潜在受害者的网络钓鱼电子邮件开始，这些电子邮件被伪造成发票、财务报表或当地政府和税务机构信息的合法通信。 研究人员称，由于攻击目标是拉丁美洲国家，因此活动中的大多数电子邮件都使用西班牙语，但也有使用意大利语的情况。 活动中使用的钓鱼电子邮件样本（思科） 这些电子邮件带有重定向到谷歌云运行服务托管的恶意网络服务的链接。 在某些情况下，有效载荷通过 MSI 文件传送。在其他示例中，服务会发出 302 重定向到谷歌云存储位置，该位置存储了包含恶意 MSI 文件的 ZIP 压缩包。 恶意软件分发链（思科） 当受害者执行恶意 MSI 文件时，系统会下载并执行新的组件和有效载荷。 在观察到的案例中，第二阶段的有效载荷传输是通过滥用合法的 Windows 工具 “BITSAdmin “完成的。 最后，恶意软件通过在启动文件夹中添加 LNK 文件（’sysupdates.setup<random_string>.lnk’），配置为执行 PowerShell 命令来执行感染脚本（’AutoIT’），从而在受害者的系统上建立持久性，以便在重启后继续运行。 阿斯塔罗斯的执行链（思科） 黑客利用谷歌云运行服务传播三大银行木马 此次黑客利用谷歌云运行服务传播的三个银行木马分别是： Astaroth/Guildma、Mekotio 和 Ousaban。这些木马都能够隐蔽地渗透系统、建立持久性并外泄敏感的金融数据，这些数据均可用于接管银行账户。 Astaroth 具有先进的规避技术。该恶意软件最初主要针对巴西受害者，但现在的目标是拉丁美洲 15 个国家的 300 多家金融机构。最近，该恶意软件开始利用键盘记录、屏幕捕获和剪贴板监控，Astaroth 不仅能窃取敏感数据，还能拦截和操纵互联网流量以获取银行凭证。 Ousaban与Astaroth或系同个恶意软件家族 除了Astaroth外，Mekotio 也已活跃数年，它以窃取银行凭证、个人信息和进行欺诈性交易而闻名。它还可以操纵网络浏览器，将用户重定向到钓鱼网站。其以往的攻击活动主要集中在拉丁美洲地区。 另外一个Ousaban 银行木马能够进行键盘记录、截图，并利用伪造（即克隆）的银行门户网站对银行凭证进行网络钓鱼。 Cisco Talos指出，Ousaban是在Astaroth感染链的后期阶段发布的，这表明这两个恶意软件家族的操作者之间可能存在合作，或者是这两个恶意软件家族可能是由同一个威胁行为者同时管理的。   转自Freebuf，原文链接：https://www.freebuf.com/news/392271.html 封面来源于网络，如有侵权请联系删除

据The Record网站消息，谷歌将支付 3.5 亿美元来和解一场旷日持久的集体诉讼，该诉讼针对的是其已不复存在的社交平台Google Plus产生的数据泄露事故。 这一诉讼最早可以追溯到 2018 年 10 月，当时《华尔街日报》曾报道称，谷歌发现Google Plus用户的个人数据已被泄露多年，但公司内部官员建议不要向股东或公众通报这一问题，因而对这一事件长期保持沉默。报道发表三天后，针对谷歌的诉讼便开始出现。 《华尔街日报》 称，暴露 Google Plus 用户数据的软件漏洞问题始于 2015 年，但直到 2018 年 3 月才被发现或修复，涉及的用户数据包括姓名、电子邮件地址、出生日期、性别、个人资料照片、居住地、职业信息等。 根据2月5日公布的和解条款，谷歌否认了用户因这一泄露事件所造成的损失，并表示虽然对所指控的索赔有充分的辩护，但为了避免代价高昂且的长期持续的诉讼，最终同意达成和解。和解条款还称，谷歌否认就此事误导投资者。 谷歌称大多数零日漏洞背后都是间谍软件供应商 谷歌威胁分析小组 (TAG) 在 2023 年发现的用于监视全球设备的零日漏洞中，80% 都是商业间谍软件供应商 (CSV) 所为。 谷歌发现，这些间谍软件供应商在寻找零日漏洞方面变得非常积极，在 2019 年至 2023 年间开发了至少 33 个针对未知漏洞的漏洞利用程序，他们会根据客户（包括政府和私人组织）的指示，利用零日漏洞来攻击特定目标。 在谷歌披露的报告附录中，列出了11个CSV使用的74个零日漏洞的列表。其中，大多数是影响谷歌 Chrome (24) 和 Android (20) 的零日漏洞，其次是 Apple iOS (16) 和 Windows (6)。   转自Freebuf，原文链接：https://www.freebuf.com/news/391752.html 封面来源于网络，如有侵权请联系删除

Google 近日宣布向 Rust 基金会拨款 100 万美元，旨在帮助提高 Rust 和 C++ 代码之间的互操作性。 出于同样的原因，这家互联网巨头于 2021 年加入了Rust 基金会，并在 Android 和其他谷歌产品中采用了内存安全编程语言，因为它有利于解决内存安全漏洞。 “根据历史漏洞密度统计数据，Rust 已主动阻止数百个漏洞影响 Android 生态系统。这项投资旨在扩大 Rust 在平台各个组件中的采用。”Google 工程、Android 安全与隐私副总裁 Dave Kleidermacher 说道。 谷歌表示，得益于多种工具，Rust 与 Android 和 C++ 的互操作性也得到了改善，并且该编程语言的采用也加速了。 然而，由于大部分进展主要由支持特定项目或公司的工具推动，Google 希望在加速 Rust 整体采用所需的领域进行投资和合作。 此外，该公司表示，它正在汇总和发布对谷歌开源项目中使用的 Rust 箱的审计。 对 Google 的支持使得 Rust 基金会能够启动一项新的“Interop”计划，让感兴趣的组织更容易投资 Rust。 这项新举措的首要任务是起草一份工作范围提案，该提案将在 Rust 项目成员组织之间进行讨论。 Rust 基金会可能会建议雇用 Interop Initiative 工程师并分配资源来提高互操作性、构建系统集成、使用人工智能将代码从 C++ 迁移到 Rust，或者这些的组合。 谷歌指出：“提高整个软件行业的内存安全是我们这个时代的关键技术挑战之一，我们邀请社区和行业的其他人加入我们，共同努力保护每个人的开源生态系统。”   转自安全客，原文链接：https://www.anquanke.com/post/id/293145 封面来源于网络，如有侵权请联系删除

安全研究人员最近在 Google 旗舰开源产品之一 Bazel 中发现了一个供应链漏洞。 该缺陷主要围绕依赖 GitHub Actions 工作流程中的命令注入漏洞，可能允许恶意行为者将有害代码插入 Bazel 的代码库中。 Cycode 研究人员表示，这种情况的严重性意味着它可能会影响各种平台上的数百万个项目和用户，包括 Kubernetes、Angular、Uber、LinkedIn、Databricks、Dropbox、Nvidia 和 Google 本身。 从技术角度来看，这一发现主要针对 GitHub Actions，这是一个持续集成和持续交付 (CI/CD) 平台。 GitHub Actions 允许用户通过可定制的工作流程自动化构建、测试和部署流程。但是，使用充当单独工作流任务的自定义操作会带来复杂性和潜在的安全风险。 了解有关 GitHub 漏洞的更多信息：安全专家敦促 IT 部门锁定 GitHub 服务 在今天早些时候发布的一份公告中，Cycode 强调，工作流程中的广泛依赖性（通常利用第三方操作）给软件供应链的安全带来了挑战。 该公司的研究重点关注间接依赖项中的漏洞，例如自定义操作，这些漏洞可能驻留在不同的存储库、生态系统中并由不同的维护者负责。本文讨论了 GitHub Actions 生态系统中的自定义操作带来的风险，特别是复合操作，它将多个工作流程步骤组合到一个操作中。 该通报还深入探讨了 Bazel 的 GitHub Actions 工作流程中发现的漏洞的具体情况，详细说明了从触发工作流程到注入点的步骤。一个关键问题是由于复合操作中缺乏适当的输入验证而导致注入和执行任意命令的能力。 Cycode 研究团队于 2023 年 11 月 1 日通过 Google 漏洞奖励计划及时报告了该漏洞，几天后就收到了确认。随后，Google 在 12 月 5 日之前解决并纠正了 Bazel 中的易受攻击的组件。 实施了必要的修复，包括更新工作流基础权限和修改相关操作，消除了命令注入漏洞。   转自安全客，原文链接：https://www.anquanke.com/post/id/293066 封面来源于网络，如有侵权请联系删除

中文用户已成为通过Telegram等消息应用程序传播的恶意 Google 广告的攻击目标。 Malwarebytes 在周四的一份报告中表示：“攻击者正在滥用 Google 广告商帐户来创建恶意广告，将毫无戒心的用户指向下载远程管理木马 (RAT) 的页面。” “此类程序使攻击者能够完全控制受害者的计算机，并能够删除其他恶意软件。” 该活动代号为FakeAPP ，是2023 年 10 月下旬针对在搜索引擎上搜索 WhatsApp 和 Telegram 等消息应用程序攻击浪潮的延续。 该活动的最新版本还将消息应用程序 LINE 添加到消息应用程序列表中，将用户重定向到 Google 文档或 Google 协作平台上托管的虚假网站。 Google 基础设施用于嵌入到攻击者控制下的其他站点的链接，以便提供最终部署PlugX和Gh0st RAT等木马的恶意安装程序文件。 Malwarebytes 表示，它追踪到欺诈性广告来自两个位于尼日利亚的广告商帐户，分别为Interactive Communication Team Limited和Ringier Media Bulgaria Limited 。 攻击者似乎通过不断推送新的有效负载和基础设施作为命令和控制（C2）服务器，优先考虑数量而非质量。 这一进展正值 Trustwave SpiderLabs 披露名为Greatness的网络钓鱼即服务 (PhaaS) 平台的使用激增之际，该平台用于创建针对 Microsoft 365 用户的看似合法的凭据收集页面。 该公司表示：“该工具包允许个性化发件人姓名、电子邮件地址、主题、消息、附件和二维码，从而增强相关性和参与度。”并补充说，它配备了反检测措施，例如随机标头、编码和混淆，旨在绕过垃圾邮件过滤器和安全系统。 Greatness 以每月 120 美元的价格出售给其他犯罪分子，有效降低了进入门槛，帮助他们进行大规模攻击。 攻击链需要发送带有恶意 HTML 附件的网络钓鱼电子邮件，当收件人打开这些附件时，会将其引导至虚假登录页面，该页面捕获输入的登录凭据，并通过 Telegram 将详细信息上传给攻击者。 其他感染序列利用附件在受害者的计算机上投放恶意软件，以促进信息盗窃。 为了增加攻击成功的可能性，电子邮件会欺骗银行和雇主等受信任的来源，并使用“紧急发票付款”或“需要紧急帐户验证”等主题引发错误的紧迫感。 Trustwave 表示：“目前受害者人数尚不清楚，但 Greatness 得到了广泛使用和良好支持，其自己的 Telegram 社区提供了有关如何操作该工具包的信息，以及其他提示和技巧。” 据观察，网络钓鱼攻击还利用冒充 Kakao 等科技公司的诱饵来攻击韩国公司，通过恶意 Windows 快捷方式 (LNK) 文件分发 AsyncRAT。 AhnLab 安全情报中心 (ASEC)表示：“伪装成合法文档的恶意快捷方式文件正在不断传播。” “用户可能会将快捷方式文件误认为是普通文档，因为‘.LNK’扩展名在文件名上不可见。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/5cwfbe3hvy-rbocUExnCRg 封面来源于网络，如有侵权请联系删除