俄罗斯历史最悠久的 XMPP 服务 jabber.ru 的管理员 oxpa 在 10 月 16 日遇到了一个令其困惑不已的问题：客户端通过端口 5222 (XMPP STARTTLS)连接服务器时出现了证书过期的警告，但服务器上使用的所有证书都在有效期内。受影响的机器包括 Hetzner 的一台专用服务器和 Linode 的两台虚拟服务器，都托管在德国。这些服务器上的端口 5222 显然遭遇了中间人攻击。调查人员在 Hetzner 服务器的内核日志里发现了不同寻常的记录：2023 年 7 月 18 日其物理网络连接丢失了 19 秒。攻击者使用了 Let’s Encrypt 颁发的 TLS 证书，通过透明 MiTM 代理劫持了端口 5222 上的加密 STARTTLS 连接。这次攻击由于其中一个 MiTM 证书过期而被发现，该证书尚未重新颁发。此次中间人攻击至少持续了 6 个月，很可能是 Hetzner 和 Linode 被迫设置的，用于执行合法拦截。

安全公司 Malwarebytes 警告，攻击者正通过 Google 广告引诱用户访问开源密码管理器 KeePass 的钓鱼网站。但最值得注意的是攻击者的策略。攻击者使用国际化域名编码（Punycode）注册了 KeePass 的钓鱼网站，钓鱼域名和 KeePass 官方域名在视觉上的差异非常小，无疑会让很多人上当。在浏览器上看到的域名 ķeepass[.]info 实际上是国际化域名编码 xn--eepass-vbb[.]info。用户通过钓鱼网站下载的 KeePass 包含的恶意代码属于 FakeBat 恶意程序家族。

2015 年研究人员报告了 RowHammer 攻击，一个用户级应用程序反复访问 DDR 内存芯片的特定区域可以导致比特翻转。比特翻转（Bitflips）是指储存在电子设备上的个别比特发生翻转的事件，比如从 0 变为 1 或反之亦然。内存厂商在后续产品中加入了抵御 RowHammer 攻击的保护措施，主要是限制程序在给定时间内打开和关闭目标芯片区域的次数。现在研究人员报告了被称为 RowPress 的新技术，能在部署了 RowHammer 保护措施的 DRAM 中诱发比特翻转。RowPress 不是反复访问挑选的特定区域，而是让其保持更长的打开时间。研究人员表示，这不是一次攻击，只是表明引发比特翻转的方法有很多。

Google 宣布 Google Play Protect 将在侧载应用安装时扫描是否是恶意程序。所谓侧载应用是指从非官方应用商店下载的应用。绝大部分恶意应用都是通过非官方应用商店传播的。Google 称 Play Protect 将在安装时对应用代码进行深度扫描，将各个部分的信息发送到 Google 服务进行评估，实时分析完成之后将向用户展示结果，用户将会知道安装应用是否安全或者是否有害。Google 将首先在印度推出该功能，之后扩大到其它所有国家。

乌克兰网络活动人士 Ukrainian Cyber Alliance 黑入了勒索软件组织 Trigona 的服务器，拷贝然后清空了所有数据。他们拷贝了源代码和数据库记录，其中可能有解密密钥。黑客是利用了已知的远程提权漏洞 CVE-2023-22515 入侵了 Trigona 的服务器，他们首先建立了一个可靠的立足点，然后在完全未被发现的情况下绘制了勒索软件组织的网络基础设施。接下来他们提取了 Trigona 所有信息，包括开发环境、加密货币热钱包、源代码和数据库记录。他们不清楚其中是否有解密密钥，表示如果发现将会公开。

Google 安全团队 Threat Analysis Group (TAG) 称，中俄黑客组织正在利用一个前不久修复的 WinRAR 高危漏洞 CVE-2023-40477。该漏洞是安全公司 Group IB 发现的，8 月 2 日释出的 WinRAR v6.23 修复了该漏洞，但有很多用户尚未更新。该漏洞允许远程攻击者通过引诱受害者打开一个特制的 RAR 压缩文件去执行任意代码。攻击者可以伪造文件扩展，在伪造的 .jpg 或 .txt 等文件格式中隐藏恶意脚本。当受害者打开文件，攻击者可以远程执行代码，安装恶意软件。Google 研究人员观察到俄罗斯黑客组织 Sandworm 9 月初冒充乌克兰的无人机作战训练学校发送恶意邮件，其中包含了压缩文件链接去利用 WinRAR 漏洞。另一个俄罗斯黑客组织 Fancy Bear 同样以乌克兰用户为目标。

两周前在网络犯罪论坛兜售 23andMe 客户数据的黑客再次泄露了数百万 23andMe 客户的基因数据。23andMe 提供基因检测服务，它此前表示攻击者利用的是撞库攻击。所谓撞库攻击是指通过已泄露的用户密码信息生成字典表，尝试批量登录其它网站，获取可以登录的用户账号。名叫 Golem 的黑客在 BreachForums 上发布了新的 23andMe 数据集，包含了 400 万用户，Golem 声称其中包含了生活在美国和西欧的最富有的人的数据。23andMe 表示正对此展开调查。黑客自称拥有 300TB 的 23andMe 客户数据。

安全研究人员发现，IT 管理员广泛使用弱密码，其中包括 admin。网络安全公司 Outpost24 分析了恶意程序窃取的身份凭证，将其中的管理员账号挑选出来。他们共分析了 180 万个管理员凭证，发现其中使用 admin 的账号有 4 万个。前 20 流行密码包括：admin，123456，12345678，1234，Password，123，12345，admin123，123456789，adminisp，11. demo，root，123123，admin@123，123456aA@，01031974，Admin@123，111111，admin1234 和 admin1。绝大多数密码都很容易破解。

思科刚披露了一个高危 0day CVE-2023-20198，存在于 IOS XE 的 WebUI 中，任何运行 IOS XE、启用 HTTP 或 HTTPS 服务器功能并暴露于公网的交换机、路由器或无线 LAN 控制器都受到影响。攻击者能利用漏洞获得网络的完整管理权限。Shodan 搜索显示有逾 14 万联网的 IOS XE 设备，对这些设备的扫描显示，有 3.45 万设备已经遭到入侵。思科建议系统管理员在补丁可用前先禁用 HTTP 服务器功能。

CIA 上月底在官方 Twitter 账号中添加了它的 Telegram 频道 https://t.me/securelycontactingcia，其中包含了如何通过暗网和其它隐蔽手段联络该机构的信息，它同时警告潜在的线人对其它任何声称代表 CIA 的频道保持警惕。然而 Twitter/X 展示链接的缺陷会让完整的网址截断为 https://t.me/securelycont，其中 securelycont 这个名字在 Telegram 还没人使用。37 岁的安全研究员 Kevin McSheehan 注意到了这个问题，他注册了用户名 securelycont，任何点击链接的人都会访问他的频道，其中包含了不要分享任何秘密信息的警告。链接被截断的问题 X 上早就存在过，他惊讶于 CIA 竟然没有注意到。CIA 对其频道被劫持一事尚未置评。

思科督促客户修复一个正被活跃利用的高危 0day 漏洞，攻击者可利用该漏洞获得网络的完整管理权限。该漏洞编号为 CVE-2023-20198，严重等级 10/10。漏洞存在于 Cisco IOS XE 的 Web 用户界面中，任何运行 IOS XE、启用 HTTP 或 HTTPS 服务器功能并暴露于公网的交换机、路由器或无线 LAN 控制器都受到影响。Shodan 搜索显示有多达 8 万台联网设备受影响。思科称，至少从 9 月 18 日开始，未知身份的攻击者就利用该漏洞成为授权用户，创建本地用户账号。攻击者在大多数情况下会植入恶意程序，一旦 Web server 重启能在系统或 IOS 级别执行恶意命令。植入的程序在重启后无法继续存在，但本地用户帐户能继续保持活动状态。该植入程序保存在 /usr/binos/conf/nginx-conf/cisco_service.conf 下。

过去两个月，黑客劫持了 WordPress 网站向访问者展示浏览器需要更新才能正常访问的信息，如果访客上当他们会下载恶意程序收集登陆凭证等敏感信息。恶意程序通常托管在 Web 服务上，一经发现会迅速被移除。但在这起攻击中，黑客利用了币安智能链的智能合约去储存永远无法移除的恶意代码。加密货币所使用的区块链在信息写入之后是很难移除的。

思科最近披露了 Cisco Emergency Responder 的一个漏洞 CVE-2023-20101，它包含了一个 root 账号的静态用户凭证，原本是为开发保留的，但不小心留在了最终用户产品中。攻击者可以使用该账号登陆受影响系统，以 root 用户权限执行任意命令。这远非第一次思科在其产品中使用了硬编码密码。

最近攻击者入侵了多名 Steam 开发者账号，为游戏加入了恶意程序。Valve 的调查显示，不到 100 名 Steam 用户安装了含有恶意程序的版本，它已通过邮件向这些用户发出了警告。Valve 采取了措施阻止相同的事情再次发生，它要求从 10 月 24 日开始更新游戏需要双因素验证，开发者将需要一部手机接收短信形式的双因素验证码。如果游戏尚未发行，或只是更新测试版分支，则不需要代码。手机是必须的，如果开发者没有手机，Valve 称，“抱歉，但是如果需要添加用户或为已发行的应用设置默认分支，就需要手机或某种方式来接收短信。”

微软威胁情报团队（Threat Intelligence）称，中国黑客组织 Storm-0062 正在利用 Atlassian 的 0day 入侵客户系统。Atlassian 是在 10 月 4 日披露了其 Confluence 数据中心和服务器中的一个漏洞 CVE-2023-22515。微软安全团队表示，它从 9 月 14 日起就观察到了漏洞利用。Atlassian 本周更新了安全通知，称该漏洞正被活跃利用。

curl 项目释出了 curl 8.4.0，其中修复了一个高危漏洞 CVE-2023-38545，该漏洞被认为是至今 curl 项目发现的最严重漏洞之一。curl 作者 Daniel Stenberg 在个人博客上详细解释了这一漏洞。攻击者可通过发送长度超过 16kB 的主机名触发该漏洞，导致堆缓冲区溢出。Stenberg 表示，如果 curl 是用内存安全语言 aka Rust 开发的话那么该问题不会发生，但重写 curl 不在他的议程中。他说可能会支持用 Rust 写一些依赖项目，逐步取代部分功能，但在可预见的未来，curl 仍然是用 C 编写的。

Google 披露了峰值攻击流量每秒请求数超过 3.98 亿次的 DDoS 攻击，称其全球负载均衡基础设施阻止了这一攻击，客户基本未受影响。这次攻击使用了新颖的 HTTP/2 快速重置方法。Google 称 HTTP/2 的主要设计目标是效率，但这也让 DDoS 的攻击效率更高。HTTP/2 将一个 TCP 连接分为若干个流（Stream），每个流中可以传输若干消息（Message），每个消息由若干最小的二进制帧（Frame）组成。HTTP/1.1 是串行处理每个请求，而 HTTP/2 的客户端在一个 TCP 连接上可以打开多个并发流，在实际使用中客户端每个请求可以打开 100 个流。它允许客户端发送 RST_STREAM 帧告诉服务器取消上一个流。客户端和服务器端无需为此进行协商，客户端可以单方面要求取消上一个流。HTTP/2 快速重置攻击就是利用这一原理。客户端一次连接打开大量流，然后再立即取消每个请求。立即重置流的能力允许每个连接有无数个运行中的请求。请求数量不依赖于 RTT 而是可用网络带宽。

2022 年 11 月 11 日，FTX 员工经历了公司短暂历史上最糟糕的一天，这家曾价值 320 亿美元的加密货币交易所宣布了破产。但更糟糕的时刻还没到来。身份尚未识别的一位黑客或一群黑客选择在这个时间点盗窃该公司的加密货币。FTX 因此次盗窃损失了 4.15-4.32 亿美元的加密货币资产，而如果不是剩余的员工及时采取行动，它本来会损失 10 亿美元以上。当天晚上 10 点左右，FTX 子公司 LedgerX CEO Zach Dexter 向剩余员工、破产律师和顾问发送了 Google Meet 邀请，主题是“紧急情况”。有数十人最终加入了 Google Meet，其中之一是联合创始人兼 CTO Gary Wang。当时数字资产信托公司 BitGo 正准备托管 FTX 剩余的加密货币资产。Dexter 建议让 BitGo 立即创建冷钱包将所有加密货币都转移过去。BitGo 表示这需要大约半个小时，但 FTX 员工认为等准备完毕可能为时已晚了。Google Meet 会议上有人建议先用硬件钱包储存资产。FTX 顾问 Kumanan Ramanathan 提出其办公室里有一个 Ledger Nano——U盘硬件钱包——可以作为加密资产的临时避难所。晚上 10:30 左右，Ramanathan 创建了新钱包，Wang 向该钱包转移了 4-5 亿美元的加密货币资产。BitGo 几分钟后通知他们冷钱包已经准备就绪。FTX 员工随后将所有资产都转移给了 BitGo。Ramanathan 的钱包最终也合并到了 BitGo。到了 11 月 12 日凌晨 5 点，BitGo 托管了 11 亿美元的 FTX 资产。

X.Org 项目披露了五个漏洞，其中之一 CVE-2023-43785 属于内存越界访问漏洞，位于 libX11 库中，相关代码可追溯到 1996 年。第二个漏洞 CVE-2023-43786 同样位于 libX11 库中，为 PutSubImage()函数无限递归导致栈耗尽，相关代码可追溯到 1988 年 2 月。第三个漏洞 CVE-2023-43787 则是 XCreateImage() 函数整数溢出导致堆溢出，相关代码同样可追溯到 1988 年。另外两个漏洞是 libXpm 中的越界读取，相关代码可追溯到 1998 年。

网络安全公司 Human Security 报告有数万中国制造的廉价 Android 设备预装了后门。研究人员目前识别了 8 款植入了后门的设备，其中 7 款是电视盒，还有一款是平板，数量至少有 7.4 万。植入的后门是基于恶意程序 Triada，这些设备主要被用于广告欺诈和住宅代理服务。幕后攻击者据称控制了多达千万个家庭 IP 地址和 700 万个移动 IP 地址。这意味着全球有多达 2000 万台设备受到感染，任何时候都有 200 万台设备在线。趋势科技的安全研究人员表示，这些数据是可信的。Google 和苹果已经移除了安全研究人员发现的关联应用。