•美柚、宝宝树等App平台推送涉黄短信？官方回应：数据库安全，启动自查

•以色列NSO集团承认入侵WhatsApp服务器并开展网络间谍活动

•微软11月例行Exchange更新被曝导致客户邮件传输大面积受阻

•网络钓鱼攻击手法升级：SVG附件成为规避安全检测帮凶

•警惕假冒的AI工具针对Windows和macOS用户发起新型攻击

•利用域名劫持构建隐蔽网络，"坐鸭式攻击"成网络犯罪新威胁

•Palo Alto 发布官方公告，确认PAN-OS零日漏洞已被实际利用

•APT组织或利用FortiClient VPN零日漏洞窃取用户凭证

•GitHub CLI爆严重安全漏洞，开发者或面临远程代码执行风险

•Google紧急修复Vertex AI平台两个关键漏洞，可致模型训练数据遭窃取

美柚、宝宝树等App平台推送涉黄短信？官方回应：数据库安全，启动自查

近日，多位用户在社交媒体发文称，准爸爸注册母婴APP美柚后，会频繁接到涉黄短信，而此前没有出现此种情况。除了美柚，另一款母婴APP宝宝树孕育也被指泄露用户隐私。随后，美柚和宝宝树孕育先后发布官方声明回应，表示尚未发现用户信息泄漏等违法违规情况，公司目前已开展内部调查。

美柚于17日发布声明称，留意到近期网络上关于“涉黄短信骚扰”的讨论，其中涉及到美柚等母婴类App的用户家庭。公司第一时间进行了自查核实，未发现用户信息泄漏等违法违规情况。

宝宝树孕育于18日发布声明称，公司关注到网络中关于“母婴App涉黄短信骚扰”的讨论，并已在第一时间成立专项小组启动内部自查工作。经过核实，目前公司数据库安全，无异常情况，未发现用户信息泄露等违法违规情况。

值得注意的是，在2022年10月工信部开展的APP侵害用户权益整治“回头看”活动中，其组织第三方检测机构对违规推送弹窗信息、APP过度索取权限等问题进行重点抽测后，共发现38款APP存在问题，其中就包含美柚和宝宝树孕育。

原文链接：

https://mp.weixin.qq.com/s/Cfq_RU1N_m7AkAD7KDYCeg

以色列NSO集团承认入侵WhatsApp服务器并开展网络间谍活动

根据美国法院最新文件披露，以色列监控技术公司NSO Group在其Pegasus间谍软件被WhatsApp发现并封锁后，仍继续利用该平台的服务器进行黑客攻击。这份具有重大影响的法庭文件揭示了该公司侵入WhatsApp服务器的详细证据。

据法庭文件显示，在WhatsApp于2019年5月识别并封锁了此前的漏洞利用后，NSO 集团开发了一个名为"Erised"的新安装载体，继续利用WhatsApp服务器部署Pegasus间谍软件。这个漏洞直到2020年5月WhatsApp实施进一步的安全更改后才失效。

这起在加利福尼亚北区美国地方法院审理的案件中，NSO承认其Pegasus软件对诉讼中详述的攻击负有责任，该间谍软件被用于通过WhatsApp发送恶意消息，利用平台漏洞进行攻击。值得注意的是，NSO还承认为自己和客户创建WhatsApp账户以实施这些攻击，绕过了该通讯服务的安全措施。

虽然NSO公司试图以行为发生在美国境外为由质疑法院管辖权，但法院已经驳回了这些论点。

原文链接：

https://cybersecuritynews.com/nso-developed-another-whatsapp-spyware-even-after-being-sued/

据外媒报道，微软公司因邮件传输问题暂停推送在11月例行补丁日发布的月度Exchange安全更新。这一决定源于多个系统管理员报告称，更新后邮件完全停止传输。

受影响的用户主要是使用传输规则（邮件流规则）和数据丢失防护（DLP）规则的Microsoft Exchange客户。邮件流规则用于过滤和重定向传输中的邮件，而数据丢失防护规则则确保敏感信息不会通过邮件泄露给外部组织。

据微软公司反馈，一些客户在安装更新后发现邮件流规则出现周期性停止工作的情况。目前，微软建议遇到此问题的管理员完全卸载11月的安全更新，直到重新发布修复版本。

微软在更新说明中表示："我们正在继续调查并努力开发永久性修复方案来解决这个问题，修复版本将在准备就绪后发布。我们已暂停通过Windows/Microsoft Update推送11月的安全更新。对于不使用传输规则或DLP规则且未遇到规则相关问题的客户，可以继续使用11月的安全更新。"

原文链接：

https://www.darkreading.com/cloud-security/microsoft-pulls-exchange-patches-amid-mail-flow-issues

网络钓鱼攻击手法升级：SVG附件成为规避安全检测帮凶

网络安全研究人员日前发现，威胁行为者正在越来越多地使用可缩放矢量图形（SVG）附件来开展钓鱼攻击和部署恶意软件，这种方式可以有效规避安全检测。

由于是矢量图像，SVG可以在不同分辨率下自动调整大小而不损失图像质量，这使其成为浏览器应用程序的理想选择。安全研究人员分享的样本显示，攻击者正在广泛利用SVG文件的多功能性。SVG不仅可以显示图形，还可以通过元素显示HTML，并在图形加载时执行JavaScript。这使得威胁行为者能够创建既可显示图像又可嵌入钓鱼表单以窃取凭证的SVG附件。

一个近期发现的SVG附件攻击样本表明，攻击者通过伪装成Excel电子表格的界面嵌入登录表单，当用户提交数据时，信息会被发送给攻击者。另一些SVG附件则伪装成官方文档或信息请求，诱导用户点击下载按钮，从远程站点下载恶意软件。还有一些攻击活动利用SVG附件中嵌入的JavaScript代码，在打开图像时自动将浏览器重定向到托管钓鱼表单的网站。由于这些文件主要是图像的文本表示，因此很少会被安全软件检测到。

原文链接：

https://www.bleepingcomputer.com/news/security/phishing-emails-increasingly-use-svg-attachments-to-evade-detection/

警惕假冒的AI工具针对Windows和macOS用户发起新型攻击

研究人员发现，威胁行为者正利用伪造的AI视频和图像生成器向Windows和macOS用户分发Lumma Stealer和AMOS信息窃取恶意软件，这些恶意软件能从受感染设备上窃取凭证和加密货币钱包信息。

安全研究人员披露，过去一个月内，攻击者创建了多个伪装成"EditPro"AI视频和图像编辑器的虚假网站。这些网站通过搜索结果和X平台上的广告进行推广，利用深度伪造的政治视频作为诱饵。攻击者分别通过editproai[.]pro和editproai[.]org两个专业外观的虚假网站，向Windows和macOS用户推送恶意软件。

这些恶意软件能从Google Chrome、Microsoft Edge、Mozilla Firefox和其他Chromium浏览器中窃取加密货币钱包、cookies、凭证、密码、信用卡信息和浏览历史。所有数据都会被打包发送给攻击者，用于进一步的攻击或在网络犯罪市场上出售。

原文链接：

https://www.bleepingcomputer.com/news/security/fake-ai-video-generators-infect-windows-macos-with-infostealers/

利用域名劫持构建隐蔽网络，"坐鸭式攻击"成网络犯罪新威胁

Infoblox公司的网络安全研究人员日前警告称，"Sitting Ducks攻击"（坐鸭式攻击）作为一种通过劫持DNS配置来控制域名的攻击手段，在网络安全社区中尚未得到足够重视，但其威胁程度和影响范围正日益扩大，每天或有超过100万个注册域名可能面临此类威胁。

自2018年以来，网络犯罪分子已利用这一攻击手段劫持了数万个域名，受害者包括知名品牌、非营利组织和政府实体。Infoblox最新发布的监测报告结果令人担忧：共识别出80万个易受攻击的域名，其中约7万个已被劫持。

研究人员发现，Vacant Viper是最早利用Sitting Ducks攻击的威胁组织之一，自2019年12月以来每年劫持约2500个域名。该组织利用被劫持的域名增强其名为404TDS的恶意流量分发系统，用于运行垃圾邮件操作、传播色情内容、建立远程访问木马，以及传播DarkGate和AsyncRAT等恶意软件。

目前，该组织运营着规模最大的网络犯罪附属计划，为超过65个附属合作伙伴分发受感染的网络流量。许多附属机构使用俄罗斯反机器人服务来过滤机器人和安全研究人员，可以根据IP地理位置和用户代理等设置阻止规则。

原文链接：

https://www.helpnetsecurity.com/2024/11/15/sitting-ducks-attack/

Palo Alto 公司日前官方确认了PAN-OS防火墙系统中的一个零日漏洞正在遭实际利用，并发布了新的威胁指标（IoCs）。该公司上周曾警告客户限制对下一代防火墙管理接口的访问，因为存在一个潜在的关键远程代码执行漏洞。

公告表示，该公司已观察到针对有限数量暴露在互联网上的防火墙管理接口的威胁活动，攻击者利用未经身份验证的远程命令执行漏洞进行攻击。安全团队发现恶意活动来自多个IP地址，包括136.144.17[.]、173.239.218[.]251和216.73.162[.]。值得注意的是，这些IP地址可能与VPN服务相关联，因此也可能与合法用户活动有关。

Palo Alto Networks表示，攻击者利用该零日漏洞在被入侵设备上部署了Web shell，从而获得持续的远程访问能力。公司建议客户确保按照最佳实践部署指南正确配置管理接口访问。特别是建议立即确保管理接口只能从受信任的内部IP访问，而不是从互联网访问。如果限制管理接口仅允许特定IP访问，将显著降低漏洞被利用的风险。

原文链接：

https://securityaffairs.com/171057/hacking/palo-alto-networks-zero-day-exploitation.html

APT组织或利用FortiClient VPN零日漏洞窃取用户凭证

威胁情报公司Volexity日前研究表示，有APT组织正在利用FortiClient VPN软件中的一个关键漏洞，作为广泛网络攻击行动的一部分，同时部署名为DEEPDATA的模块化恶意软件框架。

据介绍，这个零日漏洞于2024年7月被发现，攻击者可以从FortiClient进程的内存中提取VPN凭证。FortiClient漏洞利用主要通过名为"msenvico.dll"的插件实现，该插件可从VPN客户端的内存中的JSON对象中提取用户名、密码、远程网关和端口信息。

Volexity的分析显示，攻击者维护着一个复杂的命令与控制（C2）基础设施，使用多个服务器托管恶意软件负载和管理应用程序，证据表明他们正在持续开发其工具。Volexity于今年7月向Fortinet报告了这个FortiClient漏洞，Fortinet公司也官方确认了该问题。但截至11月Volexity的研究报告发布时，该问题仍未有效解决。

原文链接：

https://cybersecuritynews.com/brazenbamboo-apt-forticlient-zero-day/#google_vignette

GitHub CLI爆严重安全漏洞，开发者或面临远程代码执行风险

研究人员发现在流行的GitHub CLI工具中存在一个严重的安全漏洞（CVE-2024-32002），攻击者可以通过远程代码执行（RCE）在用户系统上执行恶意命令。该漏洞影响2.62.0版本之前的GitHub CLI，对使用该工具与GitHub仓库和服务交互的开发者构成重大风险。

这个漏洞源于GitHub CLI在用户连接到Codespace环境时处理SSH连接细节的方式。具体来说，当用户使用"gh codespace ssh"或"gh codespace logs"命令与恶意Codespace SSH服务器交互时，问题就会出现。漏洞利用了GitHub CLI在获取SSH连接详情（包括远程用户名）时的安全缺陷，这些信息随后被用于执行SSH命令。

攻击者可以通过制作带有修改过的SSH服务器的恶意devcontainer，将任意SSH参数注入到连接详情中。当用户连接到被入侵的Codespace时，攻击者可以操纵远程用户名，使用户名包含恶意SSH参数。成功利用此漏洞可能导致在用户系统上执行任意代码、敏感数据和凭证泄露、恶意软件或后门安装，以及在用户网络内进行横向移动。

为应对这一漏洞，安全专家建议用户立即升级GitHub CLI至2.62.0或更高版本，在使用自定义devcontainer镜像时保持谨慎，优先使用来自可信源的默认或预构建devcontainer，并警惕连接来自不受信任仓库的Codespaces。

原文链接：

https://cybersecuritynews.com/github-cli-rce-vulnerability/#google_vignette

Google紧急修复Vertex AI平台两个关键漏洞，可致模型训练数据遭窃取

Google公司日前紧急修复了其Vertex AI平台的两个关键漏洞，可能导致权限提升，微调机器学习（ML）模型，以及大语言模型（LLM）的数据泄露。

Vertex AI是一款为开发者提供利用Google Cloud资源训练和部署AI模型的工具。其中的Vertex AI Pipelines功能允许开发者创建自定义训练任务来灵活调整模型。研究人员发现，由于运行自定义任务类似于运行代码，恶意行为者可能滥用此功能执行未经授权的命令。更值得注意的是，自定义任务以"服务代理"权限执行，这些权限远超启动任务所需的访问级别。

为验证此漏洞，研究人员创建了一个自定义镜像，当执行自定义任务时会打开反向shell，最终将用户权限提升至AI Platform Custom Code Service Agent的级别。利用这一角色，研究人员可以访问元数据服务和所有BigQuery表格、获取服务凭证、提取用户数据脚本、列出所有服务账户，以及创建、删除、读写所有存储桶等。他们还通过使用用户数据脚本获得了对虚拟机创建的可见性，并获取了Google Cloud Platform内部Artifactory仓库的元数据。

原文链接：

https://www.scworld.com/news/google-fixes-2-vertex-ai-flaws-that-could-lead-to-privilege-escalation-model-leaks