蓝队取证审计网络安全

我们发现利用Apache ActiveMQ漏洞CVE-2023-46604下载并攻击Linux系统的Kinsing恶意软件(也称为h2miner)和加密货币矿工被利用时，此漏洞会导致远程代码执行(RCE)， Kinsing使用它来下载和安装恶意软件。 该漏洞本身是由于OpenWire命令未能验证未经检测类类型而导致RCE。 ActiveMQ(用Java编写)是一个由Apache开发的开源协议，它实现了面向消息的中间件(MOM)。它的主要功能是在不同的应用程序之间发送消息，还包括STOMP、Jakarta Messaging (JMS)和OpenWire等附加特性。 Kinsing恶意软件是一种主要针对基于linux的系统的严重威胁，可以渗透服务器并在网络中迅速传播。它通过利用web应用程序或配置错误的容器环境中的漏洞进入。 最近，Kinsing背后的攻击组织一直在利用CVE-2023-4911 (Looney Tunables)漏洞。一旦Kinsing攻击了一个系统，它就会部署一个加密货币挖掘脚本，利用主机的资源来挖掘比特币等加密货币，从而对基础设施造成严重破坏，并对系统性能产生负面影响。 受影响的ActiveMQ版本 以下是受CVE-2023-46604漏洞影响的Apache ActiveMQ版本： Apache ActiveMQ 5.18.0 5.18.3之前的版本； Apache ActiveMQ 5.17.0 5.17.6之前的版本； Apache ActiveMQ 5.16.0 5.16.7之前的版本； 5.15.16之前的Ap…

谷歌为libwebp漏洞分配新的CVE编号，CVSS评分10分。 Libwebp是一个用于处理WebP格式图像编解码的开源库。9月6日，苹果公司安全工程和架构（SEAR）部门和加拿大多伦多大学研究人员在libwebp库中发现了一个0 day漏洞，随后，谷歌将该漏洞分类为Chrome漏洞，CVE编号CVE-2023-4863，并于1周后修复了该漏洞。 9月21日，安全研究人员Ben Hawkes将该漏洞与CVE-2023-41064相链接被用于零点击的iMessage漏洞利用链以感染iPhone设备。 9月25日，谷歌将该漏洞重新归类为了libwebp中的堆溢出漏洞，并为该漏洞重新分配了CVE编号CVE-2023-5129，CVSS评分10分。漏洞影响谷歌Chrome浏览器116.0.5845.187以前版本，漏洞的重新分类对使用libwebp开源库的项目带来重大影响，包括1Password、Signal、Safari、Mozilla Firefox、Microsoft Edge、Opera以及原生 Android web浏览器。 该漏洞存在于libwebp库使用的哈夫曼编码(Huffman Coding)算法ReadHuffmanCodes()中。攻击者利用该漏洞可以通过恶意伪造的HTML页面实现越界内存写操作，引发软件崩溃、任意代码执行、敏感信息非授权访问等严重后果。

从7月到9月，研究人员就已经观察到DarkGate活动，趋势科技检测为TrojanSpy.AutoIt.DARKGATE.AA，攻击者滥用即时通讯平台向受害者提供VBA加载器脚本。该脚本下载并执行由AutoIT脚本组成的第二阶段有效负载，其中包含DarkGate恶意软件代码。目前还不清楚即时消息应用程序的原始帐户是如何被攻击的，但应该是通过地下论坛获得的凭据。 DarkGate在过去的几年里并不是很活跃。然而，根据Truesec和MalwareBytes的报告，今年已经观察到多个攻击部署。通过对这次活动的密切监控，研究人员发现大多数DarkGate攻击都发生在美洲地区，其次是亚洲、中东和非洲。 2023年8月至9月DarkGate活动的分布 DarkGate活动背景 DarkGate于2017年底首次被发现，被归类为商品加载器。自2023年5月以来，DarkGate已经在俄语论坛开始流行，从那时起，使用恶意软件的初始入口攻击数量开始有所增加。DarkGate具有各种功能，包括执行以下操作的功能： 执行发现命令(包括目录遍历)； 自我更新，自我管理； 实现远程访问软件，如远程桌面协议或RDP、隐藏虚拟网络计算或hVNC、AnyDesk； 启用加密货币挖掘功能(启动、停止和配置)； 按键记录(keylogging)，Keylogging攻击是指攻击者跟踪键盘、鼠标活动，获得用户输入的信息，包括帐号、口令等； 从浏览器窃取信息； 权限升级。 DarkGate还使用一种名为AutoIt的windows专用自动化和脚本工具，来传播和执行其恶意功…

流行的开源项目“ip”的 GitHub 存储库最近被其开发人员存档或设为“只读”，由于 Fedor Indutny 的项目收到了 CVE 报告，因此网上有人开始向他报告这个漏洞。 不幸的是，Indutny 的案例并非孤例。近年来，开源开发者收到的有争议的 CVE 报告数量不断增加，有些甚至是未经确认的伪造 CVE 报告。 这可能会导致这些项目的用户产生不必要的恐慌，并且安全扫描程序会生成警报，而所有这些都会成为开发人员的头痛之源。 “node-ip” GitHub 存储库已存档 本月初，“node-ip”项目的作者 Fedor Indutny 将该项目的 GitHub 存储库存档，实际上使其成为只读的，并限制了人们打开新问题（讨论）、拉取请求或向项目提交评论的能力。 node-ip GitHub repo 已存档并设为“只读” “node-ip”项目作为“ip”包存在于 npmjs.com 注册表中，每周下载量达 1700 万次，是 JavaScript 开发人员使用的最受欢迎的 IP 地址解析实用程序之一。 6 月底，Indutny 在社交媒体上表达了存档“node-ip”背后的理由与 CVE-2023-42282 有关，这是该项目今年早些时候披露的一个漏洞。 使用其他开放项目（例如应用程序中的 npm 包和依赖项）的 Node.js 开发人员可以运行“npm audit”命令来检查其应用程序所使用的这些项目中是否有针对它们的漏洞报告。 Bothered dev 的开发人员在社交媒体上表达了他的担忧 该 CVE 与实用程序无法正…

继 Discord 因数据泄露而暂时停止运营之后，最流行的语言学习应用程序 Duolingo 也面临着数据泄露的问题。用户 @vx-underground在 X 上发布的帖子（此前曾在推特上发布）称，一名威胁行为者窃取了超过 260 万 Duolingo 用户的数据，并将其发布在了最新版的黑客论坛 "Breached "上。BleepingComputer 在其最近的帖子中已经证实了这一漏洞。 很显然，黑客是通过操纵 Duolingo API 中现有的漏洞来收集到这些数据的，他们只需向 API 发送一封有效的电子邮件，就能获取用户的个人数据、联系方式、地址等信息。 黑客通过向存在漏洞的 API 发送数百万个电子邮件地址，则会进一步成功找到了 Duolingo 的活跃用户。然后，这些电子邮件 ID就会被用来创建一个包含公开的以及非公开信息的数据集。另一种方法是向 API 提供用户名，然后获取包含敏感用户信息的 JSON 数据。 不过，这已经不是第一次在网上出现这种信息了。今年 1 月，Falcon Feeds 通过在推特上发布帖子提高了人们对这一问题的认识和理解。在 Breached 黑客论坛的上一次迭代中，有人曾经以 1,500 美元的价格出售用户数据库。数据中泄露了用户大量的个人信息，其中就包括了电子邮件地址、电话号码、照片、隐私设置等等。 早些时候，Duolingo 向 TheRecord 证实了此次数据泄露事件的发生，并一直保证正在调查此事。不过，他们并未提及数据中包含用户的私人信息。 这个问题最令人担忧的地方在于，尽管 Duoli…

漏洞概述 Easy Chat Server是一款基于Web的在线聊天服务器程序，运行系统为Windows，支持创建多个聊天室，多人在线聊天，该软件曾出现过多个漏洞。近日，安全研究人员发现该软件还存在基于栈溢出的漏洞，漏洞编号CVE-2023-4494。该漏洞源于使用HTTP GET对register.ghp文件进行访问时，未检查用户提交的username值的长度是否超过限制，从而使栈缓冲区溢出，覆盖其他内存空间，可导致任意代码执行。 影响范围 <=3.1 复现环境 操作系统：Win7 sp1，Kali linux 分析工具：IDA，Windbg，OLLYDBG，Burp Suite 漏洞复现 安装3.1版本的Easy Chat Server程序，安装完成后主程序路径为C:\EFS Software\Easy Chat Server\EasyChat.exe。当前服务器IP为192.168.220.128，启动主程序后，主界面如下图所示： 使用浏览器对主页进行访问，Web主界面如下图所示： 根据CVE官方公告，使用HTTP GET对register.ghp文件进行访问时，username字段可导致漏洞产生。所以使用浏览器访问http://192.168.220.128/register.ghp?username=test进行尝试，Web响应界面如下图所示： 可以看出，register.ghp可能是用户注册页面。同时反编译EasyChat.exe程序，发现还需要传递Password等字段。反编译如下图所示： 再次使用浏览器…

相关研究人员最近发现了一个异常活跃的攻击活动，研究人员称之为EleKtra-Leak，它会自动窃取GitHub公共存储库中泄漏的身份和访问管理(IAM)密钥。因此，与该活动相关的攻击者能够创建多个AWS弹性计算(EC2)实例，用于广泛和持久的加密劫持。 分析发现，攻击者能够在五分钟内识别并使用GitHub上首次泄漏的IAM密钥，这一发现证明了攻击者是如何利用云自动化技术来实现扩展加密劫持的目标。攻击者似乎使用自动化工具不断复制公共GitHub存储库，并扫描泄漏的亚马逊网络服务(AWS) IAM密钥。 分析过程 调查过程中，研究发现，攻击者可能会识别频繁出现的AWS账户id，以阻止这些账户id免受未来的攻击或自动化脚本的攻击。因此，研究人员设计了一种新颖的调查架构来动态创建和泄漏不可归因的AWS密钥。 多年来，攻击者越来越多地使用GitHub作为攻击的初始载体。GitHub的一个强大功能是它能够列出所有公共存储库，这使得开发人员和攻击者能够实时跟踪新的存储库。 考虑到这个功能，研究人员选择GitHub作为其窃取AWS密钥的实验平台，将明文泄露的密钥写入新创建的GitHub存储库中的文件中，该存储库是研究人员随机选择并从公共GitHub存储库列表中复制的。研究人员将AWS密钥泄露到复制存储库中随机创建的文件中，然后在成功提交后将其删除。 一旦将窃取的密钥提交到存储库，研究人员就会立即删除了它们。最初，IAM密钥使用Base64编码。然而，尽管像trufflehog这样的工具可以找到泄漏的Base64 IAM密钥，但事实上没有攻击者能找到密钥。…

一个名为“EncryptHub”的威胁者（又名“Larva-208”），一直以世界各地的组织为目标，通过鱼叉式网络钓鱼和社会工程攻击来访问企业网络。 根据Prodaft上周在内部发布的一份报告称，自2024年6月Encrypthub启动运营以来，它已经攻击了至少618个组织。 在获得访问权限后，威胁者安装远程监控和管理（RMM）软件，然后部署像Stealc和Rhadamanthys这样的信息窃取程序。在许多观察到的案例中，EncryptHub也会在受损的系统上部署勒索软件。 据悉，该威胁组织隶属于RansomHub和BlackSuit，过去曾部署过这两家勒索软件加密器，可能是它们的初始访问代理或直接附属机构。 然而，在研究人员观察到的许多攻击中，攻击者部署了自定义的PowerShell数据加密器，因此他们也保留了自己的变体。 获得初始访问权限 Larva-208的攻击包括短信网络钓鱼、语音网络钓鱼，以及模仿企业VPN产品（如Cisco AnyConnect、Palo Alto GlobalProtect、Fortinet和Microsoft 365）的虚假登录页面。 假冒思科登录页面 攻击者通常在给目标的消息中冒充IT支持人员，声称VPN访问有问题或他们的帐户存在安全问题，指示他们登录到一个网络钓鱼网站。 受害者收到链接，这些链接将他们重定向到网络钓鱼登录页面，在那里他们的凭据和多因素身份验证（MFA）令牌（会话cookie）被实时捕获。 一旦网络钓鱼过程结束，受害者将被重定向到服务的真实域，以避免引起怀疑。 网络钓鱼过程概述 Enc…

篇首语：很多部门都在思考如何使用低技术手段来解决高科技犯罪，反窃密行业同样如此。 嗯，总有些另辟蹊径的思路，比如今天要介绍的是，可以帮小姐姐查针孔偷拍的：ESD K-9 电子存储设备搜检汪汪队~~ 小贴士：K-9这个词源于英文单词Canine，原意指犬科动物，K9其实指的就是警犬或者是军犬，这个词最先流行于美国的警犬部门，现在已被广泛接受~~ 大家在机场见过防爆和缉毒的狗狗吧？ 声明：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 01 为什么要搜检电子存储设备？ 在现代社会，针对未成年人的互联网犯罪，包括创建和传播未成年人色情制品、儿童性奴、未成年人性侵犯和性虐待的直播等等。近些年，这类犯罪正在以惊人的速度增加。 这些疑犯通常的做法是将其对话信息、图片、视频和其他联系信息都保存在外部存储设备（例如硬盘、U盘、Micro SD卡等）并藏匿，这对执法人员的搜查工作制造了很大难题。 来自美国计算机犯罪部门的警官表示： 在搜查令期间，通常会要求执法人员查找与这些罪行有关的实物证据。这些证据对于识别受害者，并将这些嫌疑人从社区中驱逐及逮捕至关重要。 但当他们依法执行搜查工作时，由于电子存储设备通常很小，容易隐藏，所以虽然搜查工作通常要花费数小时，但总会疏漏些电子物证，甚至有些设备可能永远都找不到。 而每个未发现的设备，都可能是一个或多个身份不明的受害者的血泪证据。 这些被称为数字媒体电子存储设备（DMESD），包括笔记本硬盘、小型U盘、TF卡、SD 卡、Micro SD卡、智能手机以及许多其他存储设备。要知…

Forrester在其2024年网络安全、风险和隐私预测报告中警告到，开发运维（DevOps）团队更多地依靠AI编程助手来提高团队生产力，使编程任务实现自动化，但常常忽视了最终代码的安全缺陷。 Forrester预测，不一致的合规和治理实践，加上许多DevOps团队同时试用多个AI编程助手以提高生产力，将导致有缺陷的AI代码，2024年至少会造成三起公开承认的重大安全事件。Forrester还警告，AI代码缺陷将带来API安全风险。 AI编程助手重新定义影子IT 49%了解AI编程助手的业务和技术专业人士表示，所在组织正在试点、实施或已经在组织中实施了AI编程助手，Gartner预测，到2028年，75%的企业软件工程师将使用AI编程助手，而2023年初这个比例还不到10%。 DevOps负责人表示，随着每天开发代码的压力越来越大，在团队中使用多个AI编程助手司空见惯。编写更复杂的代码时间更紧迫，加上市面上AI编程助手遍地开花（已有40多种），导致了一种新形式的影子IT：DevOps团队从一种AI助手切换到另一种AI助手，看看哪个在处理某项任务时效果最好。 企业竭力满足其Devops团队对获准用于整个企业的新AI编程工具的需求。 AI编程助手可以从一些领先的人工智能和大语言模型（LLM）提供商获得，包括Anthropic、亚马逊、GitHub、GitLab、谷歌、Hugging Face、IBM、Meta、Parasoft、Red Hat、Salesforce、ServiceNow、Stability AI和Tabnine等。 2024年…

Fortra 称，FileCatalyst Workflow 中存在一个严重的硬编码密码漏洞，攻击者可以利用该漏洞未经授权访问内部数据库，从而窃取数据并获得管理员权限。 任何人都可以使用该硬编码密码远程访问暴露的 FileCatalyst Workflow HyperSQL (HSQLDB) 数据库，从而未经授权访问潜在的敏感信息。 此外，数据库凭据可能会被滥用来创建新的管理员用户，因此攻击者可以获得对 FileCatalyst Workflow 应用程序的管理级访问权限并完全控制系统。 在最近发布的安全公告中，Fortra 表示该问题被跟踪为 CVE-2024-6633（CVSS v3.1：9.8，“严重”），影响 FileCatalyst Workflow 5.1.6 Build 139 及更早版本。建议用户升级到 5.1.7 或更高版本。 Fortra 在公告中指出，HSQLDB 仅用于简化安装过程，并建议用户在安装后设置替代解决方案。因为没有按照建议配置 FileCatalyst Workflow 使用备用数据库的用户很容易受到任何可以到达 HSQLDB 的来源的攻击。暂时还没有缓解措施或解决方法，因此建议系统管理员尽快应用可用的安全更新。 缺陷发现和细节 Tenable 于 2024 年 7 月 1 日发现了 CVE-2024-6633，当时他们在所有 FileCatalyst Workflow 部署中都发现了相同的静态密码“GOSENSGO613”。Tenable 解释说，在产品的默认设置下，可以通过 TCP 端口 4406 …

过去一年里，像ChatGPT这样的生成式人工智能（GenAI）应用程序已经渗透到我们生活的方方面面。从生成营销内容，到为广告和博客创建图像，甚至是编写恶意代码……我们每天都在以某种方式与生成式人工智能的结果进行交互。 为了验证GenAI的能力，网络安全专家Stephen Salinas用ChatGPT生成了2024年网络安全预测结果，并对每项预测结果进行了评分。 预测1：勒索软件继续进化，并瞄准关键基础设施 未来一年，勒索软件攻击的复杂性和强度可能都会不断演进。此外，威胁行为者可能会越来越多地以能源、医疗、交通或金融等关键基础设施部门为目标，旨在破坏基础服务并索要高额赎金。除了加密受害者的文件外，恶意行为者还可能利用“双重勒索”或“三重勒索”等高级策略，以公布或出售被盗数据为威胁（双重勒索），并通过骚扰/恐吓受害者的亲友、客户等来施加压力（三重勒索）。 专家评分：B+ 这项预测可以说是在意料之内，毫无独特性，但这并不意味着它的准确性缺失。毫无疑问，勒索软件在2024年将继续成为困扰企业的一个大问题。就在上个月，米高梅大酒店（MGM Grand）遭到大规模勒索软件攻击，导致正常业务运营中断，损失高达1亿美元。 攻击者将在未来一年继续在所有行业部署这类攻击，任何类型的组织都不能心存侥幸，针对这种情况，组织能做的就是继续加强自身的防御能力。事实上，在许多情况下，通过对员工进行更多的网络安全培训，在出现已知漏洞时及时修补漏洞，并确保适当的网络分段，便可以有效避免勒索软件攻击。 预测2：人工智能驱动的网络攻击 恶意行为者可以利用人工智能（AI）和机…

代号为“REF4578”的恶意加密货币挖矿活动被发现部署了一个名为 GhostEngine 的恶意负载，该负载使用易受攻击的驱动程序关闭安全产品并部署 XMRig 矿工。 Elastic Security Labs 和 Antiy 的研究人员在报告中特别强调了这些加密货币挖矿攻击的异常复杂性，并共享了检测规则以帮助防御者识别和阻止它们。然而，两份报告都没有将该活动归咎于已知的威胁分子，也没有分享有关目标/受害者的详细信息，因此该活动的起源和范围仍然未知。 GhostEngine 虽然尚不清楚服务器最初是如何被破坏的，但威胁分子的攻击从执行名为“Tiworker.exe”的文件开始就伪装成合法的 Windows 文件。 此可执行文件是 GhostEngine 的初始暂存有效负载，GhostEngine 是一个 PowerShell 脚本，可下载各种模块以在受感染的设备上执行不同的行为。当 Tiworker.exe 执行时，它会从攻击者的命令和控制 (C2) 服务器下载名为“get.png”的 PowerShell 脚本，该服务器充当 GhostEngine 的主要加载程序。 此 PowerShell 脚本下载其他模块及其配置、禁用 Windows Defender、启用远程服务并清除各种 Windows 事件日志。 接下来，get.png 验证系统是否至少有 10MB 的可用空间（这是进一步感染所必需的），并创建名为“OneDriveCloudSync”、“DefaultBrowserUpdate”和“OneDriveCloudBackup…

GitHub 默认为所有公共存储库启用推送保护，以防止推送新代码时意外泄露访问令牌和 API 密钥等机密。这是一种自动防止敏感信息泄露的简单方法。该功能于 2023 年 5 月普遍适用于所有公共存储库。 推送保护通过在接受“git推送”操作之前扫描机密，并在检测到机密时阻止提交来主动防止泄漏。 GitHub 表示，秘密扫描功能通过发现来自 180 多个服务提供商的 200 多种令牌类型和模式（API 密钥、私钥、秘密密钥、身份验证令牌、访问令牌、管理证书、凭证等），自动防止秘密泄露。 “我们开始为所有用户推出推送保护。这意味着，当在公共存储库的任何推送中检测到受支持的机密时，您可以选择从提交中删除该机密，或者绕过封锁。” 即使所有公共存储库默认启用推送保护，GitHub 用户也可以绕过自动提交阻止。虽然不推荐，但他们可以在安全设置中完全停用推送保护。 推送保护的实际应用 使用 GitHub Advanced Security，它可以保护私有存储库中的敏感信息，还添加了一套其他秘密扫描功能，以及代码扫描、人工智能驱动的代码建议和其他静态应用程序安全 (SAST) 功能。 Tooley 和 Claessens 表示：“API 密钥、令牌和其他机密的意外泄露可能会带来安全漏洞、声誉受损和法律责任，其规模之大令人咂舌。” 仅在 2024 年年初，GitHub 就在公共存储库上检测到了超过 100 万个泄露的机密。也就是说，每分钟就有十几起意外泄露。凭证和秘密泄露也因此导致了多起影响深远的数据泄露事件。

继谷歌、微软后，GitHub发布passkey测试预览版，支持无密码登录。 7月12日，GitHub宣布在其最新的公开预览版中引入了无密码认证功能，用户可以自主从安全密钥升级到passkey。 Passkeys是与计算机、智能手机等相关的个人设备，在减小数据泄露风险、应对钓鱼攻击、防止密码被窃等方面起着重要作用。用户使用passkey后无需使用密码和双因子认证。用户也可以使用个人可识别信息、生物认证方法等登陆应用和在线平台，如人脸识别、指纹等。通过无密码登录用户无需对每个APP和网站管理不同的密码，改善用户体验和提高安全性。 要激活账户的passkey，需要点击GitHub页面的个人信息。打开'Feature Preview'菜单，点击启用'Enable passkeys'选项。下次再使用安全密钥登录时，GitHub就会询问用户是否要升级到passkey。因为passkey是一种隐私保护的特征，在升级过程中可能会需要多次触发passkey，以确保升级了正确的凭证信息。 过去几年，GitHub通过双因子认证、登录警告、拦截被黑的密码使用、添加WebAuthn支持等方式加强账户安全。今年3月13日，GitHub就对所有应用开发者强制使用双因子认证。此次passkey的升级将为用户提供更加灵活、可靠、安全的认证方式。 在passkey的使用方面，谷歌在今年5月对所有谷歌账户支持passkey，允许用户在无需输入密码或第二步验证的情况下登入账户。6月，微软在Windows 11中也支持passkey，在Windows hello中添加了内置的p…

12月24日，GitHub向用户发送邮件通知称，所有向GitHub.com贡献代码的用户应在UTC时间2024年1月19日之前启用双因子认证。如果用户不启用双因子认证，其账户功能会受限，用户在登录GitHub后，也会有类似的提醒信息。 图 GitHub要求用户启用双因子认证 GitHub旨在通过双因子认证保护用户账户安全，以及供应链攻击中的代码改变。但双因子仅适用于GitHub.com个人用户，并不适用于企业账户。 如果用户未在截止日期之前启用双因子认证，其功能会被限制。GitHub也向用户提供配置指令。2024年1月19日之后，未通过双因子认证的用户登录GitHub时会自动转向设置页面。 设置双因子认证步骤 GitHub提供了多种启动双因子认证的方法，包括使用安全密钥、GitHub mobile、认证APP、SMS文本信息等。为确保用户的可持续访问，建议使用其中至少两种方法。用户可以在GitHub的安全设置中管理双因子认证和探索其他方法。 图 Github双因子认证设置界面 1月19日之后，用户在启用双因子认证之后就无法关闭双因子认证，但可以修改其配置的验证方法。 图 使用短信认证的GitHub 双因子认证

安全研究机构最近报告了威胁分子如何滥用 GitHub 缺陷来推送恶意软件，同时使其看起来像是托管在可信组织的官方源代码存储库上。 虽然大多数与恶意软件相关的活动都是基于 Microsoft GitHub URL，但这个“缺陷”可能会被 GitHub 或 GitLab 上的任何公共存储库滥用，从而允许威胁分子创建非常令人信服的诱饵。 GitLab 评论也可能被滥用来推送恶意软件 例如，攻击中使用的以下 URL 使这些 ZIP 看起来像是存在于 Microsoft 的源代码存储库中： https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip然而，经过调查，这些文件（属于恶意软件）在 Microsoft 的代码存储库中却找不到。 相反，这些内容存在于 GitHub 的 CDN 上，很可能是由滥用该平台“评论”功能的威胁分子上传的。 在对提交或拉取请求留下评论时，GitHub 用户可以附加一个文件（档案、文档等），该文件将上传到 GitHub 的 CDN 并使用以下格式的唯一 URL 与相关项目关联：' https: //www.github.com/{project_user}/{repo_name}/files/{file_id}/{file_name}。' 对于视频和图像，文件将存储在该/assets/路径下。…

GitVenom 活动是一种复杂的网络威胁，利用 GitHub 存储库传播恶意软件并窃取加密货币。该活动通过创建数百个看似合法但包含恶意代码的虚假 GitHub 存储库来实施攻击，旨在诱骗开发人员下载和执行恶意代码，从而导致严重的财务损失。 恶意代码部署 GitVenom 背后的攻击者使用多种编程语言（如 Python、JavaScript、C、C++ 和 C#）制作虚假项目。这些项目通常声称提供社交媒体或加密货币管理的自动化工具等功能，但实际上隐藏了恶意代码，执行恶意操作。 恶意存储库的示例结构 Python 项目：攻击者使用一种技术，在一长行制表符后隐藏解密并执行恶意 Python 脚本的代码。 JavaScript 项目：嵌入了恶意函数，用于解码并执行 Base64 编码的脚本。 C、C++ 和 C# 项目：恶意批处理脚本被隐藏在 Visual Studio 项目文件中，以便在构建过程中执行。 这些虚假项目部署的恶意负载会从攻击者控制的 GitHub 存储库下载其他恶意组件。这些组件包括一个 Node.js 窃取程序，用于收集凭证和加密货币钱包数据等敏感信息，并通过 Telegram 将其上传给攻击者。此外，攻击者还使用了开源工具如 AsyncRAT 和 Quasar 后门。 根据 SecureList 的报告，攻击者还使用了剪贴板劫持程序，将加密货币钱包地址替换为攻击者控制的地址，从而导致严重的财务盗窃。值得注意的是，一个攻击者控制的比特币钱包在 2024 年 11 月收到了约 5 BTC（当时价值约 485,000 美元）。 …

Gmail、YouTube、Google Play等应用系统都依赖文本分类模型来识别有害内容，包括钓鱼攻击、不适当的评论内容和垃圾邮件。机器学习模型很难对此类文本进行精准分类，因此攻击者可以使用对抗文本操纵来主动绕过分类器。比如添加不可见的字符、关键字填充等来绕过防护。 为使文本分类器更加高效，谷歌研究人员开发一种新型多语言的文本向量化器——RETVec，以帮助模型实现最佳的分类性能和减少计算成本。此外，研究人员还将RETVec应用于Gmail实际场景。 使用RETVec增强Gmail垃圾邮件分类器 图1 基于RETVec的Gmail垃圾邮件过滤器改进 近年来，谷歌将RETVec广泛应用于谷歌的安全和反滥用应用中以评估其有用性和有效性。用RETVec替换Gmail垃圾邮件分类器之前使用的文本向量化器可以将垃圾邮件检测准确率在基准上改进38%，将假阳性减少19.4%。此外，使用RETVec将模型的TPU使用减少83%。 RETVec的优势 RETVec提出一种新型架构，融合了高度紧凑的字符编码器、增强驱动的训练和度量学习(Metric Learning)。RETVec可以应用于不同语言和所有UTF-8字符，无需进行文本处理，使得其适用于设备级、网页级和大型文本分类部署。使用RETVec训练的模型具有更快的推理速度。 模型更小因此计算成本和延迟更低，这对大规模应用和设备级模型至关重要。 图2 RETVec架构图 使用RETVec训练的模型还可以无缝转化为适用于移动和边缘设备的TFLite，对于web应用模型部署，研究人员还提供了Tenso…

近日，有网友发现华为、荣耀、Vivo旗下智能手机和平板设备对用户发出安全威胁告警，称Google app被检测到“TrojanSMS-PA”类恶意软件，建议用户尽快删除。 当用户点击安全告警消息的详情时，提示检测到该app秘密发送短信，引诱用户支付成人内容订单、下载和安装APP、窃取隐私信息等风险，这将引发用户财产损失和隐私泄露，建议用户立即卸载该APP。 目前该问题已被多个用户报告给了谷歌支持论坛、Reddit、华为论坛以及其他安卓社区。BleepingComputer联系了谷歌以确认是否是最近更新导致了这一问题，但发言人称Google Play Protect未触发这样的告警信息。谷歌称安全告警信息看似是来自于非官方渠道（Google Play）下载的APP导致的，建议联系设备厂商以获得更多信息。 BleepingComputer在预装了谷歌应用的华为设备上也看到了告警消息，这意味着谷歌的回应并不能完全解释这一问题。BleepingComputer确认华为设备上的告警信息是由 'Huawei Optimizer'（华为自带手机管家）展示的，目前还不清楚荣耀和Vivo手机上的告警消息是由哪个APP展示的。

有安全研究人员在 12 个恶意应用程序中发现了一种名为 VajraSpy 的 Android 远程访问木马 (RAT)，其中 6 个应用程序于 2021 年 4 月 1 日至 2023 年 9 月 10 日期间在 Google Play 上提供。这些恶意应用程序现已从 Google Play 中删除，但仍可在第三方应用程序商店中找到，它们被伪装成消息或新闻应用程序。 安装这些应用程序的用户感染了 VajraSpy，允许恶意软件窃取个人数据，并根据授予的权限，记录了他们的通话记录。 发现该活动的研究人员报告称，其运营商是 Patchwork APT 组织，该组织从 2015 年底以来一直活跃，主要针对巴基斯坦用户。 2022 年，威胁分子无意中泄露了他们的活动细节，当时他们不小心用“Ragnatela”RAT（他们当时使用的工具）感染了自己的基础设施。这一失误为 Malwarebytes 提供了了解 Patchwork 操作的窗口。 安卓间谍活动 ESET 研究人员发现了 12 个恶意 Android 应用程序，其中包含相同的 VajraSpy RAT 代码，其中 6 个应用程序上传到 Google Play，下载量约为 1400 次。第三方应用商店不报告下载量，因此通过这些平台安装它们的人数未知。 ESET 的遥测分析表明，大多数受害者位于巴基斯坦和印度，并且很可能是通过社交骗局被诱骗安装虚假消息应用程序。 12 个假冒应用程序中的两个 VajraSpy 作为一种间谍软件和 RAT，支持各种主要与数据盗窃有关的间谍功能。其功能总结如下：…

Google Play 上发现了一组新的 15 个 SpyLoan Android 恶意软件应用程序，安装量超过 800 万次，主要针对来自南美洲、东南亚和非洲的用户。 这些应用程序现已从 Android 官方应用程序商店中删除。然而，它们出现在 Google Play 上表明了威胁者的持续存在，因为即使最近针对 SpyLoan 运营商的执法行动也未能遏制这一问题。 Google Play 上一次重大的“SpyLoan 清理”是在 2023 年 12 月，当时删除了十多个累计 1200 万次下载的应用程序。 SpyLoan的作案手法 SpyLoan 应用程序是作为金融工具推广的工具，通过快速审批流程以欺骗性且常常是虚假的条款向用户提供贷款。 一旦受害者安装了这些应用程序，它们就会通过一次性密码 (OTP) 进行验证，以确保它们位于目标区域。然后他们被要求提交敏感的身份证明文件、员工信息和银行账户数据。此外，这些应用程序滥用其在设备上的权限来收集大量敏感数据，包括访问用户的联系人列表、短信、摄像头、通话记录和位置，以用于勒索过程。 McAfee 指出，这些应用程序的侵略性数据收集策略甚至会泄露受害者设备上的所有 SMS 消息，以及 GPS/网络位置、设备信息、操作系统详细信息和传感器数据。 窃取所有短信的代码 一旦用户通过该应用程序获得贷款，他们就必须支付高额利息，并且经常受到运营商利用从他们手机中窃取的数据进行骚扰和勒索。在某些情况下，诈骗者还会给贷款人的家人打电话骚扰他们。 Google Play 上的下载量达到 800 万次 Mc…

Android 官方商店 Google Play 在一年内传播了 200 多个恶意应用程序，累计下载量接近 800 万次。 这些数据是由 Zscaler 的威胁情报研究人员在 2023 年 6 月至 2024 年 4 月期间收集的，他们识别并分析了 Google Play 和其他分发平台上的恶意软件家族。 研究人员在官方 Android 应用商店中发现的最常见威胁包括： ·Joker (38.2%)：信息窃取者和短信抓取器，为受害者订阅高级服务 ·Adware (35.9%)：消耗互联网带宽和电池来加载侵入性前台广告或后台隐形广告的应用程序，产生欺诈性广告印象 ·Facestealer (14.7%)：在合法社交媒体应用程序之上覆盖网络钓鱼表单的 Facebook 帐户凭据窃取程序 ·Coper (3.7%)：信息窃取程序和 SMS 消息拦截器，还可以执行键盘记录和覆盖网络钓鱼页面 ·Loanly Installer (2.3%) ·Harly ( 1.4%）：为受害者订阅高级服务的木马应用程序 ·Anatsa（0.9%）：Anatsa（或 Teabot）是一种银行木马，针对全球 650 多个银行应用程序 今年 5 月初，这些研究人员在 Google Play 上发现了 90 多个恶意应用程序，下载量为 550 万次。 尽管谷歌拥有检测恶意应用程序的安全机制，但威胁分子仍然有一些技巧来绕过验证过程。在去年的一份报告中，谷歌云安全团队描述了“版本控制”，这是一种通过应用程序更新或从攻击者控制的服务器加载恶意软件来传播恶意软件的方法。 无论…

Google Play商店和Apple App Store上的Android和iOS应用程序包含一个恶意软件开发套件（SDK），旨在使用OCR偷窃器窃取加密货币钱包恢复短语。该活动被称为“ SparkCat”，其名称（“ Spark”）是受感染应用程序中恶意SDK组件之一的名称（“ Spark”）。 根据Kaspersky的说法，仅在Google Play上，下载数字就可以公开使用，被感染的应用程序下载了242,000次。 Kaspersky解释说：“我们发现Android和iOS应用程序具有恶意的SDK/框架，这些应用程序嵌入了窃取加密货币钱包恢复短语，其中一些可以在Google Play和App Store上找到。” 从Google Play下载了被感染的应用程序超过242,000次。这是在App Store中找到偷窃器的第一个已知案例。 Spark SDK窃取用户的加密货币 被感染的Android应用程序上的恶意SDK利用了称为“ Spark”的恶意Java组件，该组件伪装成分析模块。 它使用GitLab上存储的加密配置文件，该文件提供命令和操作更新。在iOS平台上，该框架具有不同的名称，例如“ gzip”，“ googleappsdk”或“ stat”。另外，它使用一个称为“ IM_NET_SYS”的基于锈的网络模块来处理与命令和控制（C2）服务器的通信。 该模块使用Google ML Kit OCR从设备上的图像中提取文本，试图找到可用于在攻击者设备上加载加密货币钱包的恢复短语，而无需知道密码。 它（恶意组件）会根据系统的语言加…

针对中东地区电信服务提供商的网络攻击是利用名为 HTTPSnoop 和 PipeSnoop 的新型恶意软件实施的，这些恶意软件允许网络犯罪分子远程控制这些感染了这种恶意软件的设备。 他们还发现了 HTTPSnoop 的配套植入程序PipeSnoop，它能够从命名管道中接受 shellcode，并通过将其发送到打开的套接字并在受感染的终端上进行执行。这些发现也证实，这两个被植入的程序属于一个名为"ShroudedSnooper"的黑客群组，Cisco Talos 认为它们极有可能属于新的入侵组织。 根据 Cisco Talos 的报告，这两个植入程序属于同一组名为 "ShroudedSnooper "的入侵程序，但在技术上是针对不同的操作目标进行的渗透。后门 HTTPSnoop是一种简单而有效的后门，它通过使用一种新颖的技术在 Windows 操作系统中进行编译，与 HTTP 内核驱动程序以及设备进行连接，监听传入的 HTTP(S) 请求，并在受感染的机器上执行恶意的命令。 Cisco Talos 在与 The Hacker News 分享的一份报告中指出，HTTPSnoop 是一种简单而有效的后门程序。值得注意的是，一个代号为 PipeSnoop 的姊妹植入程序也是威胁行为者武器库的一部分，因为该植入程序能够从命名管道中接受任意 shellcode 并在受感染的机器上进行执行。 据说，攻击者为了在目标环境中站稳脚跟，ShroudedSnooper 会首先攻击公网的服务器，并首先使用HTTPSnoop 进行攻击。这两种恶意软件都冒充了 Pa…