部分密码管理器 LastPass 的用户最近收到了主密码可疑登录尝试的邮件警告，引发了 LastPass 用户密码泄露的担忧。但 LastPass 否认该公司发生了用户密码泄露的事故。它在一份声明中表示，它认为是未知攻击者发动了撞库攻击（credential stuffing）。也就是攻击者使用从第三方获取到的电子邮件和密码去尝试登录 LastPass 上的用户账号。由于密码管理器包含了用户大量的其它服务密码，它如果被破解会导致严重的后果。密码管理器的主密码应该尽可能避免复用密码。

相片服务巨头 Shutterfly 遭勒索软件 Conti 的攻击，数以千计的设备被加密，企业数据被窃取。Shutterfly 成立于 1999 年，主要提供个性化相片服务，2009 年上市，2019 年被 Apollo Global Management 收购并与其竞争对手 Snapfish 合并。据报道它有超过千万客户。对 Shutterfly 的攻击发生在两周前，Conti 勒索软件黑帮声称加密了超过 4000 台设备和 120 台 VMware ESXi服务器，它索要数百万美元赎金，威胁公开窃取的数据，这是勒索软件黑帮常用的二次勒索策略。它窃取的数据包括协议合同、银行和商家账户信息、企业服务登录凭证、电子表格，信用卡最后四位数等。Conti 还声称获得了商店的源代码。Shutterfly 在周日晚上确认遭到攻击，表示 Shutterfly.com、Snapfish、TinyPrints 或 Spoonflower 网站不受影响，企业网络、Lifetouch、BorrowLeneses 和 Groovebook 的服务受到攻击影响。

白宫邀请主要软件开发商讨论加强开源软件安全。在开源软件 Apache Java 日志框架 Log4j2 曝出的高危漏洞影响无数应用和服务之后，白宫国家安全顾问 Jake Sullivan 邀请软件行业的主要成员讨论如何改善开源软件的安全。数十个开源软件项目已成为全球商业的关键组成部分，这些软件大部分都由志愿者维护。负责网络和新兴技术的国家安全副顾问 Anne Neuberger 将在 1 月主持召开为期一天的讨论。Sullivan 在邀请函中指出，开源软件促进了创新，但它们的广泛使用以及主要由志愿者维护的事实组合在一起构成了一个重要的国家安全问题，Log4j2 漏洞就是一个鲜明的例子。

2019 年 2 月，一名以色列女子与乌干达总统之子、负责其安全的 Muhoozi Kainerugaba 中将见面，推销 NSO 公司的间谍软件 Pegasus。几个月后当时的 CEO Shalev Hulio 前往乌干达签署了这笔价值 1000 万到 2000 万美元的交易。这笔秘密交易最终将 NSO 带到了崩溃边缘。两年之后美国在乌干达的 11 名外交官遭到了 Pegasus 的攻击，此事激怒了美国，NSO 被列入了贸易黑名单，禁止美国公司与它有任何生意往来。而 NSO 广泛使用美国的技术和设备。NSO 曾告诫其客户不要攻击美国的电话号码，它如今在非洲已经没有了任何生意。在禁令宣布之后，英特尔通知员工切断与 NSO 的所有生意，新 CEO Itzik Benbenisti 刚上任两周就宣布辞职。它的净现金流已经是负数。美国参议员还要求根据 Magnitsky 法案对其进行制裁。如果执行制裁，NSO 将切断与美国银行系统的关系，它的员工将被禁止进入美国。

本月早些时候，特斯拉推送的软件更新允许车载信息娱乐系统在汽车运动中玩游戏，引发了监管方面的担忧。美国高速公路安全管理局（NHTSA）周三宣布对此展开正式调查。NHTSA 表示，特斯拉自 2020 年 12 月起开始配备“Passenger Play”功能。在此之前，只能在停车状态下在中央屏幕上玩游戏。NHTSA的 调查覆盖从 2017 年至 2021 年的大约 580,000 辆特斯拉 Model S、3、X 和 Y 型车辆。它表示将评估“该功能的各个方面，包括特斯拉‘Passenger Play’的使用频率和使用场景。”特斯拉确实警告不要在驾驶时玩游戏。当 Passenger Play 功能被激活时，屏幕上会弹出一条警告：“在车辆行驶时，Touch Arcade 仅供乘客使用。在玩游戏前请查看当地法律。”从 2014 年起，至少有 34 个州制定了“视频屏幕限制”法律，因此通过 Passenger Play 玩游戏总体而言似乎是非法的。NHTSA 早在 2013 年就发布了前排显示指南，称“显示与驾驶无关的图像或视频……本质上会干扰驾驶员安全操作车辆的能力。”

安全研究人员观察到名为 TellYouThePass 的勒索软件家族尝试利用最近发现的 Log4j 高危漏洞。TellYouThePass 勒索软件家族被认为年代比较悠久且基本不活跃，在广泛使用的 Log4j 日志框架发现漏洞之后，该勒索软件家族再次活跃。研究人员表示，继 Khonsari 勒索软件之后，TellYouThePass 成为第二个被观察到利用 Log4j 漏洞（被称为Log4Shell）的勒索软件家族。

虽然之前的报道表明 TellYouThePass 主要针对中国目标，但安全公司 Sophos 的研究人员表示，他们观察到 TellYouThePass 勒索软件在中国境内和境外（包括美国和欧洲）的传播企图。Sophos Labs 的高级威胁研究员 Sean Gallagher 表示：“中国的系统以及托管在美国和欧洲多个站点的亚马逊和 Google 云服务系统都成为目标。”Gallagher 表示，Sophos 在 12 月 17 日和 12 月 18 日检测到利用 Log4j 漏洞传播 TellYouThePass 负荷的企图。Sophos 威胁研究员 Andrew Brandt 表示，TellYouThePass 有在 Linux 或 Windows 上运行的版本，“有利用EternalBlue 等知名漏洞的历史。”Brandt 表示，Linux版本能窃取 Secure Socket Shell(SSH) 密钥并能执行横向移动。Sophos 在 12月 20 日的博文中披露它检测到 TellYouThePass 勒索软件。

TellYouThePass 勒索软件利用 Log4j 漏洞的第一份报告来自中国网络安全组织 KnownSec404 团队的负责人，时间是 12 月 12 日。研究人员社区 Curated Intelligence表 示，随后其他研究人员证实 TellYouThePass 与 Log4Shell 一同部署的企图。在周二的一篇博文中，Curated Intelligence 表示其成员现在确认 TellYouThePass 被发现利用这个漏洞（未经修复）“针对 Windows 和 Linux 系统。”Curated Intelligence表 示，TellYouThePass 最近一次被观察到是在 2020 年 7 月。

在沙特记者 Jamal Khashoggi 在土耳其被谋杀前几个月，他的未婚妻 Hanan Elatr 在迪拜机场被迫向安全人员交出了两部 Android 手机、笔记本电脑和密码，并就其未婚夫相关问题被盘问了一整夜。第二天，仍然被扣押的手机输入了一个网址 https://myfiles[.]photos/1gGrRcCMO，安装 NSO Group 的间谍软件 Pegasus。两部手机在数天后才归还，加拿大多伦多大学公民实验室的研究人员对手机的深入分析揭示了阿联酋政府机构在手机上安装间谍软件的痕迹。NSO Group 此前否认 Pegasus 被用于入侵 Elatr 的手机，称其服务器上没有相关记录。Khashoggi 于 2018 年 10 月 2 日伊斯坦布尔被谋杀，Elatr 是在这一年 4 月 21 日遭到扣押。

Microsoft Teams 的链接预览功能发现了四个漏洞。安全研究人员在 3 月就将问题报告给了微软，而到了 12 月 22 日微软只堵上了一个漏洞，研究人员称微软看起来没有意愿或资源保护其客户。这四个漏洞之一能泄露微软本地网络的信息，能用于钓鱼攻击伪装预览，Android 版本下能泄露用户的 IP 地址，Android 版本下用户收到无效链接预览之后应用程序会崩溃，打开包含恶意信息的聊天窗口时会持续崩溃。微软到目前为止修复了泄露用户 IP 地址的漏洞。

Apache Java 日志框架 Log4j2 曝出的严重漏洞影响了无数应用和服务，而发现该漏洞的阿里云因未及时向工信部通报漏洞被“暂停阿里云公司作为工信部网络安全威胁信息共享平台合作单位 6 个月。暂停期满后，根据阿里云公司整改情况，研究恢复其上述合作单位”。阿里云是在 11 月 24 日向 Apache 报告了漏洞，而工信部网络安全威胁和漏洞信息共享平台直到 12 月 9 日才收到 Log4j2 相关的报告，12 月 17 日工信部通报称，该漏洞可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，属于高危漏洞。

在 FBI 之后，英国执法机构国家犯罪调查局与 Have I Been Pwned 共享它在调查中发现的 5.85 亿泄露密码。Have I Been Pwned 维护者 Troy Hunt 表示，其中 2.25 亿个密码是唯一的，即此前未泄露过。国家犯罪调查局是在英国一家云存储设施的一个账户内发现泄露的密码以及对应的电邮账号，它无法判断泄露的密码和电邮来自哪个平台或哪家公司。目前 Have I Been Pwned 包含 55 亿个条目，其中 8.47 亿是唯一的，所有密码都可以免费下载，可以下载到本地后对照是否密码泄露，无需通过该网站。

据说暗网市场丝绸之路的创始人 Ross Ulbricht 的笔记本电脑是在解锁的情况下被美国联邦特工抢走。他被怀疑是丝绸之路的创始人但没有确凿证据，执法部门需要笔记本电脑中的数据作为证据。为在解锁情况下拿到笔记本电脑，两名特工在 Ulbricht 面前演了一场打斗戏，吸引他的注意力后由第三名特工抢走电脑。如何在这种罕见的情况下保护计算机里的秘密？名叫 BusKill 的项目就是设计针对这种情况，保护记者和活动人士的数据安全。BusKill 是一种磁分离线缆，支持 macOS、Windows 和 Linux，用户可以配置当磁分离连接器被断开也就是笔记本电脑离开拥有者的情况下的应对措施，包括锁住计算机和自毁数据。

Google 安全研究人员调查了 Java 软件包库 Maven Central 中所有软件包的所有版本，以更好的理解最近曝出的 Log4j 漏洞对整个生态系统的影响。研究人员发现，截至 12 月 6 日有多达 35,863 个软件包依赖于存在 Log4j 漏洞的代码，意味着 Maven Central 库中超过 8% 的软件包至少有一个版本受到漏洞影响。就生态系统影响而言，8% 是相当巨大的数字。

Google Project Zero 安全研究人员公布了 NSO 间谍软件 Pegasus 零点击 iMessage 漏洞利用的深入分析报告，认为这是他们见过的技术最先进的漏洞利用之一。漏洞 CVE-2021-30860 被利用攻击沙特的活动人士，利用漏洞不需要用户点击链接或浏览恶意网站，苹果在 9 月的更新中修复了该漏洞。安全研究人员称，Pegasus 的第一个切入点是 iMessage，攻击者只需要 AppleID 用户名的电话号码就能启动恶意程序植入。iMessage 原生支持 GIF 图像，使用 ImageIO 库去猜测源文件的正确格式然后解析。利用伪装成 gif 图像的欺骗方法数十种图像编解码器就成为零点击 iMessage 攻击面的一部分。Pegasus 针对的是其中的 CoreGraphics PDF 解析器，在该解析器中苹果使用了来自 Xpdf 的开源 JBIG2 实现，JBIG2 是压缩黑白像素的图像编解码器。JBIG2 存在一个典型的整数溢出漏洞。虽然 JBIG2 没有脚本能力，但它能模拟任意逻辑门操作的电路，Pegasus 将 pdf 伪装成 gif，利用该漏洞溢出内存之后，使用超过 7 万个 segment 命令定义逻辑位操作，创造了一个定制的虚拟机在内存中执行指令。

HardenedVault 写道 " Log4Shell(CVE-2021-44228)是Java日志框架log4j的一个造成业界极大影响的漏洞，该漏洞基本上分为两部分：log4j2 部分（允许通过特殊构造的可记录字符串引诱使用该组件的 Java 程序访问攻击者指定的 URI）和 Java 核心部分（允许不经检查地执行服务器响应中引用的 Java 代码），赛博堡垒分析了漏洞的成因，并且发现有些Java应用免疫此次漏洞并非部署了高级防护措施而只是简单的遵循了开源最佳实践，也针对Java的企业应用生态中“RCE不是一个bug而是一个feature”的实际情况进行了安全加固建议，另外近期不少讨论都是关于是否应该由基金会代理去修复更多的开源安全生态问题，赛博堡垒持有不同看法，OpenSSL的心脏出血后Linux基金会成立了CII基础架构联盟以解决开源基础架构的安全生态问题，但其结果不尽人意，比如manager的人数超过maintainer，未来CVE-2021-44228这类问题会有更多曝光，但解决的思路如果仅仅是找一个机构（不论是基金会还是监管部门或者是大厂商），那这个机构的判断正确与否都等同于是把鸡蛋放进同一个篮子。介于开源社区多样性自底向上的进化模式占比很高的情况，赛博堡垒对开源项目的建议是：谁用谁负责，谁用谁审计，谁用谁加固。"

自上周五广泛使用的 Java 日志库 Log4J 曝出高危漏洞以来，黑客对全世界的企业发动了超过 84 万次攻击。Log4J 使用 Java Naming and Directory Interface 执行网络查找，从 Lightweight Directory Access Protocol 获得服务，它将日志消息作为 URL 处理，以主程序的完整权限执行其中包含的任何可执行负荷。它的漏洞很容易被利用。在漏洞曝光之后，在使用 Log4J 的企业尚未及时修补前，攻击者正加速对其进行利用，安全研究人员甚至观察到一分钟内的攻击次数就超过了 100 次。被称为 Log4Shell 的漏洞被认为是至今发现的最严重漏洞之一。安全公司 Check Point 报告，攻击者在利用漏洞控制计算机之后，或者进行加密货币挖掘，或者将其作为僵尸网络的一部分，或者进行其它非法活动。

年末圣诞将至，企业最不想看到的可能是它们无法使 HR 管理服务平台给员工支付薪酬。薪酬服务平台 Kronos 证实它遭到勒索软件攻击，其平台可能将在数周内无法使用，建议客户寻找替代方案。攻击影响了 Kronos 的 UKG Workforce Central、UKG TeleStaff 和 Banking Scheduling Solutions 服务。Kronos 的代表拒绝证实或否认是最近爆出的 Java 日志库 Log4J 0day 漏洞 Log4Shell 导致其服务遭到入侵。Kronos 云服务高度依赖于 Java，其软件框架是基于 Log4J。已有企业表示因为服务下线错过了发薪。Kronos 的服务被数十家大型企业和众多政府机构和大学使用。

在 OpenSSL 项目曝出 Heartbleed 高危漏洞前，人们并不知道许多关键基础组件虽然人人用但却无人维护。在 Java 日志框架 Log4j 本周末曝出高危漏洞后，又一个广泛使用但几乎没人维护的开源项目暴露在人们面前。Log4j 维护者称他有全职软件开发工作，只能在空闲时间维护该项目，他也想全职维护开源项目，但在这之前只有三个人（现在人数增加了）赞助 Log4j。使用 Log4j 项目的知名企业包括苹果和微软。有人主张，如果一家企业使用了一个开源项目但不想自己维护一个版本，那么它有道德上的责任赞助和支持项目的维护者。

广泛使用的 Java 日志库 Log4j 爆出了非常容易利用的 0day 漏洞，通过发送特定字符串攻击者能远程执行代码，有数以百万计的应用受到影响。漏洞利用的 POC 代码已发布在 GitHub 上，它被编号为 CVE-2021-44228。受影响的服务包括 Steam、Apple iCloud、游戏如 Minecraft，任何使用 Apache Struts 的服务都可能受到影响。在漏洞爆出之后，玩家就开始在 Minecraft 的聊天功能中尝试利用漏洞，部分 Twitter 用户改变显示名字去触发漏洞，苹果用户也尝试了类似的漏洞利用。

当网络侦探追踪美国公司、医院和市政府向网络勒索者支付的数百万美元赎金时，他们注意到：至少有一部分赎金经过了莫斯科最负盛名的商业地址。拜登政府也将目光投向了这栋建筑物：联邦大厦东塔——俄罗斯首都最高的摩天大楼。美国试图惩罚俄罗斯勒索软件团伙，已锁定了楼内的几家公司，这些勒索团伙对受害者的数字数据进行加密，然后要求支付赎金对其进行解密。赎金通常以比特币之类的加密货币和虚拟货币支付，然后将其转换成标准货币，例如美元、欧元和卢布。

这栋高耸在莫斯科金融区的建筑物已成为此类洗钱活动的中心，让很多安全专家相信俄罗斯当局纵容勒索软件团伙。他们指出，受攻击的目标几乎都在俄罗斯境外，在美国制裁公告至少一个案例中，嫌疑人协助了俄罗斯间谍机构。马萨诸塞州网络安全公司 Recorded Future 的威胁情报专家 Dmitry Smilyanets 表示：“这说明了很多问题。俄罗斯的执法部门通常会这样回答：‘俄罗斯管辖范围内没有出现案件。没有受害者。你指望我们怎么起诉这些可敬的人？’”在 Recorded Future 的评估中，莫斯科城（Moscow City）——俄罗斯首都的一个金融区——中大约有 50 家加密货币交易所从事了非法活动。该区内的其他交易所没有被怀疑接受与犯罪有关的加密货币。

微软官方博客宣布成功获得法庭许可扣押中国黑客使用的 42 个域名。被称为 Nickel aka APT15、Mirage、Vixen Panda 和 Ke3Chang 的黑客组织活动始于 2012 年，它使用这些域名主要用于发动钓鱼攻击。微软表示，通过 24 起诉讼，其数字犯罪部门已经关闭了网络罪犯所使用的一万多个恶意网站，以及国家行为者所使用的近 600 个网站，并阻止了另外 60 万个网站的注册。