Google 称默认启用双因素认证减少了一半的账号入侵。Google 是从去年底开始对 1.5 亿有“合适配置”的用户账号默认启用 2FA。所谓“合适配置”是指用户已经有账号的恢复信息，如手机号码或额外的电邮。Google 表示将会在 2022 年继续推广 2FA，并从 3 月起让用户选择加入一个账户级的安全浏览选项，不让用户访问已知的恶意网站。Google 还承诺在美国中期选举前加强对政客的保护。

安全桌面操作系统 Qubes OS 释出了 4.1 版本。Qubes OS 使用一组被称为 Qubes 的虚拟机将不同功能隔离开来，每一个应用程序都运行在各自的沙盒中，确保一个程序有安全漏洞不会影响到其它程序。Qubes OS 使用了 Xen 虚拟层（hypervisor）和 Qubes 隔离系统不同部分，其中 Xen Dom0 是系统中虚拟层之外权限最高的部分，提供了管理接口还充当了所有 Qubes 的显示管理器，如果有人能访问它那么就能在整个系统中为所欲为了，Qubes OS 4.1 的一大变化就是将显示处理部分分离为一个独立的 GUI domain。4.1 版本的另一个变动是新的 Qrexec 策略系统，等等。

为了应对勒索软件等恶意程序，微软计划改变 MS Office 办公软件处理宏的方式：如果文件使用的宏命令是从网上下载的，宏将会默认完全禁用。目前的 Office 版本会对包含宏的文件弹出警告横幅，用户可通过点击启用，但新版本的横幅不再能启用宏。从 2022 年 4 月起，这一改变将首先提供给 Office v2203 用户预览，6 月起推广到订阅版本 Microsoft 365  Office，最后是目前支持的独立版本 Office 2021、2019、2016 和 2013。如果用户仍然想要启用网上下载文件中的宏，他们可以打开文件的属性，点击 unblock 按钮。

旗下包括《华尔街日报》和《纽约邮报》等媒体的新闻集团周五透露遭到了黑客入侵。入侵最早可以追溯到 2020 年 2 月，初步调查显示黑客是通过供应链实施入侵的，也就是通过新闻集团使用的第三方云服务入侵该公司。有数十名员工受到攻击的影响，黑客可能访问了他们的电子邮件和 Google Docs，其中包括发表文章的原稿。新闻集团是在今年 1 月 20 日发现了入侵，该公司表示客户和财务数据未受影响，公司运营也没有中断。

过去几周，监视朝鲜网络的人士注意到该国与外界的连接时断时续，个别天朝鲜对外网站几乎全部下线，至少一个中心路由器在攻击下瘫痪。朝鲜恰好在这个时间点多次发射了导弹，因此有人怀疑对朝鲜网络的攻击可能来自于政府背景的黑客组织或网络战部队。《连线》报道，真正的幕后攻击者其实是一名无任何政府背景的美国黑客。朝鲜黑客组织此前对安全研究人员发动了一系列网络攻击窃取黑客工具和软件漏洞相关的情报，这位名叫 P4x 的黑客在一年前成为其中的一名受害者。他设法阻止了朝鲜黑客窃取有价值的情报，注意到美国政府对此类攻击没有任何明显的回应，因此决定自己动手。他提供了屏幕录像证明自己正在对朝鲜网络发动攻击。他在朝鲜的网络中发现了多个已知但未修复的漏洞，允许他使用脚本对服务器和路由器发动拒绝服务攻击。

HardenedVault 写道 "2022年1月25日，赛博堡垒（HardenedVault）创始人 Shawn Chang在第九界安天网络安全冬训营研讨会上分享了《开放基础架构安全防护:对抗复杂性》(视频）的议题，主要围绕基础架构的定义、用实际案例分析了高级防护的趋势、威胁建模过程中遇到的常见问题及打造开放的体系基础架构安全过程中关键性的组件等方面进行了介绍。2021年的公开披露信息来看，高级威胁有之前未见的两大趋势，规模化构建专注底层的攻击链条和更加精湛的攻击技术，Kaspersky针对2022年APT（高级可持续威胁）的趋势预测中直接指出了底层攻击的“热度”回归，"Bootkit is a new norm"沉积了数年之后再次进入主流视野。"

去年 12 月研究人员发现了据信是第一种由专业网络犯罪组织用 Rust 语言开发的勒索软件 ALPHV/BlackCat。相比 C 或 C++ 语言 Rust 是一种更安全的编程语言，用 Rust 开发的程序更难找到常见的编程漏洞，如果有更多网络犯罪组织切换到 Rust 语言，将会加大安全公司发现勒索软件漏洞的难度。Krebs on Security 援引消息来源报道，ALPHV/BlackCat 的一名开发者网名叫 Binrs，曾在俄语自我介绍有六年的 Rust 开发经验。

最新版本的 Android 恶意程序 BRATA 能在窃取数据之后将设备恢复到出厂设置，抹掉设备上的所有数据掩盖其活动痕迹。BRATA 在 2019 年最早被发现时属于一种 Android RAT（远程访问工具），主要针对巴西用户。安全公司 Cleafy 在 2021 年 12 月报告 BRATA 开始在欧洲等地出现，并增加了更多功能，它发展成为窃取电子银行登录凭证的恶意程序。其最新版本针对了英国、波兰、意大利、西班牙、中国和拉美的电子银行用户，每个变种针对了不同的银行，都使用了类似的混淆技术以躲避安全软件的检测。它会寻找设备上安全程序的痕迹，会在执行渗透前删除安全工具。

新勒索软件 DeadBolt 正在瞄准世界各地的 QNAP NAS 设备。攻击者声称利用了一个 0day 漏洞，承诺如果 QNAP 愿意支付价值 18.5 万美元的 5 比特币，他们将披露 0day 漏洞的细节。如果有人愿意支付价值 185 万美元的 50 比特币他们将披露 0day 漏洞细节并提供能解密所有加密文件的主密钥。受影响的 QNAP 设备会看到所有文件被加密，文件扩展名为 .deadbolt。设备登录页面会显示勒索信息，要求受害者支付价值约 1100 美元的 0.03 比特币。

英国国家犯罪局（NCA）的网络犯罪部门正在着手进行一项旨在教育儿童了解 DDoS 攻击后果的计划。正如 NCA 网站上一篇文章所解释的，最近的一项研究促使他们采取了此项计划，研究表明，年仅 9 岁的孩子在对他们所在学校的网络、网站和其他服务发起 DDoS 攻击。报告称，在疫情期间，此类攻击的数量急剧增加，可能会对在线学习活动造成干扰。

安全公司 Qualys 的研究人员在类 Unix 系统权限管理工具 Polkit 中发现了一个 root 提权漏洞，允许非特权用户获得系统的 root 权限。该漏洞被命名为 PwnKit，已存在了 12 年之久。从 2009 年起，Polkit 包含了一个内存破坏（memory-corruption）漏洞，利用漏洞比较简单，甚至部分账号能百分之百实现。已在存有漏洞的系统获得立足点的攻击者可以滥用该漏洞确保恶意负荷或指令能以系统最高权限执行。安全研究人员是在去年 11 月发现该漏洞的，在主要 Linux 发行版修复漏洞之后将其披露。Qualys 没有公布漏洞利用概念验证代码，但发布了一则漏洞利用视频。

白俄罗斯黑客周一宣布用勒索软件感染国营铁路系统的网络，只有白俄总统卢卡申科（Alexander Lukashenko）在俄罗斯军队对乌克兰发动可能入侵之前停止对其的援助，他们才会提供解密密钥。自称 Cyber Partisans（网络游击队）的组织在 Telegram 上写道：“在恐怖分子卢卡申科的指挥下，BelZhD(白俄罗斯铁路) 这些天允许占领军进入我们的土地。作为‘Peklo’网络行动的一部分，我们加密了 BelZhD 的大部分服务器、数据库和工作站，以减缓和破坏铁路的运行。备份已被破坏。”该组织还在 Twitter 上宣布了这次袭击。

该组织的一位代表在私信中表示，Peklo 网络行动针对特定实体和政府经营的公司，目标是向白俄罗斯政府施压，要求其释放政治犯，并阻止俄罗斯军队进入白俄罗斯，利用该国领土对乌克兰发动袭击。该代表写道：“政府继续压制白俄罗斯人的自由意志，监禁无辜的人，他们继续非法关押着……数千名政治犯。”“主要目标是推翻卢卡申科政权，维护主权，建设一个有法治、独立机构并保护人权的民主国家。”BelZhD 网站上的几项服务确实无法使用。如在线购票功能无法正常工作。该代表表示，除了票务和调度瘫痪之外，此次网络攻击还影响到了货运列车。据报道，俄罗斯一直通过铁路向与乌克兰接壤的白俄罗斯运送军事装备和人员。@belzhd_live 周五表示，在一周之内，超过 33 列满载装备和部队的俄罗斯军用列车抵达白俄罗斯，进行联合战略演习。@belzhd_live 是一个白俄罗斯铁路工人组织，跟踪着该国 5512 公里铁路的状况。该工人团体当时表示，预计在接下来的几天内，将总共有 200 个梯队抵达。

color 和 faker 开发者的 Marak Squires 本月早些时候通过加入无限循环故意破坏了这两个广泛使用的依赖库。在包管理器 NPM 上，colors 的周下载量超过 2000 万次，有近 19000 个项目依赖它；faker 的周下载量超过 280 万次，有超过 2500 个项目依赖它。在事故发生之后，GitHub 平台短暂封禁了其账号，在解封之后其发行权仍然被剥夺。faker 之后出现了社区管理的分支。Marak Squires 想要拿回发行权，他声称自己的邮件没有收到任何回应，而他有一百个包需要维护，“每个人都会不时犯下编程错误，没有人是完美的。”但无心之过和故意破坏显然是两码事，他的请求几乎无人支持，认为他的故意破坏损害了开源生态系统的信任原则。

Jetpack 安全研究人员发现了一起利用 WordPress 扩展的供应链攻击。Jetpack 来自 WordPress 母公司 Automattic。如果网站从 AccessPress Themes 网站下载了主题扩展，那么网站有可能遭到了入侵。如果是从 WordPress.org 下载了相同的主题扩展，那么它们应该是安全的。攻击者修改的是 AccessPress Themes 网站上托管的主题扩展，悄悄植入了后门。攻击者在主题目录中加入了一个脚本 initial.php，它充当了下载程序，能从 wp-theme-connect[.]com 下载和安装后门。一旦安装后门下载程序会自毁以隐藏其活动。安全研究人员对攻击起始时间有不同看法，Jetpack 的研究人员认为供应链攻击始于去年 9 月，但另一家安全公司 Sucuri 的研究人员 Ben Martin 认为攻击可以追溯到三年前。

卡巴斯基研究人员透露了植入到 UEFI 固件中的恶意程序 MoonBounce。该恶意程序被认为来自于 APT41 aka Winnti 或 Double Dragon。恶意程序修改了主板上名为 SPI flash 的元件，它不在硬盘上，因此格式化硬盘或更换硬盘不会清除恶意程序。修改后的固件镜像允许攻击者拦截引导序列的执行流，引入一个复杂的感染链。研究人员认为，黑客对 UEFI 系统的工作原理有着深刻的理解。感染链只在内存中运行，硬盘上没有留下攻击痕迹。黑客主要对 IT 行业、社交媒体、电信、非营利组织和医疗机构进行攻击。

未知身份的黑客入侵了瑞士一家为红十字会提供数据储存服务的承包商，窃取了 Restore Family Links 项目大约 515,000 名用户的个人数据。该项目被用于帮助因战乱、灾难或移民而分离的家庭成员团聚。红十字会发布新闻稿，请求攻击背后的黑客不要公开或出售数据，以免给已遭受苦难的人带来更多伤害。红十字会没有透露更多攻击细节，暂时不清楚攻击是勒索软件黑帮、国家支持黑客还是其他人所为。

微软上周释出的一月例行安全更新被发现引入了 bug，给企业客户制造了麻烦，会导致 VPN 连接失败。根据微软公布的信息，问题主要影响包含供应商 ID 的 IPSEC 连接，以及 L2TP 和IPSEC IKE VPN 连接，受影响操作系统包括 Windows 10、Windows 11，Windows Server v2022、20H2、2019 和 2016。最常见受影响的是 Windows 操作系统内置的 VPN 客户端，其它这些连接的第三方客户端也可能会出错。微软在本周释出补丁修复了这些问题。

知名字幕站 Opensubtitles 宣布遭到黑客入侵。事情始于 2021 年 8 月，黑客通过 Telegram 发送消息称能访问网站的用户表下载数据库，黑客勒索 1 BTC 换取不公开漏洞并承诺删除数据。黑客还提供了如何修复漏洞的方法。之后几个月风平浪静，但在 2022 年 1 月 11 日网站管理员再次收到了相同漏洞的勒索要求，可能来自第一位黑客的合作伙伴，漏洞事实上没有修复。1 月 14 日网站数据泄露，在获悉之后网站管理员立即锁定了所有账号并强制要求更改密码，18 日披露了这一安全事故。Opensubtitles 成立于 2006 年，当时对安全还不够重视，用户密码使用的 md5() 储存，没有加盐处理，弱密码会很容易破解。如果用户在其它网站重复使用了密码，网站管理员建议一同修改。

根据以色列商业媒体网站 Calcalist 的调查，以色列警方在未经授权的情况下，使用 NSO 集团备受争议的 Pegasus 间谍软件对包括政治家和活动人士在内的以色列公民进行电话侦听。报道称这些侦听针对的目标包括本地市长、反对前总理内塔尼亚胡（Benjamin Netanyahu）的政治抗议活动领袖以及前政府雇员。监控以色列公民需要法院监督，这些监控是在缺少法院监督的情况下进行的，对于数据如何使用也缺乏监督，以色列警方和一位政府部长明确否认这一说法。以色列日报《国土报（Haaretz）》的另外一则报道称，据报社看到的发票，NSO 集团在 2013 年向以色列警方开具了 270 万谢克尔（86.2万美元）的发票，显然是该计划的基本版本。以色列 NSO 集团设计了 Pegasus并将其出售给外国政府，虽然出现了许多滥用 Pegasus 的报道，但最近的报道标志着情况出现了重大变化，以色列人也成了侦听的目标。《卫报》从熟悉 NSO 授权的消息人士处了解到，虽然 NSO 出售给国外第三方客户的软件不能在国外针对美国和以色列的电话号码，但购买间谍软件的以色列执法机构——例如警方——可以针对以色列的手机号码。虽然报道没有提及消息来源，但它声称使用间谍软件的命令是由高级官员下达的，由警方的电子侦听专家执行。这一说法意义重大，因为它首次反驳了向以色列人做出的保证，即他们不会成为 Pegasus 的目标，对以色列人免于非法入侵的观点提出了质疑。

NordicTrack 公司的 X32i 跑步机售价高达 4000 美元，配备了 32 英寸的显示屏，客户在锻炼时可以观看各类视频。NordicTrack 一直尝试让客户订阅其母公司 iFit 的锻炼应用，限制观看外部视频。它有一个 God Mode 允许用户安装第三方应用，观看外部视频。从去年 10 月开始，NordicTrack 通过更新阻止客户使用 God Mode，不让客户访问 Netflix、YouTube 等流视频服务。这激怒了消费者。他们投诉指出，NordicTrack 的跑步机非常昂贵，他们本应该能完全掌控设备。NordicTrack 和 iFit 的发言人则回应称限制 God Mode 是出于安全考虑。客户开始寻找各种方法绕过 NordicTrack 的限制，目前最流行的做法是恢复出厂设置，配置路由器屏蔽 NordicTrack 推送自动更新。虽然出厂时安装的软件比较旧，但客户可以完全控制跑步机。