安全研究人员跟踪了 Twitter 上有关信息安全的讨论，发现过去几个月此类的讨论推文大幅减少。研究人员是从 2021 年 7 月 12 日开始跟踪信息安全主题的原创推文（非转推），平均每天的推文数量在 1,272 则左右，工作日较多，周末较少。马斯克（Elon Musk）是在 2022 年 10 月 27 日完成对 Twitter 的收购，之后裁掉了大批员工，不过信息安全的推文数量短期内没有出现太大的波动。但从今年 4 月底 5 月初开始，情况突变。过去三周，信息安全的原创推文数量从马斯克收购前的平均每天 1,272 则减少到了每天 333 则，暴降 74%。如果去掉自动发布 CVE 声明的机器人账号，过去两周每天只有 66 则，暴降 87%。很多信息安全的研究人员都转到了一个专门的 Mastodon 实例 infosec.exchange。

基于云端的 IT 管理公司 JumpCloud 披露遭政府支持黑客入侵。攻击始于 6 月 22 日，起源于钓鱼攻击。攻击者获得了公司内网的部分访问权限。虽然调查人员目前没有发现有任何客户受到影响的证据，但该公司表示轮换了账号凭证，重构系统，并采取其它防御措施。调查人员发现，攻击极具针对性，只限于特定用户。该公司没有透露目标客户的名字。JumpCloud 被逾 20 万机构使用，付费客户约 5000，其中包括 Cars.com、GoFundMe、Grab、ClassPass、Uplight、Beyond Finance 和 Foursquare 等。

美国军方邮件域名的后缀是.mil，而马里的国家域名是 .ml，美国军方人员经常在发送邮件时因拼写错误而将高度敏感的邮件发送到 .ml 域名。Johannes Zuurbier 是一名荷兰的互联网创业者，他与马里政府签署了长达十年的国家域名管理合同。这份合同即将到期，而马里是俄罗斯的亲密盟友，当合同过期之后，马里当局将会接收到这些发送错误的邮件。Zuurbier 一直试图让美国政府严肃对待这一问题，他控制了逾 11 万封此类邮件，每天收到近千封。他警告美国，这一真实存在的风险可能会被美国的对手利用。

All-In-One Security（AIOS）是一款安装量逾百万的 WordPress 安全插件，三周前它被发现记录明文密码并将其存储在管理员可访问数据库中后释出了安全更新。开发者表示，用户登陆使用 AIOS 的网站后明文密码会被记录，该 bug 是在 5 月释出的 v5.1.9 中引入的，上周释出的 v5.2.0 修复了 bug 并从数据库里删除了相关数据。拥有最高全新的管理员可以访问明文密码。以明文形式储存密码是安全大忌。储存密码可接受的做法是使用哈希加密，因此即使密码数据库被恶意者窃取，他们通常会很难在短时间内暴力破解。

Shawn the R0ck 写道：数字军火涉及利用计算机技术和网络渗透技术来制造和销售用于攻击和侵入计算机、网络和软件等信息系统的工具、程序和服务。这些工具和服务也包括漏洞利用工具、远控软件、木马病毒、网络钓鱼和黑客攻击技术等，目标是窃取敏感信息、控制或破坏目标系统。数字军火的使用者可能包括政府军事和情报机构、犯罪团伙和黑客组织等。0-day漏洞利用是数字军火行业的重要部分，您可以参考Maor Shwartz的文章以获取更多关于0-day行业和数字军火行业的趋势的信息。像Drebin这样的团队，他们在全球各地的数字军火领域都有同行。HardenedVault在之前发布的VED技术白皮书后，收到了一些反馈。为了进一步沟通和解答，HardenedVault决定发布一份关于漏洞利用方法的测试镜像。HardenedVault使用CVE-2021-22555进行测试是因为其公开的PoC/exploit中同时涵盖了主流和非主流的攻击方法，具体来说，基于CVE-2021-22555编写了3种不同利用方法的漏洞利用，VED的防御目标并不是具体的某个漏洞，而是漏洞利用方法（攻击模式）。这个测试镜像中的针对CVE-2021-22555的三个漏洞利用使用以下漏洞利用方法实现提权和容器逃逸，比如绕过包含SMAP，SMEP，KASLR等防御机制和利用堆喷等漏洞利用方法，此测试镜像目的是通过理解三个漏洞利用所包含的攻击方法，进而对针对Linux系统的0-day/N-day作出更恰当的风险评估和威胁模型。

思科 Talos 安全团队发表了两篇博文，披露恶意应用在利用开源工具伪造签名时间戳，而这些恶意应用主要针对中文用户。从 Windows 10 v1607 开始，微软更新了驱动签名政策，不再允许未递交到 Developer Portal 签名的新内核模式驱动，但为了保持向后兼容，使用 2015 年 7 月 29 日之前颁发的最终实体证书签名的驱动程序将继续允许将链式链与受支持的交叉签名 CA 进行关联。这个例外制造了一个漏洞，允许新编译的驱动程序使用 2015 年 7 月 29 日之前颁发或过期的未撤销证书签名。有两个开源工具 HookSignTool 和 FuckCertVerifyTimeValidity 都允许伪造签名日期。主要针对中文用户的恶意程序利用这些开源工具使用窃取的证书进行签名，其中之一是 RedDriver。RedDriver 是一种基于驱动程序的浏览器劫持程序，使用 Windows Filtering Platform (WFP) 拦截浏览器流量，它利用 HookSignTool 伪造签名时间戳，它有一个硬编码的中文浏览器进程名单，针对的明显是中文用户，名单中包含了中国流行的浏览器，如 360 浏览器和 QQ 浏览器。

美国称中国黑客入侵了多名政府官员的电邮账号，其中包括商务部长 Gina Raimondo。微软证实黑客利用了其云电邮服务的一个漏洞访问了多名政府雇员的电邮账号。微软将黑客组织称为 Storm-0558，称黑客入侵了大约 25 个电邮账号。这不是一次大规模入侵，黑客只针对性的访问每个政府组织的几个账号。攻击始于 5 月，美国政府是在 6 月中旬发现入侵并通知了微软。

北大安全研究员 Ruihan Li 发现了一个被成为 StackRot 的内核漏洞，负责管理虚拟内存区的 maple tree 可在没有正确获得 MM 写锁的情况下进行节点替换操作，导致释放后使用问题。非特权本地用户可利用该漏洞提权。漏洞影响 Linux v6.1-6.4，没有证据表明该漏洞正被利用。Li 表示，StackRot 位于内核内存子系统中，影响所有内核配置，触发需要的功能非常少，但利用富有挑战性。该漏洞是在 6 月 15 日披露的，7 月 1 日释出的稳定版内核 v6.1.37、6.3.11 和 6.4.1 修复了漏洞，POC 以及其它技术细节预计将在本月底公开。

安全研究人员在一个广泛使用的 WordPress 插件中发现了一个正被利用的漏洞。该高危漏洞 CVE-2023-3460 的危险等级为 9.8/10。漏洞存在于用于精简用户注册和登陆流程的 Ultimate Member 插件中，它被逾 20 万 WordPress 网站使用。漏洞允许黑客在目标网站提权，潜在导致未经授权访问和控制受影响网站。对该漏洞的利用至少从六月初就开始了，部分网站报告了可疑活动，如创建了未授权的管理员账号。

黑客组织 Anonymous Sudan 声称入侵了微软服务器窃取了包含有逾 3000 万客户账号凭证的数据库。微软对此说法予以否认。Anonymous Sudan 以发动 DDoS 攻击闻名，它被认为与亲俄的 Killnet 等组织有关联。微软上个月承认其服务 Azure、Outlook 和 OneDrive 等发生的短暂宕机是遭到了 Anonymous Sudan 的 DDoS 攻击。Anonymous Sudan 正以 5 万美元的价格出售窃取的微软客户数据库，但微软发言人表示没有证据表明其客户数据遭到泄露。

世界最大的半导体制造商台积电成为勒索软件黑帮 LockBit 最新一位的受害者，该组织勒索 7000 万美元以交换不泄露窃取的数据。LockBit 是通过台积电的供应商 Kinmax Technologies 窃取到该公司的数据。Kinmax 是一家从事网络、云计算、存储、安全和数据库管理的 IT 服务商。对 Kinmax 的入侵发生在 6 月 29 日。台积电已经证实了此次攻击，表示网络入侵导致了与服务器初始设置和配置相关的信息泄露，没有任何客户信息泄露。它已经采取行动终止了与 Kinmax 的数据交换。

一所美国高中将所有学生的密码都重置为 Ch@ngeme!，让每个学生都有机会黑入任何同学的账号。伊利诺伊州 Oak Park and River Forest (OPRF)高中通知学生家长，在安全评估期间，供应商失误重置了所有学生的密码，使学生无法登陆其 Google 账号。为了解决这个问题，他们将所有学生的密码重设为 Ch@ngeme!，学生将可以再次访问他们的 Google 账号，学校在邮件中警告家长，“我们强烈建议您的孩子将密码改为自己的唯一密码。”

GCC 等程序使用的核心算术库 GMP 项目本月中旬披露，它的服务器遭到了来自数百个微软 IP 的攻击。项目主要开发者 Torbjorn Granlund 称，攻击针对的是 GMP 库，使用了数千个相同的请求，这些请求是精心挑选的，目的是让服务器过载。作为紧急响应，GMP 服务器防火墙屏蔽了所有微软 IP 访问。微软 GitHub 威胁捕获、运营和响应总监 Mike Blacker 很快识别了罪魁祸首：一个 GitHub Actions Workflow。一位 GitHub 用户更新了 FFmpeg-Builds 项目的一个脚本，从 https://gmplib.org 上提取内容，该构建被配置在 100 种不同类型的计算机/架构上运行并行同时测试。他认为这位用户的活动看起来并没有恶意目的。Granlund 表示在屏蔽了 100 个微软 IP 段后一周，仍然有来自相同 IP 地址的密集流量，但在防火墙屏蔽之后服务器不再受到影响。他对 Github/微软认为自己不需要承担任何责任表达了不满。

《Super Mario 3: Mario Forever》是经典任天堂游戏的免费重制版，保留了超级马里奥系列的游戏机制，更新了图像和音频。它非常受欢迎，下载量多达数百万次。安全公司 Cyble 的研究人员发现，攻击者正利用一个木马版的安装程序传播恶意程序。木马版本主要通过游戏论坛、社交媒体和恶意广告传播，它包含了一个合法版的游戏拷贝，以及两个恶意负荷 java.exe 和 atom.exe，其中 java.exe 是门罗币的挖矿程序，atom.exe 是 SupremeBot 挖矿客户端。SupremeBot 还会通过指令控制服务器下载额外的负荷 wime.exe——一个开源的信息窃取程序 Umbral Stealer，从被感染的设备上窃取数据，包括浏览器上储存的密码、cookies、加密货币钱包，Discord、Minecraft、Roblox 和 Telegram 的凭证。

2020 年 7 月，攻击者利用 SIM swapping 劫持了众多名人高管政客、知名公司和数字货币交易平台的官方账号，欺骗性的诱惑用户向其钱包地址发送比特币。交易所币安发推文称它将参与 CryptoForHealth 活动，向社区回馈 5000 BTC。随后其他名人的账号开始发布类似的推文。这次大规模劫持行动的幕后攻击者是当时 21 岁的英国利物浦人 Joseph James O’Connor，aka PlugwalkJoe，今年 24 岁的 O’Connor 被判在美国监狱服役 5 年。攻击发生时他身处西班牙，因新冠疫情无法回国。2023 年 4 月他被从西班牙引渡到美国，两周后承认了 10 项针对他的犯罪指控。

澳大利亚总理 Anthony Albanese 最近建议居民，将每晚手机关机五分钟作为一种网络安全措施。苹果等手机可以自动设置每晚重启。安全专家赞同这一建议。因为定期重启手机有助于清除掉非持久性恶意程序，如只在内存中运行的恶意程序。在系统上执行任意代码并能在重启之后自动执行，这个难度要远大于只在内存中运行。在手机等设备上实现持久运行比 PC 难度更大。美国国家安全局的移动设备安全最佳实践指南就包括定期如每周重启一次智能手机。

海康威视和大华是世界最大的两家监控探头制造商。它们的探头在世界各地被广泛使用。隐私组织 Big Brother Watch 去年在英国各地向公共机构递交了 4,510 份信息自由请求，收到了 1,289 份回应，其中 806 份回应确认他们使用了海康威视或大华的探头。那么海康威视和大华的探头有多安全呢？IPVM 测试的一个海康威视探头包含了一个 2017 年发现的漏洞。海康威视称它没有故意在其设备中包含漏洞，它在得知该漏洞之后立即释出了固件更新修复了问题。但 IPVM 的总监 Conor Healy 指出，全世界联网的探头中仍然有超过 10 万个包含该漏洞。IPVM 的工程师仅仅用了 11 秒钟就入侵了在一个放置在测试环境中的海康探头。IPVM 的工程师也在大华的探头中发现了漏洞。大华回应称它在去年知道了该漏洞，迅速释出了固件更新修复了漏洞。

暴雪战网服务 Battle.net 遭到了 DDoS 攻击，导致玩家在攻击期间基本上无法玩暴雪最新的《暗黑破坏神IV（Diablo IV）》以及《魔兽世界》等游戏。攻击至少始于周日凌晨，在美国东部时间 10:24AM，暴雪在 Twitter 上的官方支持账号称 DDoS 攻击还在继续，他们正积极监控，攻击影响到了游戏的访问增加了延迟。玩家在社交媒体上称有至少 10 到 12 个小时无法玩《暗黑破坏神IV》。

加州贝克斯菲尔德（Bakersfield）的一位 61 岁女性使用苹果 AirTag 跟踪了她被盗的汽车，与盗车嫌疑人对峙后遭枪击身亡，四名嫌疑人已遭到逮捕，他们的年龄在 18-23 岁。警方称，Victoria Anne Marie Hampton 在没有告知警方的情况下独自一人使用 AirTag 跟踪了被盗的汽车，她于 3 月 19 日傍晚 6:32 遭到枪击，4 月 1 日因头部枪伤在医院去世。

AquaSec 的安全团队发现，数以百万计的 GitHub 项目易受依赖库劫持攻击。这一攻击方法又被称为 RepoJacking，可被攻击者用于发动影响大量用户的供应链攻击。GitHub 上的用户名和项目或库的名字会频繁更改，如通过合并或收购，一个项目会成为另一个组织的一部分。当这种情况发生后，为了避免破坏其它项目的依赖关系，会创建一个重定向。但如果有人用旧的名字创建了账号，那么重定向会无效。这就是 RepoJacking 攻击。GitHub 实现了部分防御方法抵御此类攻击，但研究人员发现到目前为止防御方案是不完整的，很容易绕过。研究人员估计有数百万项目受到 RepoJacking 攻击影响。