英特尔周二推送了微码更新，修复高危 CPU 漏洞 Reptar（CVE-2023-23583）。该漏洞影响几乎所有现代英特尔处理器，可被用于攻击云端主机。Reptar 与 CPU 管理前缀有关，Intel x64 解码通常允许忽略冗余前缀而不会有任何后果，但 Google 安全研究员 Tavis Ormandy 在测试时发现，在支持“快速短重复移动（fast short repeat move）”的英特尔处理器上运行 REX 前缀会产生“意料之外的结果”。一旦触发，可能导致虚拟机中的 guest 账号执行不信任代码而导致系统崩溃，或者可用于提权。

SektorCERT 披露丹麦关键基础设施在今年五月遭遇了该国历史上最大规模的网络攻击。有 22 家公司遭到入侵，部分公司被迫切断与外界的网络接入断开所有非必要网络连接。攻击者利用了未修复的 Zyxel 防火墙漏洞，还利用了多个尚未公布的 0day 漏洞。SektorCERT 研究人员表示，攻击由多个组织发起，其中至少一个与俄罗斯情报机构的 Sandworm 行动相关。Zyxel 防火墙漏洞是在 4 月爆出的，允许远程攻击者无需身份验证完全控制防火墙，许多使用 Zyxel 的组织以为防火墙是由供应商更新的，但实际上 Zyxel 的软件是免费的，获得安全补丁则需要付费。还有很多组织根本不知道网络中存在有问题的设备。这种情况使得攻击者可以利用已公开的漏洞发动攻击。

工行美国子公司 ICBC Financial Services 上周遭到勒索软件攻击，与俄罗斯有关联的勒索软件组织 LockBit 与此次攻击相关。攻击者利用最近披露的高危漏洞入侵工行系统，此事凸显了及时打补丁的重要性。攻击者利用的一个漏洞是思杰(Citrix)在 10 月 10 日披露的 CitrixBleed 高危漏洞 CVE-2023-4966，危险等级 9.4/10，可远程利用，无用户互动，无特殊权限，低复杂度。攻击发生之后，工行隔离了部分系统，切断了与美国国债市场以及为其结算交易的纽约梅隆银行平台的连接，开始手动清算交易。工商尚未透露是否向黑客支付赎金。

安全公司 Checkmarx 报告了针对 Python 开发者的供应链攻击，攻击者发布了 8 个用于混淆代码的 Python 软件包，其中植入了具有高度侵入性的后门。这些软件包共被下载了 2348 次。以第八个混淆包 pyobfgood 为例，一旦安装，攻击者基本上可以完全控制受害者的电脑，能窃取主机信息、窃取 Chrome 保存的密码、设置键盘记录器、下载文件、屏幕截图和录屏录音、通过增加 CPU 占用等方法关闭电脑或导致蓝屏死机、加密文件、执行任何指令，等等。软件包的下载绝大部分来自美国（62%）、其次是中国（12%）和俄罗斯（6%）。

工商银行美国子公司 ICBC Financial Services(FS) 于 11 月 9 日遭到了勒索软件攻击。ICBC FS 在网站的声明中表示它立即切断了网络连接隔离了受影响系统。工商银行表示，其业务和电邮系统是独立于集团运行，这起事故没有对纽约分行、总行以及其他境内外附属机构产生影响。它已经向执法机构报告了这起事件。工商银行是全球收入最高的商业银行，去年收入 2147 亿美元，利润 535 亿美元。勒索软件攻击短干扰了美国国债的交易，ICBC FS 表示它能清算 8 日执行的美国国债交易，以及 9 日的回购融资。

澳大利亚主要港口运营商 DP World Australia 在网络攻击导致设施瘫痪愈两天后恢复了正常运行。该公司管理的港口处理了澳大利亚四成的进出口货物，从上周五到本周一早晨，位于墨尔本、悉尼、布里斯班和珀斯的港口运营因网络攻击受到干扰。这次事故没有影响到澳大利亚超市的商品供应。DP World Australia 隶属于迪拜国有的 DP World 集团，该公司表示今天将有四千个集装箱离开其管理的四个港口。目前还不清楚攻击者的身份。DP World 表示在上周五攻击发生之后，它立刻切断了与港口的网络连接，防止对其网络的任何未经授权的访问。它表示正对此次事故展开调查。

OpenAI 的 AI 聊天服务 ChatGPT 及其 API 昨天遭遇了服务周期性中断事故，OpenAI 在事故声明中称遭到了 DDoS 攻击。它没有指出是谁发动了攻击，但自称 Anonymous Sudan 的组织称攻击是它发起的，攻击理由是 OpenAI 对以色列和巴勒斯坦的广泛偏见。Anonymous Sudan 称攻击使用了 SkyNet 僵尸网络，该僵尸网络自 10 月以来提供了压力服务，加入了对应用层 DDoS 攻击的支持。Anonymous Sudan 在今年 6 月成功 DDoS 攻击了微软的 Outlook.com、OneDrive 和 Azure Portal。

特斯拉可以在任何时候远程访问其生产的电动汽车。在引发隐私和安全方面的争议和担忧之后，特斯拉在最新的软件更新中允许车主关闭远程访问。一位叫 Bennett 的车主在版本号 2023.27.7 中发现服务设置中远程访问可关闭功能被远程激活。特斯拉远程控制指令包括解锁车门、启动汽车或在紧急情况下重置系统等操作。这引发了黑客可能入侵汽车远程控制方向盘和刹车的担忧。特斯拉的隐私政策也引发了关注，Mozilla 的研究发现，在保护客户数据上特斯拉是 25 家汽车厂商中最糟糕的。

趋势科技的 Zero Day Initiative（ZDI） 在 2023 年 9 月 7 日和 8 日向微软报告了 Microsoft Exchange 的 4 个 0day，攻击者可以利用漏洞远程执行任意代码或泄露敏感信息。对于这些漏洞的严重性微软提出质疑，该公司发言人表示其中一个漏洞已经在 8 月的安全更新中修复，另外三个漏洞需要攻击者先获得凭证，而且没有证据表明能被利用提权。微软表示这些漏洞没有达到需要立即修复的标准，他们会视情况而定在未来版本中评估修复。ZDI 对此不予认同，决定自己公开漏洞，以警告 Exchange 管理员注意安全风险。它承认漏洞确实需要获得凭证才能利用，但指出犯罪分子有很多方法窃取 Exchange 凭证，包括但不限于暴力破解弱密码、钓鱼攻击、收购等等。目前最主要的缓解漏洞利用的方法是避免凭证泄露。

加拿大政府宣布在在政府配发的移动设备上禁止使用微信和卡巴斯基软件套装。该禁令即日生效。加拿大政府是以保护政府信息和网络安全的理由做出这一决定。政府还将在这些设备上屏蔽微信和卡巴斯基的下载。加拿大官员表示，这些应用“对隐私和安全构成了不可接受的风险”。腾讯旗下的微信是中国最流行的社交软件之一，有逾十亿用户，在国外也有数以千万计的用户，但主要是华人使用。

研究人员披露了针对 Mac、iPad 和 iPhone 上 Safari 浏览器的瞬态执行旁路攻击，并将其命名为 iLeakage。利用 iLeakage，攻击者可以在用户浏览恶意网页时通过预测执行获取其它网页的敏感信息如密码。CPU 预测执行漏洞 Spectre 自六年前披露以来，虽然主要芯片供应商英特尔和 AMD 等公司采取了措施缓解漏洞，但新的漏洞利用仍然不断的被发现。iLeakage 利用的是苹果设备使用的 A 和 M 系列 CPU 的旁路漏洞，研究人员利用它成功恢复了 YouTube 观看历史记录和 Gmail 收件箱内容（登录状态下）以及密码管理器 LastPass 自动填充的 Instagram 密码。该漏洞预计影响所有苹果设备，苹果已经实现了缓解措施，但尚未默认启用，目前仅能在 macOS Ventura 13.0 以及更高版本中启用。

乌克兰黑客组织 KibOrg 和 NLB 声称成功入侵了俄罗斯最大的民营银行阿尔法银行（Alfa-Bank）。作为证据，他们在其博客上公布了阿尔法银行内部数据库的屏幕截图，以及多名俄罗斯人的私人信息。黑客称银行的数据库包含有逾 3000 万条记录，其中包括客户的姓名、出生日期、账号和电话号码。一位匿名的乌克兰情报官员表示情报机构 SBU 帮助黑客入侵了阿尔法银行。这位官员没有披露更多细节。黑客们表示将与调查记者分享从阿尔法银行获得的数据。

身份认证管理服务商 Okta 上周五披露，黑客在获取到其客户支持管理系统的凭证之后访问了客户信息。该公司没有披露黑客是如何窃取到其支持系统凭证的。安全公司 Beyond Trust 称在攻击者使用有效身份认证 cookies 尝试访问其 Okta 账号之后，他们在 10 月 2 日向 Okta 发出了警告，但该公司在两周多时间内没有任何回应。本周被逾十万企业和数百万用户使用的密码管理器 1Password 披露，它在 9 月 29 日监测到了内部 Okta 账号的可疑活动。他们立即终止了该活动，并展开了调查，没有发现客户数据或敏感系统入侵的迹象。

在欧洲刑警组织等机构的协调下，欧洲多国对 Ragnar Locker 勒索软件组织的主要成员展开了突击行动。该组织的关键成员于 10 月 16 日在法国巴黎被捕，其在捷克的家遭到搜查。另外五名嫌疑人分别在西班牙和拉脱维亚接受询问。Ragnar Locker 的基础设施在荷兰、德国和瑞典查封，暗网上的数据泄露网站在瑞典被关闭。Ragnar Locker 自 2019 年 12 月以来一直很活跃，它攻击了世界各地的基础设施，因此被认为具有高威胁优先度。它采用了双重勒索策略，除了加密数据还通过窃取数据威胁泄露勒索受害者。它在 2020 年曾攻击了日本知名游戏公司 Capcom，最近攻击了葡萄牙国家航空公司和以色列的一家医院。

俄罗斯历史最悠久的 XMPP 服务 jabber.ru 的管理员 oxpa 在 10 月 16 日遇到了一个令其困惑不已的问题：客户端通过端口 5222 (XMPP STARTTLS)连接服务器时出现了证书过期的警告，但服务器上使用的所有证书都在有效期内。受影响的机器包括 Hetzner 的一台专用服务器和 Linode 的两台虚拟服务器，都托管在德国。这些服务器上的端口 5222 显然遭遇了中间人攻击。调查人员在 Hetzner 服务器的内核日志里发现了不同寻常的记录：2023 年 7 月 18 日其物理网络连接丢失了 19 秒。攻击者使用了 Let’s Encrypt 颁发的 TLS 证书，通过透明 MiTM 代理劫持了端口 5222 上的加密 STARTTLS 连接。这次攻击由于其中一个 MiTM 证书过期而被发现，该证书尚未重新颁发。此次中间人攻击至少持续了 6 个月，很可能是 Hetzner 和 Linode 被迫设置的，用于执行合法拦截。

安全公司 Malwarebytes 警告，攻击者正通过 Google 广告引诱用户访问开源密码管理器 KeePass 的钓鱼网站。但最值得注意的是攻击者的策略。攻击者使用国际化域名编码（Punycode）注册了 KeePass 的钓鱼网站，钓鱼域名和 KeePass 官方域名在视觉上的差异非常小，无疑会让很多人上当。在浏览器上看到的域名 ķeepass[.]info 实际上是国际化域名编码 xn--eepass-vbb[.]info。用户通过钓鱼网站下载的 KeePass 包含的恶意代码属于 FakeBat 恶意程序家族。

2015 年研究人员报告了 RowHammer 攻击，一个用户级应用程序反复访问 DDR 内存芯片的特定区域可以导致比特翻转。比特翻转（Bitflips）是指储存在电子设备上的个别比特发生翻转的事件，比如从 0 变为 1 或反之亦然。内存厂商在后续产品中加入了抵御 RowHammer 攻击的保护措施，主要是限制程序在给定时间内打开和关闭目标芯片区域的次数。现在研究人员报告了被称为 RowPress 的新技术，能在部署了 RowHammer 保护措施的 DRAM 中诱发比特翻转。RowPress 不是反复访问挑选的特定区域，而是让其保持更长的打开时间。研究人员表示，这不是一次攻击，只是表明引发比特翻转的方法有很多。

Google 宣布 Google Play Protect 将在侧载应用安装时扫描是否是恶意程序。所谓侧载应用是指从非官方应用商店下载的应用。绝大部分恶意应用都是通过非官方应用商店传播的。Google 称 Play Protect 将在安装时对应用代码进行深度扫描，将各个部分的信息发送到 Google 服务进行评估，实时分析完成之后将向用户展示结果，用户将会知道安装应用是否安全或者是否有害。Google 将首先在印度推出该功能，之后扩大到其它所有国家。

乌克兰网络活动人士 Ukrainian Cyber Alliance 黑入了勒索软件组织 Trigona 的服务器，拷贝然后清空了所有数据。他们拷贝了源代码和数据库记录，其中可能有解密密钥。黑客是利用了已知的远程提权漏洞 CVE-2023-22515 入侵了 Trigona 的服务器，他们首先建立了一个可靠的立足点，然后在完全未被发现的情况下绘制了勒索软件组织的网络基础设施。接下来他们提取了 Trigona 所有信息，包括开发环境、加密货币热钱包、源代码和数据库记录。他们不清楚其中是否有解密密钥，表示如果发现将会公开。

Google 安全团队 Threat Analysis Group (TAG) 称，中俄黑客组织正在利用一个前不久修复的 WinRAR 高危漏洞 CVE-2023-40477。该漏洞是安全公司 Group IB 发现的，8 月 2 日释出的 WinRAR v6.23 修复了该漏洞，但有很多用户尚未更新。该漏洞允许远程攻击者通过引诱受害者打开一个特制的 RAR 压缩文件去执行任意代码。攻击者可以伪造文件扩展，在伪造的 .jpg 或 .txt 等文件格式中隐藏恶意脚本。当受害者打开文件，攻击者可以远程执行代码，安装恶意软件。Google 研究人员观察到俄罗斯黑客组织 Sandworm 9 月初冒充乌克兰的无人机作战训练学校发送恶意邮件，其中包含了压缩文件链接去利用 WinRAR 漏洞。另一个俄罗斯黑客组织 Fancy Bear 同样以乌克兰用户为目标。