提供基因检测服务的美国公司 23andMe 证实其平台上的用户数据被盗，称攻击者利用的是撞库攻击。此前有黑客在黑客论坛兜售声称窃取自 23andMe 的客户数据，并公开了数据样本。黑客以每个账号 10 美元到 1 美元（数量越多单价越便宜）的价格出售。所谓撞库攻击是指通过已泄露的用户密码信息生成字典表，尝试批量登录其它网站，获取可以登录的用户账号。23andMe 发言人称初步调查显示该公司的系统没有发现安全问题。

米高梅集团证实黑客在上个月的网络攻击中窃取了客户数据，此次攻击预计将给这家经营赌场和酒店的巨头造成大约 1 亿美元的损失。米高梅集团是在 9 月 11 日披露遭到网络攻击，勒索组织 Scattered Spider 随后宣布对此负责。它在本周四递交的监管文件中披露了更多信息，称被窃取的数据属于 2019 年 3 月前与该公司有过交易的客户，其中包括姓名、联系信息、性别、出生日期和驾照。黑客还窃取了少数客户的社会安全号码和护照。米高梅集团没有披露有多少客户受到影响。它表示客户的密码或付款信息没有被窃取。

周日晚上下班回家路上，53 岁的 Brian Morrison 发现他的全新名爵 ZS 电动汽车卡在了时速 30 英里无法减速。幸运的是他仍然能控制方向，能避免碰撞（晚上十点的车流也少），在警方的帮助下他从失控的汽车内转移到警车内（他有行动障碍无法跳车），然后利用警车对汽车进行围堵阻止其前进，直到3 小时后技术人员赶到现场设法关闭了汽车。这辆电动汽车没有机械式制动器。如果故障发生在上午十点而不是晚上十点，无疑会造成更严重的问题。

Arm 周一警告其 Mali 系列 GPU 驱动漏洞 CVE-2023-4211 正被活跃利用。Mali GPU 被广泛用于 Google Pixels 等 Android 手机，Chromebook 等 Linux 设备。本地非特权用户可利用该漏洞访问已释放的内存。访问不再使用的系统内存是将恶意代码加载到攻击者可执行位置的一种常见机制。Arm 表示它已在 Bifrost、Valhall 和 Arm 第五代 GPU 架构内核驱动版本 r43p0 中修复了该漏洞，受影响的版本包括：Midgard 内核驱动版本 r12p0 - r32p0，Bifrost 驱动版本 r0p0 - r42p0，Valhall 驱动版本 r19p0 - r42p0，Arm 第五代 GPU 架构内核驱动版本 r41p0 - r42p0。高通芯片使用的是 Adreno GPU，使用高通芯片的 Android 手机不受影响。

美国和日本对黑客组织 BlackTech aka Palmerworm、Temp.Overboard、Circuit Panda 和 Radio Panda 秘密在路由器上植入后门固件发出了警告。BlackTech 的活动至少始于 2010 年，它设法获得管理员凭证访问子公司使用的网络设备，安装后门固件，然后逐渐渗透和入侵关联公司的网络。BlackTech 通常以分支机构使用的路由器为目标，然后滥用企业网络之间路由器的信任关系。安全警告提到了思科的路由器。思科表示攻击者只能在该公司的旧型号路由器上安装后门固件，新路由器能阻止运行未经授权的固件。

研究人员披露了针对 GPU 的新型旁路攻击，能暴露其处理的视觉数据。该攻击命名为 GPU.zip。GPU.zip 利用了现代所有 GPU 都使用的优化技术——图形数据压缩，研究人员发现它能被滥用暴露视觉数据，比如在最新版本的 Google Chrome 上，一个恶意网页能泄露另一个网页的像素。测试显示，AMD、苹果、Arm、英特尔和高通的集显以及英伟达的独显都受到影响。研究人员表示，大部分网站都禁止跨源网站嵌入，因此普通用户不太容易受到 GPU.zip 的像素窃取攻击。研究人员在 3 月就向 GPU 供应商以及 Google 报告了漏洞，但没有一家公司承诺修复漏洞，Google 尚未决定如何修复。

因为以色列的不配合西班牙法官 José Luis Calama 搁置了 Pegasus 间谍软件调查。2022 年 5 月西班牙政府披露以色列公司 NSO Group 的间谍软件被用于攻击包括首相 Pedro Sánchez 在内的高级官员，其中包括国防大臣、农业大臣和内政大臣。2020 年 10 月到2021 年 12 月间，首相的手机五次成为攻击目标。西班牙媒体认为攻击者是与西班牙有外交冲突的摩洛哥。2022 年 6 月法官表示已向以色列发出正式的国际司法协助，要求提供 Pegasus 相关信息。法官还表示准备前往以色列听取证人证词。但本周一因以色列政府完全不配合调查，没有回应司法请求，法官只能暂时结案。

勒索软件组织 Ransomed.vc 声称成功入侵了索尼集团，窃取了数据。这一说法尚未获得确认。该组织在其暗网网站上表示不会向索尼索要赎金，因为索尼不想支付赎金，所以它改为出售数据。Ransomed.vc 公布了部分数据作为证据，但看起来不是特别有说服力，它公布了内部登陆页面截图、内部 PPT 演示文件，多个 Java 文件等等。

苹果释出了 iOS 16.7 和 iOS 17.0.1，修复了两个正被间谍软件公司 Intellexa 利用的 0day——CVE-2023-41992 和 CVE-2023-41993。漏洞是 Google 安全团队 Threat Analysis Group (TAG)与公民实验室合作发现的，上周报告给了苹果，苹果在短时间内就释出了紧急更新。Google 安全博客公布了漏洞细节。漏洞利用是通过中间人攻击执行的，当目标通过 HTTP 访问网站，一个中间人可以拦截流量将伪造的数据返回给目标，迫使目标访问不同的网站。Intellexa 的利用链组合使用了三个漏洞，整个过程不需要用户互动——即所谓的零点击攻击。TAG 团队还观察到攻击者使用相似的漏洞利用链，在埃及的 Android 设备上安装间谍软件。安全研究人员督促 Chrome 用户启用 HTTPS-First Mode 以抵御中间人攻击。

前不久遭到网络攻击导致大部分服务瘫痪至今还没有恢复的米高梅集团正在紧急招聘一位 Red Hat Linux 系统管理员，时薪 110 美元（相当于年薪 40 万美元），但有条件：在新的 IT 环境重建起来前每周工作七天每天工作十小时，候选人必须是美国公民，非绿卡或 H1B 签证持有者，工作截至 10 月 15 日。在遭到勒索组织攻击之后，米高梅的计算机问题持续了 10 天，每天损失最多 8400 万美元。米高梅的竞争对手凯撒娱乐也披露遭到了网络攻击，但其运营基本没有受到影响，据报道它向自称 Scattered Spider 的勒索组织支付 1500 万美元赎金，以换取数据安全的承诺。

Jacob Appelbaum 在 2022 年发表的博士论文《Communication in a world of pervasive surveillance: Sources and methods: Counter-strategies against pervasive surveillance architecture》最近在安全行业引起了关注，原因是他根据斯诺登（Edward Snowden）在 2013 年的泄密文档在论文中声称 Cavium 的产品包含有 NSA 后门。Cavium 为路由器、网络交换器、NAS 等产品提供 ARM 或 MIPS 处理器，2018 年被 Marvell 收购。Marvell 发言人发表声明，否认这一指控，称该公司将产品的安全放在第一位，Marvell 或 Cavium 没有为任何政府实现后门。Appelbaum 对此解释说，Marvell 也许没有有意植入后门，但它可能无意中在产品中加入了容易利用的弱加密算法，比如臭名昭著的 NAS 椭圆曲线算法 Dual EC DRBG。

安全公司趋势科技的研究人员披露了黑客组织 Earth Lusca 使用的全新 Linux 后门。研究人员自 2021 年以来一直跟踪 Earth Lusca，他们在其服务器上发现了一个加密二进制文件，通过 VirusTotal 搜索文件名 libmonitor.so.2，研究人员找到了一个可执行 Linux 文件 mkmon，它包含了可用于解密 libmonitor.so.2 的凭证。研究人员发现解密后的有效负荷是一个他们从未见过的 Linux 后门。主执行例行程序(routine)和字符串显示其源自开源 Windows 后门 Trochilus，有多个功能是专为 Linux 重新实现的。他们将该 Linux 后门命名为 SprySOCKS。它有版本号的标记，显示它还在开发之中。

加密货币交易所 CoinEX 的热钱包遭到入侵，被盗走了价值 5300 万美元的加密货币。区块链安全公司 PeckShield 称，入侵发生在 9 月 12 日，黑客盗走了价值 1900 万美元的以太坊，1100 万美元的波场币，640 万美元的 Smart Chain Coin ($BSC)、600 万美元的比特币(BTC)，以及大约 295,000 美元的 Polygon ($MATIC)。被盗总损失 4300 万美元。但 CertiK Alert 将 CoinEx 损失估计提高到了 5300 万美元。CoinEx 表示所有受损的客户都会获得全额赔偿，在所有安全风险都消除前它暂停了充值和提现服务。

勒索组织 Scattered Spider 利用社交工程方法攻击了米高梅等西方公司，此举旨在勒索赎金。攻击者首先从社交网络如职业社交网站 LinkedIn 查找目标公司的员工，然后用英语冒充他们致电技术支持部门（Help Desk），索要访问网络所需的密码或凭证。该组织的黑客声称获取初始访问权限仅仅花了 10 分钟。经营赌场和酒店的米高梅集团本周遭到网络攻击，导致服务大规模瘫痪，到本周三仍然没有完全恢复。Google 子公司 Mandiant 的 CTO Charles Carmakal 推测该组织的成员在英国或欧洲。

总部位于拉脱维亚、已被俄罗斯屏蔽的俄语独立媒体 Meduza 披露，它的联合创始人 Galina Timchenko 的 iPhone 手机感染了以色列公司 NSO Group 的间谍软件 Pegasus。Meduza 的 IT 主管在 6 月 23 日打电话给 Timchenko 叫她立即回办公室。一天前她将从苹果公司收到的一条警告消息转发给了 IT 部门。这条消息称她的手机遭到了国家支持黑客的攻击。她创办的新闻媒体一直遭到俄罗斯的攻击，对于此类警告她日益熟悉。IT 部门寻求 Access Now 和公民实验室的专家帮助调查此次攻击。安全研究人员的快速评估得出了一个结论：手机感染了 Pegasus，时间是在 2023 年 2 月 10 日。此后攻击者掌握了她的几乎所有信息。Timchenko 是第一位被确认感染 Pegasus 的俄罗斯记者。Access Now 推测可能是哈萨克斯坦或阿塞拜疆应俄罗斯要求执行了此次攻击。

Mozilla 释出紧急更新修复了一个正被利用的 0day 漏洞，该漏洞影响 Firefox 和 Thunderbird。漏洞编号为 CVE-2023-4863，由 WebP 库(libwebp)中的堆缓冲区溢出引起，会导致崩溃到任意代码执行，攻击者能通过恶意 WebP 图像利用该漏洞。Mozilla 释出了 Firefox 117.0.1、Firefox ESR 115.2.1、Firefox ESR 102.15.1、Thunderbird 102.15.1 和 Thunderbird 115.2.2 修复漏洞。漏洞利用的细节尚未披露。

卡巴斯基研究人员披露了一个秘密植入后门三年之久的 Linux 应用 Free Download Manager。网站 freedownloadmanager[.]org 向 Linux 用户提供应用 Free Download Manager，但从 2020 年开始，该域名会不定时的将用户重定向到另一个域名 deb.fdmpkg[.]org 下载恶意版本。恶意版本包含了脚本会下载两个可执行文件到 /var/tmp/crond 和 /var/tmp/bs 中，脚本然后使用 cron 定时任务调度器每 10 分钟执行一次 /var/tmp/crond 中的文件，这意味着设备被永久植入了后门。安全研究人员发现，攻击者会收集系统信息、浏览历史、保存的密码、加密钱包文件以及云服务（AWS、Google Cloud、Oracle Cloud Infrastructure 和 Azure）凭证等数据，将窃取的数据上传到其控制的服务器。恶意域名的重定向在 2022 年结束，该行动目前处于不活跃状态。

被命名为 WiKI-Eve 的新型攻击能拦截智能手机通过 WiFi 传输的明文信号，以最高九成的正确率推断出单个数字按键，从而窃取到数字密码。WiKI-Eve 利用了 2013 年随 WiFi 5 (802.11ac) 引入的一项功能 BFII(beamforming feedback information)，该功能允许设备向路由器发送有关其位置的反馈，让路由器更精确的引导信号。BFI 交换的是明文形式的数据，意味着它无需专门的硬件或破解加密密钥就能拦截和使用数据。来自中国和新加坡的一组大学研究人员发现，他们能以九成的正确率破译单个数字按键，以 85% 的正确率破译 6 位数字密码。攻击仅适用于数字密码，而且必须是在密码输入期间拦截 WiFi 信号，这是一种实时攻击。攻击者还需要使用 MAC 地址等识别目标。

Google 释出紧急更新修复一个 Chrome 0day。Google 在安全公告中警告，被称为 CVE-2023-4863 的漏洞正被利用，但没有披露更多信息。Chrome 用户被建议尽快更新到 v116.0.5845.187 (Mac 和 Linux) 以及 v116.0.5845.187/.188(Windows)。CVE-2023-4863 属于 WebP 堆缓冲区溢出（heap buffer overflow）漏洞，会导致从崩溃到任意代码执行。苹果 Security Engineering and Architecture (SEAR)和多伦多大学公民实验室在 9 月 6 日报告了该漏洞。

预印本平台 arXiv 官方博客宣布它遭遇了 DDOS 攻击。过去几天一小部分用户发出了逾百万电邮变更请求。这些邮件来自 200 多个 IP 地址，几乎全部隶属于中国某个省的一家 ISP。如此多的确认电邮请求令其电邮服务器不堪重负，可能导致 arXiv 用户未能收到邮件。arXiv 正采取措施遏制攻击，包括屏蔽特定 IP 段，这可能会影响部分合法用户。arXiv 的开发和运营团队规模很小，没有能力对抗 DDOS 攻击。