谷歌宣布将从明 年初开始向运行 Android 13 的移动设备推出 Beta 版 Android隐私沙盒。Privacy Sandbox 旨在创建技术来保护人们的在线隐私，限制秘密跟踪。 隐私沙盒的目标是： 建立新技术来保障用户信息的私密性； 使发布者和开发者能够在不依赖侵入性跟踪的情况下保持在线内容免费； 与业界合作建立新的互联网隐私标准； 公司最初将在一小部分设备上安装启动沙箱，并随着时间的推移而增加。 从明年初开始，我们计划向 Android 13 移动设备推出最初的隐私沙盒测试版，以便开发人员通过测试结果采取下一步方案。 同时，谷歌将邀请部分应用开发者访问系统API，同时帮助谷歌进行下一阶段测试。 安卓隐私沙箱取代了跨APP id，并用属性报告（Attribution Reporting）、主题（Topics）、FLEDGE等API系统来实现相关信息的记录。 Topics API的原理是一个分类器模型，可以从app使用中了解用户的兴趣，并告知广告商。 用户兴趣会每周通过设备信息来进行计算，并从上千个topic中选择最相关的5个。 FLEDGE 是另一个隐私沙箱子系统，由广告选择（Ad Selection）和受众（Custom Audience）API组成。广告选择为广告商提供哪些广告在哪些设备上可以取得更好的效果，受众API为发布者提供根据兴趣确定目标受众的选项。 这些API合起来取得了目前安卓系统中使用的广告ID（advertising ID），缓解了advertising ID被用于追踪用户的问题。 SDK Runtime 可以隔离第三方广告代码，因此APP将不再包含在其代码中。也无法访问用户兴趣和其他营销相关的数据。 总体来说，隐私沙盒在一定程度上实现了隐私保护的改进。 转自 Freebuf，原文链接：https://www.freebuf.com/articles/350028.html 封面来源于网络，如有侵权请联系删除

如果你正在寻找一种可以很快赚到很多钱的方法，你可以尝试寻找操作系统和关键应用软件中的安全漏洞，并申请漏洞赏金。一位研究人员在发现了一种无需密码就能解锁Android手机的方法后，从Google那里获得了7万美元的报酬，而且他是无意中做到的。 匈牙利的研究人员David Schütz报告了这个高危漏洞，被追踪为CVE-2022-20465，它被描述为由于代码中的逻辑错误导致的锁屏绕过，可能导致本地权限升级，不需要额外的执行权限。 触发该漏洞需要攻击者拥有一台Android设备，但它的危害程度相当大，可以一次规避包含由PIN、形状、密码、指纹或脸部保护的屏幕锁在内的所有保护方法。Schütz在旅行24小时后发现了这个缺陷，他的Pixel 6在发送一系列短信时出现死机。连接充电器并重启设备后，Pixel要求输入SIM卡的PIN码，这与锁屏密码是分开的；它的目的是阻止别人从物理上盗取SIM卡并使用它。舒兹记不起他的密码，在他输入三次错误的数字后，导致SIM卡被锁定。 重置锁定的SIM卡的唯一方法是使用个人解锁密码，即PUK。这些代码通常印在SIM卡的包装上，或者可以通过致电运营商的客户支持来获得。Schütz使用了前者，使他能够重置PIN。但是，Pixel没有要求提供锁屏密码，而只是要求进行指纹扫描，出于安全考虑，Android设备在重启后要求提供密码/PIN。 舒茨对这种异常情况进行了实验。最终，他发现可以再不重启设备的情况下重现这些动作，从而绕过整个锁屏，甚至不需要指纹就可以进入主界面。 Schütz说，这个过程在他的Pixel 6和Pixel 5上均有作用。Google在11月5日的最新Android系统更新中修复了这一问题，但不怀好意的攻击者至少可以在接下来的数月内继续利用它。所有运行Android 10到Android 13的设备如果没有更新到2022年11月的补丁都会受到影响。 Google可以向报告锁屏绕过漏洞的人支付最高10万美元，Schütz获得了相对较少的7万美元，这是因为有人已经报告了他发现的那个漏洞，但Google无法重现它。 转自 cnBeta，原文链接：https://www.toutiao.com/article/7166223697941660191/?log_from=1f8eee6993cb3_1668563046935 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，美国密歇根州总检察长办公室周一对外宣布，谷歌将支付 3.915 亿美元，就 40 个州指控其非法追踪用户位置达成和解。 从和解协议内容来看，美国总检察长调查美联社 2018 年的一篇文章时，发现谷歌至少从 2014 年起就开始追踪安卓用户位置。 值得一提的是，和解协议显示，谷歌甚至存在误导用户的情况，当用户本以为禁用设备设置中的 “位置历史 “就能禁用位置追踪时，另一个账户设置会默认打开名为 “网络和应用程序活动”，使得谷歌能够收集、存储和使用用户个人定位数据。 和解协议要求谷歌对用户保持透明 和解协议中要求谷歌必须引入更人性化的账户控制，并限制公司使用和存储某些类型的位置数据。此外，谷歌还应该对其用户位置数据跟踪和收集保持透明，在切换与位置相关的帐户设置时，必须显示其收集的数据以及如何使用这些数据的详细信息。 密歇根州总检察长达纳-内塞尔表示，谷歌作为行业巨头，在线影响力使其能够在用户不知情或未经允许的情况下轻松锁定消费者，然而，和解协议的达成将确保谷歌让用户知道其位置数据是如何被使用的，如果用户希望禁用与位置相关的帐户设置、删除收集的数据并设置数据保留限制，可以更改其帐户设置。 谷歌曾因收集澳大利亚、法国等国用户数据被罚 今年 8 月，澳大利亚竞争和消费者委员会（ACCC）宣布，就谷歌在 2017 年 1 月至 2018 年 12 月的近两年时间里，误导和收集属于澳大利亚安卓用户位置数据一事，对其处以 6000 万美元的罚款。值得一提的是，2018 年 12 月 20 日之前，谷歌已经采取补救措施，解决了误导和收集澳大利亚用户数据的问题。 除陷入过度收集美国、澳大利亚等国用户数据漩涡中，近年来谷歌多次被罚，下面列出了一些典型的案件： 谷歌因使用户难以拒绝网站追踪 cookies，从而侵犯了互联网用户的同意自由，法国国家信息学和自由委员会（CNIL）对其处以 1.7 亿美元的罚款； 2021 年 11 月，谷歌因过度收集数据被罚款 1130 万美元； 2021 年 6 月，因偏袒其服务而不利于竞争对手被罚款 2.2 亿欧元； 2019 年 3 月，因在线广告的反竞争行为被罚款 17 亿美元； 2017 年 6 月，因滥用其市场支配地位来调整搜索结果而被罚款 27.2 亿美元。 转自 Freebuf，原文链接：https://www.freebuf.com/articles/network/349832.html 封面来源于网络，如有侵权请联系删除

最近Zimperium 的研究人员发现了一个新的名为“Cloud9”的 Chrome 浏览器僵尸网络，它使用恶意扩展来窃取在线帐户、记录击键、注入广告和恶意 JS 代码，并让受害者的浏览器参与 DDoS 攻击。 Cloud9 浏览器实际上是 Chromium Web 浏览器（包括 Google Chrome 和 Microsoft Edge）的远程访问木马 (RAT)，其作用是允许攻击者远程执行命令。 恶意 Chrome 扩展程序在官方 Chrome 网上商店中不可用，而是通过其他渠道传播，例如推送虚假 Adobe Flash Player 更新的网站。 这种方法似乎运作良好，因为根据Zimperium 的研究人员报告说，他们已经在全球系统上看到了 Cloud9 感染。 感染浏览器 Cloud9 是一个恶意浏览器扩展，它对 Chromium 浏览器进行感染，以执行大量的恶意功能。 该扩展工具由三个 JavaScript 文件组成，用于收集系统信息、使用主机资源挖掘加密货币、执行 DDoS 攻击以及注入运行浏览器漏洞的脚本。 Zimperium 注意到它还加载了针对 Firefox 中的 CVE-2019-11708 和 CVE-2019-9810 漏洞、Internet Explorer 的 CVE-2014-6332 和 CVE-2016-0189 以及 Edge 的 CVE-2016-7200 漏洞的利用。 这些漏洞用于在主机上自动安装和执行 Windows 恶意软件，使攻击者能够进行更深入的系统入侵。 然而，即使没有 Windows 恶意软件组件，Cloud9 扩展也可以从受感染的浏览器中窃取 cookie，攻击者可以使用这些 cookie 劫持有效的用户会话并接管帐户。 此外，该恶意软件具有一个键盘记录器，可以窥探按键以窃取密码和其他敏感信息。 扩展中还存在一个“剪辑器”模块，不断监视系统剪贴板中是否有复制的密码或信用卡。 Cloud9 还可以通过静默加载网页来注入广告，从而产生广告展示，为其运营商带来收入。 最后，恶意软件可以利用主机通过对目标域的 HTTP POST 请求执行第 7 层 DDoS 攻击。 “第 7 层攻击通常很难检测，因为 TCP 连接看起来与正常请求非常相似” ，Zimperium 评论道。 开发人员很可能会使用这个僵尸网络来提供执行 DDOS 的服务。 运算符和目标 Cloud9 背后的黑客有可能与 Keksec 恶意软件组织有联系，因为在最近的活动中使用的 C2 域在 Keksec 过去的攻击中被发现。 Keksec 负责开发和运行多个僵尸网络项目，包括EnemyBot、Tsunamy、Gafgyt、DarkHTTP、DarkIRC 和 Necro。 Cloud9 的受害者遍布全球，攻击者在论坛上发布的屏幕截图表明他们针对各种浏览器。 此外，在网络犯罪论坛上公开宣传 Cloud9 导致 Zimperium 相信 Keksec 可能会将其出售/出租给其他运营商。 转自 Freebuf，原文链接：https://www.freebuf.com/news/349237.html 封面来源于网络，如有侵权请联系删除

10月20日，Google宣布正在为名为Graph for Understanding Artifact Composition（GUAC）的开源项目寻找感兴趣的贡献者，以此进一步强化软件供应链安全。 谷歌Brandon Lum、Mihai Maruseac 和 Isaac Hepworth称，GUAC开源项目将可以解决整个生态系统中迅速发展的工作所产生的需求，以生成软件构建、安全和依赖元数据。GUAC旨在让每个组织都可以只有访问和调用这些信息，正在发挥开源的共享和民主的特性。 当下，软件供应链安全已成为网络安全领域内一大重点因素，攻击者频频利用软件供应链中某个使用广泛的弱点，掀起令全球企业为之侧目的网安大事件。例如曾经肆虐一时的SolarWinds事件和近期发生的Log4Shell漏洞事件。 在这些供应链安全事件中，攻击中以一点为突破，随后沿着供应链进行入侵并大肆窃取敏感数据、植入恶意软件、并控制属于下游客户的系统。 谷歌多手段强化供应链安全 在启动GUAC开源项目之前，谷歌在供应链安全方面已经有了多个动作。 2021年，谷歌发布了一个名为Supply chain Levels for Software Artifacts（SLSA）的框架，旨在确保软件包的完整性并防止未经授权的修改。此外它还推出了安全记分卡的更新版本，该版本识别了第三方依赖项可能给项目带来的风险，允许开发人员就接受易受攻击的代码或考虑其他替代方案做出明智的决定。 2021年8月，谷歌进一步推出软件供应链漏洞赏金计划，以识别横跨多个项目的安全漏洞，其中包括赫赫有名的Angular、Bazel、Golang、Protocol Buffers 和 Fuchsia。 GUAC 是谷歌为加强供应链健康所做的最新努力。它通过将来自公共和私人来源的软件安全元数据聚合成一个“知识图”，并以此回答有关供应链风险的问题。支撑此架构的数据来自Sigstore、GitHub、开源漏洞( OSV )、Grype和Trivy等，以在漏洞、项目、资源、开发人员、工件和存储库之间建立有意义的关系。 谷歌公开表示，查询知识图可以推动更高级别的组织成果，例如审计、政策、风险管理，甚至开发人员的协助。换句话说，这个想法是将项目与其开发人员、漏洞和相应的软件版本、工件和它所属的源存储库之间的不同点联系起来。 因此，其目的不仅使组织能够确定它们是否受到特定漏洞的影响，还可以估计供应链受到损害时的爆炸半径。换言之，谷歌已经开始意识到可能破坏 GUAC 的潜在威胁，包括系统被诱骗获取有关工件，及其元数据的伪造信息等，它希望通过数据文档的加密验证来缓解这种威胁。 转自 安全内参，原文链接：https://www.secrss.com/articles/48204 封面来源于网络，如有侵权请联系删除

谷歌宣布推出安全操作系统 KataOS，作为他们最新专注于运行环境侧重于机器学习工作负载的嵌入式设备的操作系统。出于将安全性放在首位的宗旨，KataOS 专门使用 Rust 语言开发，并基于 seL4 微内核进行了构建。 通过 seL4 CAmkES 框架，我们还能够提供静态定义和可分析的系统组件。KataOS 提供了一个可验证安全的平台来保护用户的隐私，因为应用程序在逻辑上不可能违反内核的硬件安全保护，并且系统组件是可验证安全的。KataOS 也几乎完全用 Rust 实现，它为软件安全性提供了一个强有力的起点，因为它消除了 entire classes 错误，如 off-by-one errors 和缓冲区溢出。 目前，谷歌已经在 GitHub 开源了大部分 KataOS 核心部分。具体包括用于 Rust 的框架（例如 sel4-sys crate，它提供了 seL4 系统调用 API），一个用 Rust 编写的备用 rootserver（用于动态系统范围的内存管理），以及对 seL4 的内核修改，可以回收 rootserver 使用的内存。 谷歌方面透露，在内部，KataOS 还能够动态加载和运行在 CAmkES 框架之外构建的第三方应用程序。但运行这些应用程序所需的组件暂时还未开源，他们计划或将在不久的未来发布这些功能。 为了完整地证明一个安全的环境系统，谷歌还为 KataOS 构建了一个名为 Sparrow 的参考实现，它将 KataOS 与一个安全的硬件平台相结合。因此，除了逻辑安全的操作系统内核之外；Sparrow 还包括一个逻辑安全的信任根，该信任根是使用 OpenTitan 在 RISC-V 架构上构建的。但是就初始版本而言，其目标是使用 QEMU 在模拟中运行更标准的 64 位 ARM 平台。 公告称，谷歌的目标是开源所有 Sparrow，包括所有硬件和软件设计；现下发布的 KataOS 早期版本只是一个开始。 转自 安全内参，原文链接：https://www.secrss.com/articles/48023 封面来源于网络，如有侵权请联系删除

都什么年代了，还在用传统密码？10 月 12 日，谷歌宣布在 Android 和 Chrome 中正式推行密钥登录 “PassKey”，以逐步替代长期使用的密码登录 “PassWord”。 推出的密钥登录可以认为是 “生物密码” 和 “授权登录” 的结合。用户可以在 Android 手机上创建一个基于公钥加密的密钥凭据，创建密钥的时候需要对本人进行生物特征识别，比如 “指纹” 或者 “面部识别” 等。 创建完毕后，这个密钥凭据可用于解锁所有在线帐户 —— 既可以解锁 Android 手机上的帐户，也可以解锁附近所有设备的帐户。是的，这个 FIDO 密匙登录功能由微软 / 苹果 / 谷歌联合出品，属于行业标准。因此它是跨平台的，包括 Windows、macOS 和 iOS 以及 ChromeOS。换而言之，你可以用 Android 手机的密钥凭据解锁上述所有系统的帐户和网站。 在谷歌的眼中，密码登录这种老旧的身份验证方法很容易被钓鱼或者盗号等方法影响，安全性不高。而密钥登录则大为不同，它不能重复使用，也不会泄露服务器漏洞，还能保护用户免受网络钓鱼的攻击以及忘记密码的困扰，即使丢失了手机， FIDO 密钥也可以从云备份安全地同步到新手机。 不过，现在这个密钥登录功能还不完善，只是一个重要的里程碑，实现了两个关键功能： 用户可以在 Android 设备上创建和使用密钥，密钥通过 Google 密码管理器进行同步。 开发人员可以通过 WebAuthn API、Android 和其他支持的平台，使用 Chrome 在网站上为用户构建密钥支持。 如果要在网站上添加密钥登录功能，开发者需要注册 Google Play Services 测试版 ，并使用 Chrome Canary 版本。 密钥登录功能的下一个里程碑是原生的 Android 应用 API，原生 API 将为应用程序提供多种登录方式，用户可以选择密钥登录，或是使用已保存的密码登录。 转自 安全内参，原文链接：https://www.secrss.com/articles/47984 封面来源于网络，如有侵权请联系删除

9月14日，韩国个人信息保护委员会召开会议，对谷歌和Meta未经用户同意收集个人信息、用于个性化推荐广告的违法行为进行审议，并对谷歌处以692亿韩元（约合人民币3.46亿元）、对Meta 308亿韩元（约合人民币1.54亿元）的罚款。委员会要求，平台若要收集、利用第三方行为信息，必须提前通知用户并取得同意，让用户容易、明确地了解情况，并自由行使其决定权。 据悉，这是韩国首次就个性化推荐广告平台收集个人信息行为进行罚款，也是对企业违反韩国《个人信息保护法》开出的最大罚单。 根据韩国《个人信息保护法》第39条第15款，对此类违法行为，可以处以违法行为所得销售额百分之一以下金额的罚款。韩国个人信息保护委员会用谷歌和Meta提交的年度销售额乘以韩国用户比例，取2019-2021年3年的平均值为基础，考虑违法行为的严重性、持续时间等，最终共处以1000亿4千7百万韩元（约合人民币5亿元）的罚款。 据韩国中央日报，谷歌在一份声明中对此“深表遗憾”，并称将继续与韩国个人资料保护委员会沟通协商。Meta 则表示“无法就韩国个人信息保护委员的决定达成一致”，并称有可能提起上诉。对此，韩国个人信息保护委员会回应称“两家公司的违法行为十分确凿”，并表示已做好应对诉讼的准备。 根据韩国个人信息保护委员会发布的公告，自2021年2月起，委员会开始调查韩国国内外主要线上定向广告平台的行为信息收集和利用情况。调查持续了1年多的时间，重点为平台在收集第三方行为信息时是否得到了用户同意。 调查发现，谷歌在至少6年的时间内，在注册服务时没有明确告知用户第三方行为信息收集和使用事实细则，使用了“更多选项”隐藏部分设置，以及将隐私相关选项默认为“同意”。 具体来说，韩国和欧洲用户在注册谷歌账号时看到的界面不一样。对于个人信息权限的设置，谷歌在注册时提供了“快速定制”和“手动定制”的选择，在“手动定制”情况下，共分5个阶段显示浏览行为收集，保留时间、定向广告、个人信息保护等内容，用户可以分别选择同意或者不同意。委员会发现，欧洲用户界面上的显示更详细，而对韩国用户，“Web和APP活动”、“YouTube记录”、“广告个人优化”等被屏蔽在“更多选项”下，默认值设置为同意。 注册谷歌账户时同一阶段的界面，左图是韩国用户，右图是欧洲用户。图自韩国个人信息保护委员会公告文件 Meta则在约4年的时间内，将注册时需要告知用户的内容以不容易看懂的形式放在数据政策全文中。例如在创建Facebook账户时，共694行的协议显示在一次只能看到5行的滚动屏幕上。 创建Facebook账户时的协议显示界面。图自韩国个人信息保护委员会公告文件 今年5月，Meta试图将对韩国用户的隐私政策改为用户不同意收集信息便无法使用部分服务，但遭到用户强烈反对后于7月取消该计划。对此，韩国个人信息保护委员会正在调查Meta收集的第三方行为信息等是否为提供服务所必需的信息。 为什么平台在收集第三方行为信息时，要明确告知用户具体内容并得到同意？委员会公告指出，第三方行为信息是在用户访问其他网站或应用程序时自动收集的，因此用户很难预测自己在“哪些网站中的哪些行为信息”会被收集。特别地，在用户账号登录的所有设备上，平台都能监控在线活动，日积月累，可能收集或生成包括用户的“思想、信仰、政治见解、健康状况、生理数据、行为特征等”敏感信息。 韩国个人信息保护委员会的调查显示，大多数韩国用户的设置为允许平台收集第三方行为信息。其中，设置为允许的有82%以上的谷歌用户、98%以上的Meta用户，信息主体权利受到侵害的可能性和风险很大。 对此，韩国个人信息委员会委员长尹钟仁表示：“希望通过此次处分，纠正平台以提供免费服务为名，在用户不知情的情况下擅自收集、利用用户信息的行为。让这次处分成为一个契机，保障用户自主决定个人信息收集与利用的情况。……希望今后大型在线广告平台在收集和利用个人信息的过程中，能够显著提高透明度，尽到社会责任。” 韩国以外，其他国家也有类似案例，对谷歌和Meta第三方行为信息收集和定制广告的违法行为进行处罚。2019年1月，法国个人信息监管机构（CNIL）裁定谷歌在个性化广告方面“缺乏透明度，信息提供不充分，且未获得用户的有效同意”，对谷歌处以高达5000万欧元的罚款，是当时监管机构依据欧盟《一般数据保护条例》（GDPR）开出的最高金额罚单。2019年2月，德国反垄断监管机构（FCO）认为，Facebook在未经用户同意的情况下收集和利用了第三方行为信息，命其停止在德国境内的数据收集行为。 转自 安全内参，原文链接：https://www.secrss.com/articles/47026 封面来源于网络，如有侵权请联系删除

Google宣布，其提议的价值54亿美元的收购网络安全公司Mandiant的交易现在已经完成。这家互联网巨头早在3月份就首次透露了收购上市公司Mandiant的计划，在Mandiant从其前任所有者FireEye剥离后不到一年的时间里，作为与私募股权公司Symphony Technology Group的12亿美元交易的一部分。 今后，Mandiant将在Google Cloud的支持下运营，但Mandiant的品牌将继续存在。 Google云首席执行官Thomas Kurian在一篇博文中写道：”我们将保留Mandiant品牌，并继续Mandiant的使命，即让每个组织免受网络威胁并对他们的准备工作充满信心。” Mandiant仪表板 作为与亚马逊和微软并列的所谓”三大”公共云供应商之一，Google对潜在客户的重大承诺是，它将保持他们所有数据和基础设施的安全。这意味着不断推出新产品以应对不断变化的威胁，有时也意味着收购具有专业知识的老牌企业，以加强Google的安全主张。 而这正是Google通过Mandiant得到的东西，它在安全数据收集能力方面得到了很大的提升，更不用说接触到数百名安全人员了。 Kurian说：”将Google云现有的安全组合与Mandiant领先的网络威胁情报相结合，将使我们能够提供一个安全运营套件，帮助全球企业在安全生命周期的每个阶段保持保护。凭借Google的数据处理规模、人工智能和机器学习的新颖分析方法以及对消除整类威胁的关注，Google Cloud和Mandiant将帮助企业重塑安全，以满足我们快速变化的世界的要求。” 转自 安全内参，原文链接：https://www.secrss.com/articles/46820 封面来源于网络，如有侵权请联系删除

在过去的五个月里，谷歌一直在追踪一个名为 UAC-0098 的出于经济动机的威胁行为者，该行为者一直在针对乌克兰和欧洲的多个实体进行多次恶意活动。 该组织的活动与俄罗斯政府支持的攻击者的活动密切相关，谷歌的威胁分析小组 (TAG) 认为，至少 UAC-0098 的一些成员是 Conti 勒索软件团伙的前成员。 UAC-0098 因在攻击中使用IcedID 银行木马而广为人知，导致部署人为操作的勒索软件，充当 Quantum 和 Conti 等勒索软件组的访问代理。最近，威胁行为者的目标主要是乌克兰政府，该国的各种组织以及欧洲和一些非营利组织。 4月下旬，UAC-0098 发起了一场电子邮件网络钓鱼活动，以传递 AnchorMail，这是由 Conti 集团开发的 Anchor 后门的变体，之前安装为TrickBot模块。 谷歌表示，这些攻击似乎具有经济和政治动机，而且之所以引人注目，是因为 LackeyBuilder 和批处理脚本被用于动态构建 AnchorMail 。 从4月中旬到6月中旬，该组织使用 IcedID 和Cobalt Strike等恶意软件发起了针对乌克兰酒店业组织的电子邮件活动。 在5月的一次活动中，攻击者冒充乌克兰国家网络警察发送网络钓鱼电子邮件，而在另一次活动中，他们使用了印度一家酒店的被盗账户。同一个电子邮件帐户也被用于针对意大利的人道主义非政府组织，同样使用 IcedID。 同样在5月，UAC-0098冒充Elon Musk 和 StarLink 的代表发送网络钓鱼电子邮件。其中一些电子邮件针对政府、零售和技术部门的各种乌克兰组织。 5月下旬，攻击者以网络钓鱼电子邮件为目标，攻击乌克兰新闻学院 (AUP)，该电子邮件链接到 Dropbox 上的恶意文档，该文档将获取 Cobalt Strike dll。酒店业的组织也成为这些电子邮件的目标。 6月，UAC-0098 被发现利用 CVE-2022-30190，这是一个Windows 漏洞，也称为 Follina。谷歌表示，它通过 10,000 多封冒充乌克兰国家税务局的电子邮件破坏了垃圾邮件活动，这些电子邮件获取了 Cobalt Strike 信标。 谷歌指出：“UAC-0098 活动是东欧经济动机和政府支持的团体之间界限模糊的代表性例子，说明了威胁行为者改变目标以符合地区地缘政治利益的趋势。” 转自 E安全，原文链接：https://mp.weixin.qq.com/s/TN7Zuem8f3iHM_oi9EGnJw 封面来源于网络，如有侵权请联系删除