美国油服巨头 Halliburton 周二证实上个月遭到了网络攻击，表示未经授权的第三方访问并删除了其系统中的数据。上个月的攻击影响了 Halliburton 休斯顿园区和部分全球网络的业务运营。总部位于休斯顿的 Halliburton 是全球最大的油服公司之一，为全球主要能源公司提供钻井服务和设备，有近 48,000 名员工。该公司表示正在评估被删除信息的性质和范围，但认为不太可能产生重大影响。它没有透露更多信息，包括是否被黑客联系商讨支付赎金之类。

安全公司 ESET 报告在自由软件 IM 客户端 Pidgin 的官方插件库发现恶意程序。被称为 ScreenShareOTR 的插件伪装成支持 Off-The-Record (OTR)协议的屏幕共享工具，但实际上会悄悄安装恶意程序 DarkGate。该恶意程序只感染 Windows 操作系统。安全研究人员建议安装了该插件的用户立即卸载并用杀毒软件完整扫描系统。Pidgin 维护者 Gary Kramlich 表示他们没有跟踪一个插件的安装次数。为防止类似事件再次发生，Pidgin 宣布从现在起将只接受采用 OSI 批准开源许可证的第三方插件。

黑客正利用升泰科技一款已停产停止支持的网络安全探头的 0day 安装恶意程序 Mirai 组建僵尸网络。Akamai 称，攻击者利用的是 AVM1203 上一个有 5 年历史的漏洞 CVE-2024-7029，该漏洞很容易利用，能被用于执行恶意代码。AVM1203 已停售和停止支持，因此不会有补丁去修复该漏洞。攻击者正利用漏洞安装 Mirai 的一个变种。鉴于该探头已停止支持，因此修复该漏洞的最佳方法是更换探头。

韩国黑客组织 APT-C-60 利用了 Windows 版 WPS Office 的一个 0day 在目标设备上安装后门 SpyGlace。WPS 是金山开发的办公软件，在全球有逾 5 亿活跃用户。黑客利用的 0day 被称为 CVE-2024-7262，影响版本从 12.2.0.13110（2023 年 8 月）到 12.1.0.16412（2024 年 3 月）。金山在 3 月悄悄修复了漏洞，但没有向客户披露该漏洞正被活跃利用，促使安全公司 ESET 就该漏洞公布了一份详细报告。CVE-2024-7262 与软件如何处理自定义协议处理器的方式相关，其中 ksoqing:// 允许文档中嵌入的特制 URL 执行外部应用。APT-C-60 创建了 MHTML 文件，嵌入了隐藏在诱饵图像下的恶意超链接，引诱受害者点击图像触发漏洞。金山修复 CVE-2024-7262 的补丁并不完整，ESET 研究人员发现了第二个任意代码执行的高危漏洞 CVE-2024-7263。金山在 5 月修复了新的漏洞。为修复这两个漏洞 WPS 用户需要尽可能快的升级到 v12.2.0.17119 及以上版本。

Google Chrome 浏览器今年至今修复了 10 个 0day。其中第 10 个是安全研究员 TheDog 报告的 CVE-2024-7965，是编译器后端在选择要生成的 JIT 编译指令时的一个 bug 导致的，位于 V8 JS 引擎中，远程攻击者可通过特制 HTML 页面利用堆损坏。第九个 0day 是 CVE-2024-7971。Google 证实 CVE-2024-7971 和 CVE-2024-7965 两个漏洞正被利用，但没有披露更多信息。

法国安全服务公司 Quarkslab 的研究员 Philippe Teuwen 发现，复旦微电子集团制造的非接触式读卡器芯片使用了相同的密钥，允许在数分钟内克隆 RFID 智能卡，打开世界各地的房门。复旦微电子在 2020 年发布了用于门锁钥匙、小额支付、会员卡的 FM11RF08S，它使用了被称为“静态加密随机数（static encrypted nonce）”的方法，研究人员设计了一种攻击方法，如果 FM11RF08S 密钥在至少三张卡上重复使用，就能破解它。进一步研究发现，FM11RF08S 存在一个硬件后门——也就是所有卡使用的相同密钥。Teuwen 发现上一代的 FM11RF08 存在相似的后门但使用了不同的密钥，该密钥被发现被 FM11RF08、FM11RF32、FM1208-10，以及 NXP 和 Infineon 的部分卡使用。Quarkslab 督促世界各地的酒店检查其房卡使用的芯片，评估安全风险。

赛门铁克研究人员报告了一种使用罕见技术的后门 Backdoor.Msupedge。它通过 DNS 流量与 C&C（指令控制）服务器通信。它的 DNS 隧道工具是基于公开代码的 dnscat2 工具。Msupedge 还通过 C&C 服务器（ctl.msedeapi[.]net)）域名解析到 IP 地址作为指令。解析后的 IP 地址的第三个八位组是一个开关语句，后门的行为将根据该八位组减去 7 的值而进行改变。攻击者可能是通过最近修复的 PHP 高危漏洞 CVE-2024-4577 入侵系统的，漏洞的危险评分 9.8/10，影响 Windows 系统上安装的所有版本的 PHP，成功利用漏洞允许远程执行代码。

根据知情人士的消息，美国油服巨头 Halliburton 遭到网络攻击，影响休斯顿园区和部分全球网络的业务运营。Halliburton 据没有证实也没有否认网络攻击，只是表示公司部分系统发现问题，正在评估原因和潜在影响。知情人士称，Halliburton 要求部分员工不要连上内网。总部位于休斯顿的 Halliburton 是全球最大的油服公司之一，为全球主要能源公司提供钻井服务和设备，有近 48,000 名员工。

自称 ZeroSevenGroup 的组织在黑客论坛声称入侵了丰田在美国的一家子公司，它免费分享了其窃取的 240 GB 数据，内容包括联系人、财务、客户、计划、员工、照片、数据库、网络基础设施、电子邮件等。该组织称使用开源工具 ADRecon 提取了包括凭证在内的网络基础设施信息。丰田随后证实其网络遭黑客入侵，但没有披露入侵是何时发生以及如何发生的细节。

微软在上周的例行安全更新中修复了一个 0day 漏洞 CVE-2024-38193，它位于 AFD.sys 中，属于释放后使用漏洞。微软警告攻击者利用该漏洞能获得系统权限，运行不受信任的代码。软件巨人当时没有披露谁在利用该漏洞。本周一，向微软报告该漏洞的组织 Gen 的研究人员披露，朝鲜黑客组织 Lazarus 在利用该漏洞安装 rootkit。研究人员称，攻击者针对的是从事加密货币工程或在航空航天领域工作的目标，旨在入侵其雇主的网络，以及窃取加密货币。Lazarus 利用该漏洞安装了 FudModule——它属于被称为 rootkit 的恶意程序。微软知道该漏洞之后花了半年时间才修复。黑客利用该漏洞的时间显然远长于半年。

Shawn the R0ck 写道：“ Tetrel Security 公开了一个 SLPD-Lite 漏洞（CVE-2024-41660）的细节，slpd-lite 是 OpenBMC 的组件之一，此漏洞因为由 OpenBMC（部分OEM厂商实现）网络安全产生了严重的影响，因为它允许攻击者在易受攻击的系统上远程执行任意代码。
OpenBMC 是一个为服务器开发标准基板管理控制器（BMC）的标准实现框架。BMC允许对服务器硬件进行远程管理，广泛部署在服务器硬件中，提供监控、日志记录功能以及带外恢复和维护工具。由于BMC通常具有高度特权，因此将BMC网络接口隔离到一个独立的管理网络是安全最佳实践。
Tetrel在审查OpenBMC源代码时发现了slpd-lite子组件中的两个内存损坏漏洞。在典型部署中，成功利用这些漏洞将允许具有对BMC管理网络访问权限的攻击者完全攻陷BMC。
第一个漏洞涉及堆中分配的数据的越界读取，可能泄露信息给攻击者。第二个漏洞允许攻击者在堆中分配的数据结构范围之外进行写入。结合这两个漏洞，可以直接实现远程漏洞利用。Tetrel公开了漏洞成因，和相关技术细节，包括代码片段和漏洞的潜在利用方式。同时，还提供了有关如何确认堆损坏可能性的重现步骤，以及在Ubuntu 22.04.04 LTS上测试漏洞的过程。
如果你的数据中心使用了集成spld-lite的OEM厂商提供的BMC（无论是否基于OpenBMC)，务必尽快升级。HardenedVault的OpenBMC实现由于spld-lite并没有集成，所以不受影响。”

俄罗斯安全公司卡巴斯基的研究人员报告，中国黑客上个月被发现入侵俄罗斯政府机构和 IT 公司的计算机。它将这一行动命名为 EastWind。攻击者首先发送含有恶意外链附件的钓鱼邮件，先是通过云储存服务 Dropbox 获取指令下载恶意程序，之后改用了俄罗斯流行的社交网络 LiveJournal 和问答网站 Quora。它在目标设备上安装了远程访问木马 GrewApach、PlugY 后门、新版本的 CloudSorcerer 后门。其中 PlugY 后门此前未知，研究人员还在分析中，它被怀疑是基于 DRBControl 后门代码开发的。

透明行动组织 Distributed of Denial of Secrets (DDoSecrets) 的一位联合创始人曾是暗网毒枭。Thomas White 是丝绸之路 2.0 的管理员，因持有儿童色情材料而被起诉，根据警方公布的聊天记录，他曾设想建立儿童色情网站以及为恋童癖开设网站，他被判入狱五年零四个月。在服刑五年之后，他公开接受采访，表达了对丝绸之路创始人 Ross Ulbricht 的同情，认为对其的刑期过于严重。 DDoSecrets 填补了 Wikileaks 的空白，是目前最大发布泄密数据的平台。它的另一位联合创始人是 Emma Best。

现代和起亚去年二月向数百万辆汽车提供免费软件更新，以应对 TikTok 上病毒式传播的“起亚挑战（Kia Challenge）”视频。现代和起亚汽车被盗非常容易，2015-2019 年款的现代和起亚汽车缺乏电子防盗控制系统以阻止盗车贼闯入和绕过点火装置，其它厂商同期车型该功能几乎是标配。现代及其子公司起亚释出的软件更新，将警报声长度从 30 秒延长到 1 分钟，且需要车钥匙插入点火开关才能启动汽车。在一年半之后，现代和起亚被盗率大幅下降。2020 年出到 2023 年上半年，现代和起亚车型盗窃案增加了 1000% 以上。如今根据新数据，相比未升级的同型号同年份车型，升级软件的车型整车盗窃保险索赔降低了 64%。现代公司的发言人表示，有 61% 符合条件的车型升级了软件，逾 200 万辆汽车获得了软件更新。

即使奶农也避免不了遭遇网络攻击。瑞士 Hagendorn 一位奶农的计算机系统遭到了勒索软件攻击，黑客索要 1 万美元的赎金。这台计算机连接了挤奶机器，接收奶牛健康相关的重要信息。由于计算机被锁定，奶农没有收到紧急情况信息。这位奶牛有身孕，胎儿在子宫内死亡了，这一紧急情况未及时发现，等到发现时为时已晚。奶牛最终死亡。兽医费用和购买新计算机，奶农总共花掉了 6400 欧元，黑客当然也是一无所获。

新加坡学校发给学生使用的 iPad 和 Chromebook 设备运行了移动设备管理应用 Mobile Guardian，该应用遭到了黑客入侵，导致了一部分设备被取消注册，上面的数据被远程清除。Mobile Guardian 表示没有证据表明黑客访问了用户数据。这是该公司今年内第二次被黑客入侵。新加坡教育部表示已将 Mobile Guardian 从设备上全部移除。初步检查显示，新加坡 26 所中学约 1.3 万名学生储存在个人学习电子配备的资料遭人远程删除。截至本周三，新加坡教育部表示云端备份的信息已经全部恢复。教育部发言人表示，当局与学校密切合作，并优先恢复将在今年参加全国考试的学生的设备。教育部也增派工程师到学校，帮助受影响的学生恢复设备正常使用。当局预计在下周末前，能修复完其余受影响的设备。

通过 HTTP 更新软件容易遭到中间人攻击。Volexity 公司的安全研究员披露，黑客组织 StormBamboo aka Evasive Panda、Daggerfly 和 StormCloud 入侵一家 ISP，对目标组织发动了 DNS 中毒攻击，纂改了与 HTTP 自动软件更新相关的特定域名的 DNS 查询响应，导致软件在检查更新时安装了恶意程序而不是预期的更新。Volexity 通知了相关 ISP 阻止了中间人攻击。研究人员报告，黑客在入侵目标组织之后，安装了恶意的 Google Chrome 扩展 ReloadText，收集和窃取了浏览器 cookie 和邮件数据。

根据 Zscaler ThreatLabz 的一份报告，一家财富 50 强企业今年初向勒索软件组织 Dark Angels 支付了创纪录的 7500 万美元赎金。此前已知金额最高的赎金是保险公司 CNA 向 Evil Corp 组织支付的 4000 万美元赎金。报告没有披露是哪家公司，但根据财富 50 强和攻击时间可以推断是制药巨头 Cencora。Cencora 在今年 2 月遭到了网络攻击，但没有一个组织宣布对此负责，这可能意味着该公司已经支付了赎金，Cencora 在财富 50 强企业中排名第 10。Dark Angels 专门瞄准少数高价值的目标以获取高额赎金，而不是同时针对多家公司获取多笔金额较小的赎金。它通常一次只攻击一个大公司，运作模式与大多数勒索软件组织不相同。

微软安全研究员督促 VMware ESXi hypervisor 用户立即采取行动，因为勒索软件组织正利用漏洞获得完整管理权限。ESXi 是 Type 1 hypervisor，aka 裸机 hypervisor，它本身就是操作系统，不是运行在 Windows 或 Linux 之上，相反客户操作系统则是运行在 ESXi 上，因此完整控制 ESXi 将赋予攻击者巨大的破坏能力。黑客利用的漏洞被称为 CVE-2024-37085，允许在目标服务器上获得有限系统权限的攻击者获得对 ESXi 的完全管理控制权。包括 Storm-0506、Storm-1175、Octo Tempest 和 Manatee Tempest 在内的勒索软件组织正在利用该漏洞。微软已将该漏洞报告给了 VMware，VMware 母公司 Broadcom 已经修复了该漏洞。安全研究员发现，如果你已经属于域管理员组(domain admin)，那么只需要创建一个新的域组 ESX Admins，那么任何分配给该组的用户就会自动提权为 ESXi 不受限制的管理员，无需身份验证。

洛杉矶威尔郡大道(Wilshire)警局发出警告，一部分盗贼正利用干扰设备干扰 Wi-Fi 安全摄像头，在闯入室内前使摄像头停止工作。警方称这些盗贼相当专业，分工明确，有专门放哨的人，他们会从二楼闯入，抢劫珠宝和名牌皮包等高价值但体积小巧的物品。警方建议居民继续使用苹果 Air Tags 去标记汽车或钱包等贵重物品，以及与 Wi-Fi 提供商讨论如何硬接线防盗警报系统。警方还建议居民在外出度假时不要通过社交媒体广而告之。