因拒绝支付赎金，勒索软件组织 LockBit 泄露了波音公司大约 45GB 的数据。这次网络攻击发生在 10 月 27 日，波音在同一天承认遭到网络攻击，表示没有影响到飞行安全。因未在两周内支付赎金，LockBit 公开了波音的数据，其中包括云计算公司 Citrix 的文件、安全控制、电邮备份等。安全分析师称，波音的邮件等数据对恶意攻击者非常有价值。安全公司 MalwareHunter 认为，泄露数据可能来自于波音在 2006 年收购的 Aviall。如果 Aviall 的系统在过去 17 年已经与波音深度整合，那么问题将会很严重。如果整合程度不高，那么 LockBit 只是入侵了 Aviall 的网络，问题不那么严重。

微软安全响应中心上周庆祝了周二补丁日实施二十周年。所谓周二补丁日是指在每个月的第二个星期二推送安全补丁。在统一采用周二补丁日前，安全补丁的发布是零零散散的，这种零散的模式给 IT 工作者和组织部署重要补丁带来了挑战。微软率先提出的可预测的补丁发布时间表改变了这一状况。

三星证实黑客在长达一年时间内窃取了英国客户的个人数据。三星向受影响客户发送邮件称，攻击者利用了未披露名字的第三方应用的漏洞，在 2019 年 7 月 1 日到 2020 年 6 月 30 日之间访问了在三星英国商店购物的客户个人信息。三星称它直到三年后的 2023 年 11 月 13 日才发现这次入侵。三星通知受影响客户，黑客可能已获取了姓名、电话号码、 邮政地址和电子邮件地址等信息。

名为 Alphv/BlackCat 的勒索软件组织向 SEC 投诉受害者未按照规定在四个工作日内披露数据被窃取事件。勒索软件组织声称它入侵了加州金融软件公司 MeridianLink，窃取了其客户数据，要求支付赎金否则将泄露窃取的数据。为了增加获得赎金的几率，该组织称已经向 SEC 投诉 MeridianLink，指控该公司未按 7 月公布的规定及时披露数据泄露。BlackCat 黑客称他们是在 11 月 7 日入侵了 MeridianLink，没有加密文件只是窃取了数据。MeridianLink 发言人证实遭到网络攻击，但尚未确认有客户数据被盗，称该公司的调查没有发现有未经许可访问其生产平台的证据，如果发现有客户数据被盗，将按照法律要求发布通知。

美国电动汽车制造商 Rivian 本周推送了最新更新 2023.42，但该更新导致了 R1Ses 和 R1Ts 的车载信息娱乐系统黑屏变砖，问题可能无法通过 OTA 更新解决。2023.42 除了导致显示屏黑屏外，并不影响汽车正常驾驶。Rivian 软件工程副总裁 Wassim Bensaid 在 Reddit 上承认了问题，称问题没有影响汽车系统的其它部分，重置无法解决问题，他们正在验证解决问题的最佳方案，已经向受影响车主发去了电子邮件，将在明天推送更新。

英特尔周二推送了微码更新，修复高危 CPU 漏洞 Reptar（CVE-2023-23583）。该漏洞影响几乎所有现代英特尔处理器，可被用于攻击云端主机。Reptar 与 CPU 管理前缀有关，Intel x64 解码通常允许忽略冗余前缀而不会有任何后果，但 Google 安全研究员 Tavis Ormandy 在测试时发现，在支持“快速短重复移动（fast short repeat move）”的英特尔处理器上运行 REX 前缀会产生“意料之外的结果”。一旦触发，可能导致虚拟机中的 guest 账号执行不信任代码而导致系统崩溃，或者可用于提权。

SektorCERT 披露丹麦关键基础设施在今年五月遭遇了该国历史上最大规模的网络攻击。有 22 家公司遭到入侵，部分公司被迫切断与外界的网络接入断开所有非必要网络连接。攻击者利用了未修复的 Zyxel 防火墙漏洞，还利用了多个尚未公布的 0day 漏洞。SektorCERT 研究人员表示，攻击由多个组织发起，其中至少一个与俄罗斯情报机构的 Sandworm 行动相关。Zyxel 防火墙漏洞是在 4 月爆出的，允许远程攻击者无需身份验证完全控制防火墙，许多使用 Zyxel 的组织以为防火墙是由供应商更新的，但实际上 Zyxel 的软件是免费的，获得安全补丁则需要付费。还有很多组织根本不知道网络中存在有问题的设备。这种情况使得攻击者可以利用已公开的漏洞发动攻击。

工行美国子公司 ICBC Financial Services 上周遭到勒索软件攻击，与俄罗斯有关联的勒索软件组织 LockBit 与此次攻击相关。攻击者利用最近披露的高危漏洞入侵工行系统，此事凸显了及时打补丁的重要性。攻击者利用的一个漏洞是思杰(Citrix)在 10 月 10 日披露的 CitrixBleed 高危漏洞 CVE-2023-4966，危险等级 9.4/10，可远程利用，无用户互动，无特殊权限，低复杂度。攻击发生之后，工行隔离了部分系统，切断了与美国国债市场以及为其结算交易的纽约梅隆银行平台的连接，开始手动清算交易。工商尚未透露是否向黑客支付赎金。

安全公司 Checkmarx 报告了针对 Python 开发者的供应链攻击，攻击者发布了 8 个用于混淆代码的 Python 软件包，其中植入了具有高度侵入性的后门。这些软件包共被下载了 2348 次。以第八个混淆包 pyobfgood 为例，一旦安装，攻击者基本上可以完全控制受害者的电脑，能窃取主机信息、窃取 Chrome 保存的密码、设置键盘记录器、下载文件、屏幕截图和录屏录音、通过增加 CPU 占用等方法关闭电脑或导致蓝屏死机、加密文件、执行任何指令，等等。软件包的下载绝大部分来自美国（62%）、其次是中国（12%）和俄罗斯（6%）。

工商银行美国子公司 ICBC Financial Services(FS) 于 11 月 9 日遭到了勒索软件攻击。ICBC FS 在网站的声明中表示它立即切断了网络连接隔离了受影响系统。工商银行表示，其业务和电邮系统是独立于集团运行，这起事故没有对纽约分行、总行以及其他境内外附属机构产生影响。它已经向执法机构报告了这起事件。工商银行是全球收入最高的商业银行，去年收入 2147 亿美元，利润 535 亿美元。勒索软件攻击短干扰了美国国债的交易，ICBC FS 表示它能清算 8 日执行的美国国债交易，以及 9 日的回购融资。

澳大利亚主要港口运营商 DP World Australia 在网络攻击导致设施瘫痪愈两天后恢复了正常运行。该公司管理的港口处理了澳大利亚四成的进出口货物，从上周五到本周一早晨，位于墨尔本、悉尼、布里斯班和珀斯的港口运营因网络攻击受到干扰。这次事故没有影响到澳大利亚超市的商品供应。DP World Australia 隶属于迪拜国有的 DP World 集团，该公司表示今天将有四千个集装箱离开其管理的四个港口。目前还不清楚攻击者的身份。DP World 表示在上周五攻击发生之后，它立刻切断了与港口的网络连接，防止对其网络的任何未经授权的访问。它表示正对此次事故展开调查。

OpenAI 的 AI 聊天服务 ChatGPT 及其 API 昨天遭遇了服务周期性中断事故，OpenAI 在事故声明中称遭到了 DDoS 攻击。它没有指出是谁发动了攻击，但自称 Anonymous Sudan 的组织称攻击是它发起的，攻击理由是 OpenAI 对以色列和巴勒斯坦的广泛偏见。Anonymous Sudan 称攻击使用了 SkyNet 僵尸网络，该僵尸网络自 10 月以来提供了压力服务，加入了对应用层 DDoS 攻击的支持。Anonymous Sudan 在今年 6 月成功 DDoS 攻击了微软的 Outlook.com、OneDrive 和 Azure Portal。

特斯拉可以在任何时候远程访问其生产的电动汽车。在引发隐私和安全方面的争议和担忧之后，特斯拉在最新的软件更新中允许车主关闭远程访问。一位叫 Bennett 的车主在版本号 2023.27.7 中发现服务设置中远程访问可关闭功能被远程激活。特斯拉远程控制指令包括解锁车门、启动汽车或在紧急情况下重置系统等操作。这引发了黑客可能入侵汽车远程控制方向盘和刹车的担忧。特斯拉的隐私政策也引发了关注，Mozilla 的研究发现，在保护客户数据上特斯拉是 25 家汽车厂商中最糟糕的。

趋势科技的 Zero Day Initiative（ZDI） 在 2023 年 9 月 7 日和 8 日向微软报告了 Microsoft Exchange 的 4 个 0day，攻击者可以利用漏洞远程执行任意代码或泄露敏感信息。对于这些漏洞的严重性微软提出质疑，该公司发言人表示其中一个漏洞已经在 8 月的安全更新中修复，另外三个漏洞需要攻击者先获得凭证，而且没有证据表明能被利用提权。微软表示这些漏洞没有达到需要立即修复的标准，他们会视情况而定在未来版本中评估修复。ZDI 对此不予认同，决定自己公开漏洞，以警告 Exchange 管理员注意安全风险。它承认漏洞确实需要获得凭证才能利用，但指出犯罪分子有很多方法窃取 Exchange 凭证，包括但不限于暴力破解弱密码、钓鱼攻击、收购等等。目前最主要的缓解漏洞利用的方法是避免凭证泄露。

加拿大政府宣布在在政府配发的移动设备上禁止使用微信和卡巴斯基软件套装。该禁令即日生效。加拿大政府是以保护政府信息和网络安全的理由做出这一决定。政府还将在这些设备上屏蔽微信和卡巴斯基的下载。加拿大官员表示，这些应用“对隐私和安全构成了不可接受的风险”。腾讯旗下的微信是中国最流行的社交软件之一，有逾十亿用户，在国外也有数以千万计的用户，但主要是华人使用。

研究人员披露了针对 Mac、iPad 和 iPhone 上 Safari 浏览器的瞬态执行旁路攻击，并将其命名为 iLeakage。利用 iLeakage，攻击者可以在用户浏览恶意网页时通过预测执行获取其它网页的敏感信息如密码。CPU 预测执行漏洞 Spectre 自六年前披露以来，虽然主要芯片供应商英特尔和 AMD 等公司采取了措施缓解漏洞，但新的漏洞利用仍然不断的被发现。iLeakage 利用的是苹果设备使用的 A 和 M 系列 CPU 的旁路漏洞，研究人员利用它成功恢复了 YouTube 观看历史记录和 Gmail 收件箱内容（登录状态下）以及密码管理器 LastPass 自动填充的 Instagram 密码。该漏洞预计影响所有苹果设备，苹果已经实现了缓解措施，但尚未默认启用，目前仅能在 macOS Ventura 13.0 以及更高版本中启用。

乌克兰黑客组织 KibOrg 和 NLB 声称成功入侵了俄罗斯最大的民营银行阿尔法银行（Alfa-Bank）。作为证据，他们在其博客上公布了阿尔法银行内部数据库的屏幕截图，以及多名俄罗斯人的私人信息。黑客称银行的数据库包含有逾 3000 万条记录，其中包括客户的姓名、出生日期、账号和电话号码。一位匿名的乌克兰情报官员表示情报机构 SBU 帮助黑客入侵了阿尔法银行。这位官员没有披露更多细节。黑客们表示将与调查记者分享从阿尔法银行获得的数据。

身份认证管理服务商 Okta 上周五披露，黑客在获取到其客户支持管理系统的凭证之后访问了客户信息。该公司没有披露黑客是如何窃取到其支持系统凭证的。安全公司 Beyond Trust 称在攻击者使用有效身份认证 cookies 尝试访问其 Okta 账号之后，他们在 10 月 2 日向 Okta 发出了警告，但该公司在两周多时间内没有任何回应。本周被逾十万企业和数百万用户使用的密码管理器 1Password 披露，它在 9 月 29 日监测到了内部 Okta 账号的可疑活动。他们立即终止了该活动，并展开了调查，没有发现客户数据或敏感系统入侵的迹象。

在欧洲刑警组织等机构的协调下，欧洲多国对 Ragnar Locker 勒索软件组织的主要成员展开了突击行动。该组织的关键成员于 10 月 16 日在法国巴黎被捕，其在捷克的家遭到搜查。另外五名嫌疑人分别在西班牙和拉脱维亚接受询问。Ragnar Locker 的基础设施在荷兰、德国和瑞典查封，暗网上的数据泄露网站在瑞典被关闭。Ragnar Locker 自 2019 年 12 月以来一直很活跃，它攻击了世界各地的基础设施，因此被认为具有高威胁优先度。它采用了双重勒索策略，除了加密数据还通过窃取数据威胁泄露勒索受害者。它在 2020 年曾攻击了日本知名游戏公司 Capcom，最近攻击了葡萄牙国家航空公司和以色列的一家医院。

俄罗斯历史最悠久的 XMPP 服务 jabber.ru 的管理员 oxpa 在 10 月 16 日遇到了一个令其困惑不已的问题：客户端通过端口 5222 (XMPP STARTTLS)连接服务器时出现了证书过期的警告，但服务器上使用的所有证书都在有效期内。受影响的机器包括 Hetzner 的一台专用服务器和 Linode 的两台虚拟服务器，都托管在德国。这些服务器上的端口 5222 显然遭遇了中间人攻击。调查人员在 Hetzner 服务器的内核日志里发现了不同寻常的记录：2023 年 7 月 18 日其物理网络连接丢失了 19 秒。攻击者使用了 Let’s Encrypt 颁发的 TLS 证书，通过透明 MiTM 代理劫持了端口 5222 上的加密 STARTTLS 连接。这次攻击由于其中一个 MiTM 证书过期而被发现，该证书尚未重新颁发。此次中间人攻击至少持续了 6 个月，很可能是 Hetzner 和 Linode 被迫设置的，用于执行合法拦截。