今年上半年，俄罗斯安全公司卡巴斯基披露其数十名雇员遭遇网络攻击，该攻击利用 iOS 无点击漏洞在雇员的 iPhone 手机上植入恶意程序，收集麦克风录音、照片、地理位置等数据。卡巴斯基认为它不是攻击的主要目标。俄罗斯官员认为这次攻击是 NSA 发起的，有数千部外交人员的 iPhone 感染了恶意程序，尤其是位于北约、前苏联加盟国、以色列和中国等地的外交使团成员。卡巴斯基将这次行动命名为 Operation Triangulation。本周三举行的 37C3（37th Chaos Communication Congress）会议上，该公司的研究人员披露了 Operation Triangulation 的细节。该攻击利用了 4 个 0day 漏洞，适用于 iOS 16.2 以下版本。攻击者首先发送了恶意 iMessage 附件，应用在处理附件时不会向用户显示任何痕迹；恶意附件利用了无文件记录的 ADJUST TrueType 字体指令中的远程代码执行漏洞 CVE-2023-41990，该漏洞可追溯到 1990 年代。攻击者还利用了两个内核漏洞和一个浏览器漏洞。安全研究人员称，这是他们见过最复杂的攻击链。漏洞不简单，其中包括外界不知道的硬件功能。俄罗斯官员指控苹果在这次攻击行动中与 NSA 合作，从漏洞利用上看要么攻击者入侵了苹果获取了内部硬件文件，要么确实苹果与攻击者有合作。苹果否认了与 NSA 合作的指控。

美国网络安全官员警告称，主要关键基础设施提供商在防御网络安全上面做的相当马虎。来自伊朗和中国的黑客入侵了多个州的水务和能源公用事业公司。虽然对基础设施的攻击尚未引发服务中断等事故。官员表示加强网络访问有时候很简单，不要使用默认密码。举例来说，部分接入到开放网络的设备使用了默认密码 1111，很容易被黑客发现并入侵。官员表示，解决该问题不需要花任何钱。安全专家 Andy Thompson 指出，美国部分基础设施优先考虑的是易操作性而不是安全性，他认为不让关键基础设施能容易通过互联网访问应该成为标准做法。

法国游戏开发商育碧表示正在调查一起黑客入侵事件。它是在接到 VX-Underground 的警告之后开始调查的。VX-Underground 称有匿名黑客表示在 12 月 20 日入侵了育碧，计划从公司内部窃取大约 900 GB 的数据。黑客称他们获得了 Ubisoft SharePoint 服务器、Microsoft Teams、Confluence 和 MongoDB Atlas 面板的访问权限，并分享了相关服务的屏幕截图。黑客表示试图窃取《彩虹六号围攻》用户数据，但准备行动前被切断了访问。

Stanford Internet Observatory 的研究发现，被 Google 和 Stable Diffusion 等 AI 产品使用的机器学习数据库 LAION-5B 包含了 3,226 幅疑似儿童色情图像，其中 1,008 幅已被外部验证。LAION 组织已暂时将数据库下线，以在重新发布前确保它是安全的。Large-scale Artificial Intelligence Open Network（LAION）是一个为机器学习创建开源工具的非营利组织，它从开放网络中抓取了逾 50 亿幅图像，其中可能会混入儿童色情 （CSAM）材料。而在大部分国家，传播儿童色情材料都是非法的。LAION 组织也早就认识到数据库包含 CSAM 的可能性。他们承认无法保证所有儿童色情材料都被移除。

勒索组织 Rhysida 在其暗网网站泄露了索尼旗下知名工作室 Insomniac Games 的 1.67TB 内部文件，其中包括未发布游戏素材和剧情，未来游戏发布路线图，公司内部通信、员工个人数据如护照扫描和薪酬数据，等等。Rhysida 称选择 Insomniac 是因为它一家成功的工作室，它勒索价值 200 万美元的比特币赎金，但 Insomniac 拒绝支付。Rhysida 于是在其暗网网站泄露了这些数据。这是游戏史上规模最大的泄密事件之一。

提供硬件和软件钱包的 Ledger 公司遭遇了供应链攻击。它的一名前员工首先遭到了钓鱼攻击，黑客因此能访问到这名员工的 NPMJS 账号，然后发布了恶意版本的 Ledger Connect Kit——该库被其它公司和项目开发的 dApps（去中心化应用）用于连接 Ledger 的钱包服务。恶意版 Ledger Connect Kit 嵌入的恶意代码会将用户的加密货币转移到黑客控制的钱包。这次供应链攻击被 Ledger 很快监测到并迅速修复。恶意版本存活了大约 5 个小时。Ledger 发言人表示正在帮助受影响的用户。

乌克兰最大移动运营商 Kyivstar 遭遇开战至今最大规模的网络攻击，数百万人的移动和互联网服务中断，基辅部分地区的空袭警报系统下线。Kyivstar 有 2430 万移动用户，占到了乌克兰人口总数一半以上，此外还为逾 110 万家庭提供互联网服务。这次攻击被认为源自俄罗斯，Kyivstar CEO Oleksandr Komarov 表示该公司部分 IT 基础设施遭到破坏，他们无法在虚拟层阻止攻击，只能通过物理层限制攻击。他表示两个包含客户数据的数据库被破坏，但用户个人数据没有被入侵。与此同时乌克兰也在对俄罗斯发动网络战，俄罗斯国家税务机构的数千台服务器感染了恶意软件，数据库和备份都被破坏。

安全公司 Group-IB 的研究人员披露了专门针对泰国公司的 Linux 恶意程序 Krasue。Krasue 是远程访问木马，活跃时间始于 2020 年，主要针对泰国电信公司。它包含了多个 rootkit 支持不同 Linux 内核版本，它集成了三个开源的 rootkit 包：Diamorphine，Suterusu 和 Rooty，通过挂钩 kill() 系统调用等隐藏活动和逃避检测。研究人员猜测它是作为攻击链的后期阶段部署的，旨在维持对入侵主机的访问。他们相信 Krasue 与微软安全博客在 2022 年披露的 XorDdos Linux 木马是同一位作者或至少能访问其源代码。

现代 CPU 的 64 位指针寻址空间远多于需求，因此主要 CPU 供应商都提供了一种机制，将部分地址位用于储存其它数据：英特尔是线性地址掩码(LAM），AMD 是高位地址忽略，Arm 是顶部字节忽略。研究人员报告了被称为 SLAM 的新 Spectre 攻击，利用这些机制绕过指针有效性检查。对于 SLAM 攻击，英特尔计划未来发布相关软件指南，Linux 工程师开发了补丁在软件指南发布前默认禁用 LAM，ARM 发布了类似的声明，AMD 则表示现有的 Spectre v2 补丁能解决 SLAM 攻击。

Windows 10 将于 2025 年 10 月 14 日终止支持，此后微软将停止提供安全更新。Windows 10 仍然是目前最流行的操作系统，微软也为那些想要继续使用该操作系统的用户提供了额外三年的付费安全更新支持 Extended Security Updates(ESU)。ESU 通常是批量授权，主要提供给企业级客户，但这一次微软将向个人用户提供 ESU，只要用户负担得起。ESU 的付费是一年支付一次，定价将在晚些时候公布，价格可能会一年比一年高，此举旨在督促用户将操作系统升级到新版本。ESU 的价格是按计算机数量计费的，数量越多价格越贵。微软未来将通过 Windows 10 的支持页面提供相关信息。

卫报援引消息来源报道，英国 Sellafield 核设施曾遭与中俄有关联的黑客组织入侵。最早的入侵时间未知，英国当局是在 2015 年探测到 Sellafield 的计算机网络被植入了恶意程序。Sellafield 核设施主要进行核废料处理和储存，占地 6 平方公里，是欧洲最大的核设施，拥有全球最大的钚储存库，员工总数超过 1.1 万。报道称，Sellafield 最敏感的活动如转移放射性核废料、监测危险材料泄漏等可能已被黑客窃取。核设施不安全的服务器问题还被起了一个绰号叫伏地魔。

23andMe 证实黑客窃取了 690 万用户的家族遗传史数据。提供基因检测服务的 23andMe 是在 10 月初黑客在地下论坛兜售其客户数据之后证实遭到黑客入侵，当时表示攻击者利用的是撞库攻击，它的系统本身没有发现漏洞。23andMe 有约 1400 万客户，690 万意味着受影响用户规模接近半数。被盗取的数据包括了用户姓名、出生年份、关系标签、与亲属共享的 DNA 百分比、家族史报告和自我报告的位置。

Google Threat Analysis Group 研究人员报告了三个正被利用 0day，影响苹果所有系统和 Chrome。苹果周四释出了安全更新，修复了两个正被利用的漏洞 CVE-2023-42916 和 CVE-2023-42917，两个漏洞都位于苹果操作系统广泛使用的 WebKit 引擎中，其中之一是越界读取，允许黑客在使用 WebKit 的应用处理特制网络内容时窃取敏感信息；另一个是内存损坏 bug，允许存在漏洞的设备执行恶意代码。Google Chrome 本周二释出了更新修复了 7 个漏洞，其中之一是正被利用的 0day CVE-2023-6345，该漏洞为整数溢出，位于浏览器的 Skia 组件中。

身份认证管理服务商 Okta 上个月披露，黑客在获取到其客户支持管理系统的凭证之后访问了客户信息。本周 Okta 在给客户的邮件中披露，入侵规模比预期的更严重，黑客窃取了所有客户支持用户的数据。这可能增加客户遭到钓鱼攻击等的风险。Okta 表示美国政府或五角大楼的数据未受影响，称正与一家数字取证公司合作调查，完成之后会通知客户。为客户提供单点登陆服务的 Okta 在黑客眼中是一个瞩目的攻击目标，通过攻击 Okta 他们可以访问其它大量目标。

ownCloud 上周披露了一个严重程度 10/10 的高危漏洞 CVE-2023-49103，漏洞存在于 graphapi 的 v0.2.0 和 v0.3.0 中，它使用第三方库提供了一个 URL，访问该 URL 可显示基于 PHP 环境的配置信息，包括 webserver 的所有环境变量。在容器化部署中，环境变量可能会包含敏感数据如管理员密码、邮件服务器凭据和许可证密钥。安全公司 Greynoise 的研究人员报告，在漏洞披露之后他们在蜜罐服务器上观察到了对该漏洞的大规模利用。安全研究人员认为该漏洞虽然严重但不会构成重大威胁，因为默认情况下它无法利用，且是在 2 月的容器化部署中引入的，而 graphapi 的安装量很小。

日本宇宙航空研究开发机构（JAXA）发言人周三声明该机构今年夏季前后遭到网络攻击，黑客没有访问到任何对火箭和卫星运行重要的信息。警方在秋季前后察觉到攻击，联系了 JAXA。现阶段攻击源和受害情况不得而知，政府和相关机构正联手调查详细情况。相关人士称，可能是管理 JAXA 网络的服务器遭到非法访问，攻击方或许已经接触到内部的大范围信息。

从 11 月 18 日到 22 日，3D 开源建模软件项目 Blender 遭遇了持续五天的 DDoS 攻击，网站还一度下线。目前未知攻击者发起者身份及其动机，攻击者专注于发动拒绝服务攻击，因此项目和用户数据未受影响。Blender 是通过迁移到 CloudFlare 的 DDoS 缓解服务之后才解决问题。攻击在 23 日停止，网站恢复正常。

微软委托安全公司 Blackwing Intelligence 评估了三种流行指纹传感器的安全性，结果显示戴尔、联想甚至微软的笔记本电脑都能绕过 Windows Hello 指纹认证。安全研究人员评估了戴尔 Inspiron 灵越 15、联想 ThinkPad T14 和微软 Surface Pro X 嵌入的 Goodix、Synaptics 和 ELAN 指纹传感器，发现它们存在多个漏洞，可被用于绕过 Windows Hello 保护。这些漏洞可被攻击者执行发动中间人攻击，访问被盗的笔记本电脑，或者对无人看管的设备发动“邪恶女佣攻击（evil maid）”。

俄罗斯黑客释放的 U 盘蠕虫扩散到了世界各地。有着 Gamaredon、Primitive Bear、ACTINIUM、Armageddon 和 Shuckworm 等众多名字的黑客组织主要针对乌克兰的实体目标，它被认为与俄罗斯联邦安全局有关联。它使用的一种恶意工具是通过 U 盘传播的蠕虫 LitterDrifter。安全公司 Check Point Research 的研究人员报告，他们在美国、越南、智利、波兰、德国和香港等国家和地区监测到了感染 LitterDrifter 的证据，表明了这种 U 盘蠕虫的扩展。乌克兰之外国家的感染数量接近其半数。

一加联合创始人裴宇（Carl Pei）创办的手机公司 Nothing 上周发布了它的消息应用 Nothing Chats，该消息应用源自 Sunbird app，它立即被发现存在严重安全问题，不到 24 小时就被迫从 Google 应用商店 Play Store 下架。Nothing Chats 的卖点是允许用户使用苹果的账号和密码在 Android 上登陆 iMessage——这听起来就不像是好事，声称支持端对端加密，结果被发现明文储存信息，身份验证令牌通过 HTTP 发送，意味着中间人可以拦截并读取你的消息。Text.com 的调查发现，当用户收到一条消息或一则附件，在客户端请求确认前它们在服务端是未加密的。它还发布了一个概念验证应用能从服务器上提取出号称端对端加密的信息。