Web 托管巨头 GoDaddy 证实它遭到了持续多年的入侵，源代码失窃服务器也被安装恶意程序。GoDaddy 是在去年 12 月初收到客户报告其网站被重定向到随机域名后发现未知攻击者入侵了它的 cPanel 共享托管环境。它的调查显示攻击者在它的服务器上活跃了多年，近几年披露的多起安全事故都与此相关。黑客在它的服务器上安装了恶意程序，还窃取到部分服务相关的源代码。它在 2021 年 11 月和 2020 年 3 月披露的安全事件都与此相关。其中 2021 年 11 月的事件影响到了它管理的 120 万 WordPress 客户，攻击者利用一个窃取的密码入侵了它的 WordPress 托管环境，窃取到了客户的邮件地址、管理员密码、sFTP 和数据库凭证，以及部分 SSL 私钥。

安全公司赛门铁克的研究人员发现一种恶意程序滥用微软 IIS 的一项功能隐蔽的渗出数据和执行恶意代码。微软 IIS（Internet Information Services）是广泛使用的 Web 服务器，它的一项功能叫 Failed Request Event Buffering（FREB），旨在帮助管理员诊断错误，FREB 能从缓存中将部分错误相关的请求写入磁盘。黑客找到了滥用该功能的方法，攻击者首先需要入侵运行 IIS 的 Windows 系统，启用 FREB，通过将恶意代码注入 IIS 进程内存劫持执行，它随后就能拦截所有 HTTP 请求，寻找特殊格式的请求，这种特殊的请求能以隐蔽的方式执行远程代码，系统上没有可疑文件或进程在运行。研究人员将这种恶意程序命名为 Frebniis。

现代和起亚正在向数百万辆汽车提供免费软件更新，以应对 TikTok 上病毒式传播的“起亚挑战（Kia Challenge）”视频。该视频助长了汽车盗窃案，起亚挑战视频被认为导致了数百起汽车盗窃，至少 14 起车祸和 8 起死亡事故。被称为 the Kia Boyz 的盗车贼发布了视频，详细介绍了如何使用 USB 线等简单工具绕过汽车的安全系统。盗车非常容易，2015-2019 年款的现代和起亚汽车缺乏电子防盗控制系统以阻止盗车贼闯入和绕过点火装置，该功能在其它厂商同期的汽车中几乎是标配。现代及其子公司起亚释出的软件更新，将警报声长度从 30 秒延长到 1 分钟，且需要车钥匙插入点火开关才能启动汽车。

CDN 服务商 Cloudflare 披露了发生在周末的一次流量创记录的 DDoS 攻击，在峰值期间攻击流量每秒请求数超过了 7100 万。这是有记录以来规模最大的 HTTP DDoS 攻击，比之前的记录每秒请求数 4600 万高 35%。攻击源头来自逾 3 万 IP 地址，被攻击的网站包括游戏服务商、加密货币公司、托管服务商和云计算平台。Cloudflare 称，过去一年 DDoS 攻击频率在显著增加，HTTP DDoS 攻击年度增加 79%，规模超过 100 Gbps 的攻击次数季度增加 67%，持续时间超过 3 小时的攻击次数季度增加 87%。勒索性质的 DDoS 攻击也有显著增加。

丰田正在召回 16,680 辆 2021 年款混动汽车 RAV4 Primes，以修复可能导致牵引电池过度放电的软件 bug，该 bug 最终会导致混动系统关闭。该问题主要在寒冷天气下发生。当 RAV4 Primes 只用电池不使用内燃机的情况下行驶，快速踩下踏板加速，电池有可能降到特定阈值下。如果发生这种情况，汽车会显示错误信息，混动系统将关闭，汽车将失去动力。

Shawn the R0ck 写道：安全多方计算（Secure multi-party computation，简称MPC或者SMPC）起源于 A. Shamir, R. Rivet and L. Adleman 在1979年对于秘密分割问题的研究，其后姚期智（Andrew Yao）于 1982 年提出百万富翁问题和于 1986 年正式提出的 Garbled Circuit Protocol,成为了今天意义上多方计算的基础，Web3.0 的兴起让业界关注使用多方计算解决资产管理和跨链等场景的问题，SMPC 在多台计算节点之间分配签名过程，每台计算机都拥有一份代表密钥份额的私有数据，它们共同合作以分布式方式签署交易以降低单点失败的风险，但实际情况是这样吗？HardenedVault 的 Vault Labs 近期针对 SMPC 中安全假设，Oblivious transfer，同态加密，零知识证明，Shamir 秘密分割，Feldman-VSS，Paillier算法，EdDSA以及MPC-CMP等SMPC的主要特性进行了分析，以此为基础得出以下结论：1）建立合理威胁模型的前提是SMPC实现本身遵循密码学最佳实践。2）有一些厂商宣称的SMPC方案是去中心化的，但实际上是基于特权设置不仅会导致单点失败风险，而且可以让攻击者具备制造假签名的能力，用户需要仔细确认技术参数。3）即使没有特权节点，SMPC也并不能一劳永逸的解决单点失败风险的问题，因为系统安全问题依旧存在。4）没有银弹，高度依赖TEE（可信执行环境）并不是理性的选择，魔鬼在细节中。

社交网站 Reddit 披露了一起安全事故，称其员工遭到复杂且高度针对性的钓鱼攻击。它是在 2 月 5 日察觉到这起攻击，攻击者在窃取到一名雇员的登陆凭证之后访问了部分内部文档、代码、仪表盘和业务系统，但没有迹象表明访问了主生产系统，用户密码和账号仍然是安全的。Reddit 称泄露的主要是企业联系人以及前和现员工的联络信息，它建议用户为保护账号安全启用 2FA。

在研究人员私下警告之后，Valve 修复了一个 Dota 2 的高危漏洞。该漏洞位于 Dota 2 使用的开源 JS 引擎 V8 中，它是在 2021 年发现的，跟踪编号 CVE-2021-38003，Google 在 2021 年 10 月修复了漏洞，但 Valve 直到上个月才修复，期间隔了 15 个月。安全公司 Avast 的研究人员发现，已经有一名黑客利用修补的拖延而发布了 4 个自定义游戏模式利用该漏洞。Dota 2 支持自定义游戏模式，用户通过一个验证流程递交自己开发的自定义模式后可以公开发布供其他玩家下载。黑客递交的第一个自定义模式显然是用于概念验证的，它的一个文件名叫 evil.lua，之后递交的三个自定义模式则更隐蔽，包含了后门，可以执行通过 HTTP 下载的任意 JS 脚本。

试图勒索心理健康诊所 Vastaamo 及其患者的 25 岁芬兰黑客 Julius “Zeekill” Kivimäki 在法国被捕。2020 年 10 月，自称 Ransom Man 的黑客从 Vastaamo 诊所窃取了其客户数据库，他索要价值 45 万欧元的比特币，如果 Vastaamo 不支付赎金就公开患者的心理健康数据。在 Vastaamo 拒绝之后黑客转而尝试勒索患者，向患者发去 500 欧元的勒索通知威胁披露治疗记录。在没取得多少成功之后，Ransom Man 在暗网直接公开了所有患者记录的压缩档案。安全专家在分析公开的档案时发现 Ransom Man 犯下了大错。他将个人的主文件夹都包含在压缩档案中，Kivimäki 的身份暴露。2022 年 10 月他被缺席逮捕，芬兰随后发出了国际通缉令。2023 年 2 月 3 日警方在回应一起家庭暴力投诉时逮捕了 Kivimäki。他使用了假的身份 ID，自称是罗马尼亚人，警方怀疑其身份，在搜索了通缉犯记录之后发现他就是 Kivimäki。

在破解了犯罪分子使用的加密消息应用 Exclu 后欧洲警方逮捕 42 名嫌疑人，缴获了枪支、毒品和数百万欧元现金。Exclu 是最新一个被警方破解的加密消息应用，在欧洲多地发起联合突击搜查前，警方和检方在 Exclu 系统中潜伏了五个月，阅读了犯罪分子之间的通信。有大约 3000 人使用 Exclu 系统，其半年订阅费用高达 800 欧元。调查始于 2020 年 9 月，警方在比利时、德国和荷兰的 79 处地点展开了搜查，关闭了 Exclu 消息服务。被捕者包括了该应用的使用者和控制者，以及所有者。荷兰警方称其突击搜查行动至少发现了两个毒品实验室、一个可卡因加工厂、数公斤毒品、400 万欧元现金、奢侈品和枪支。

最大的代码托管平台 GitHub 披露，未知入侵者未经授权访问了其部分代码库，窃取了其桌面应用 Desktop 和 Atom 的代码签名证书。签名证书可被用于签名恶意应用，伪装成合法更新。GitHub 表示，目前没有证据表明证书被恶意使用，但作为预防措施它撤销了两个应用的证书。证书撤销将于周四生效，预计会影响部分版本，包括 Mac 版 GitHub Desktop 3.1.2、3.1.1、3.1.0、3.0.8、3.0.7、3.0.6、3.0.5、3.0.4、3.0.3 和 3.0.2，以及 Atom 1.63.1 和 1.63.0，Desktop for Windows 不受影响。GitHub 在 1 月 4 日发布的新版 Desktop 应用使用了不同证书签名，该证书没有遭窃取。

2022 年勒索软件的攻击频率没有发生显著变化，但随着越来越多的受害者拒绝支付赎金，勒索者的赎金收入出现了显著下降。Chainalysis 对勒索软件攻击相关的钱包地址的跟踪显示，受害者在 2022 年支付的赎金为 4.57 亿美元，而 2021 年为 7.66 亿美元。当受害者发现勒索软件 Conti 背后的黑客组织与俄罗斯有关联，因本国政府实施的制裁他们有更多的理由拒绝支付赎金。网络安全分析公司 Coveware 也观察到了类似的趋势，受害者支付赎金的比例从 2019 年一季度的 85% 降到了 2022 年四季度的 37%。

奥地利警方本周披露，一名荷兰黑客于去年 11 月被捕，这名黑客窃取并出售几乎所有奥地利人的个人数据，包括全名、性别、完整地址和出生日期。这名黑客是于 2020 年 5 月在一个黑客论坛上出售这些数据，该数据集已被调查人员确认是真实的。它包含了近 900 万组数据，而奥地利人口为 910 万，因此几乎所有奥地利人都包含在内。该黑客还出售了意大利、荷兰和哥伦比亚等国的类似数据集。

俄罗斯科技巨头 Yandex 的源代码库被以 Torrent 磁链的方式在一黑客论坛上泄露。泄露者声称源代码是在 2022 年 7 月窃取到的，文件总容量 44.7 GB。该源码库包含了 Yandex 几乎所有产品的源代码，其中包括搜索引擎和索引爬虫，地图、AI 助手、邮件、云盘、云服务和支付服务，等等。Yandex 在一份声明中表示，它没有遭到黑客入侵，源代码库是一位前雇员泄露的。

苹果向 2013 年上市的 iPhone 5S 释出安全更新，修复可能导致任意代码执行的漏洞。苹果 iPhone 系列智能手机通常提供五到六年的系统更新。iPhone 5S 最后一次系统更新是 2018 年推出的 iOS 12，本周它向 iPhone 5S 这款有大约十年历史的手机推送了安全更新 iOS 12.5.7, 修复了在处理恶意网页内容时可能导致任意代码执行的问题，苹果警告在运行 iOS 15 之前版本的设备上该漏洞可能正在被利用。iPhone 6 和 6 Plus 等旧型号设备也都收到更新。

暗网市场 Solaris 被一家小竞争对手 Kraken 劫持，时间是 2023 年 1 月 13 日。Solaris 的暗网网站被重定向到 Kraken，相关联的区块链地址没有发生移动。Solaris 是在最大的暗网市场 Hydra Market 的服务器去年四月被德国警方扣押和关闭之后出现的，旨在吸引一部分 Hydra 的用户，它迅速获得了四分之一的该市场用户，非法销售金额约 1.5 亿美元。Kraken 的规模要比 Solaris 小。Solaris 被认为与亲克里姆林宫的黑客组织 Killnet 有关联。2022 年 12 月乌克兰网络情报分析师 Alex Holden 声称入侵了 Solaris 窃取了 2.5 万美元捐给了乌克兰的人道主义慈善机构。Solaris 否认网站遭到入侵，但 Holden 随后公开了更多证据，包括窃取的源代码和数据库。1 月 13 日 Kraken 宣布控制 Solaris 的基础设施、GitLab 库和所有项目源代码，“感谢源代码中的重大 bug。”Kraken 称它用了三天时间从 Solaris 服务器上窃取到明文密码和密钥，访问了位于芬兰的基础设施，然后下载了所有内容。它随后关闭了 Solaris 的比特币服务器。Kraken 也是亲克里姆林宫，这起事件应该与政治无关，而是出于商业动机。

微星主板的 BIOS 默认设置被发现不安全，允许任何操作系统镜像运行，不管它们有没有签名或者签名是错误的。逾 290 款微星主板受到影响。波兰安全研究员 Dawid Potocki 最早发现了该问题，他尝试联系了微星但没有收到任何回应。该问题影响英特尔或 AMD 处理器使用的微星主板使用的最新固件，甚至全新型号的微星主板。

安全公司 Avast 公布了免费的变脸（BianLian）勒索软件解密器。变脸勒索软件是在 2022 年 8 月出现的，主要针对媒体、娱乐、制造和医疗保健行业的目标，它用 Go 语言开发，硬编码了 1013 种文件扩展名，感染之后它会搜索系统中的这些扩展名用 AES-256 进行加密，加密后的文件扩展名为 .bianlian，然后留下一份勒索通知。Avast 公布的解密器主要针对现有的变种，如果出现变脸勒索软件的新变种，它可能无法解密。

出于安全担忧 Linux 准备禁用微软的 RNDIS 协议驱动。RNDIS 代表 Remote Network Driver Interface Specification，是一个私有协议，主要使用 USB 协议作为其下层传输，向上层提供虚拟的以太网连接。 除了 Windows，RNDIS 在跨平台环境中没有广泛使用，由于安全担忧，Linux 内核正寻求将 RNDIS 内核驱动转移到 BROKEN Kconfig 选项，因此它在未来的内核构建中将被禁用。在被标记为 BROKEN 一段时间之后，驱动将可能从上游源码树中删除。内核稳定分支维护者 Greg Kroah-Hartman 称，RNDIS 在设计上就是不安全的，因该协议不可能做到安全，禁用其驱动将防止任何人使用它。

过去两周，黑客利用 SugarCRM 系统的一个高危漏洞传播恶意程序控制服务器。漏洞是在 2022 年 12 月爆出的，当时没有补丁属于 0day，公开漏洞的人还发布了漏洞利用代码，称它是一个身份验证绕过加远程代码执行漏洞，这意味着攻击者不需要身份凭证就可以在存在漏洞的服务器上远程运行恶意代码。SugarCRM 官方在 1 月 5 日发布公告证实了该漏洞。提供网络监测服务的 Censys 安全研究人员周三报告，在其监测到的 3059 台 SugarCRM 服务器中有 354 台 SugarCRM 感染了恶意程序植入了后门。