Palo Alto Networks 的 GlobalProtect VPN 刚刚修复了一个缓冲溢出的高危漏洞，而安全公司 Randori 是在 12 个月前发现该漏洞，但一直将其作为秘密内部使用，而不是尽快报告给软件供应商。编号为 CVE-2021-3064 的高危漏洞（威胁评分 9.8/10）影响 PAN-OS 8.1.17 之前的版本，已有超过一年历史，但 Randori 根据 Shodan 搜索发现有大约 1 万台联网的企业服务器运行存在漏洞的版本。为何不尽早报告漏洞？Randori 声称该漏洞作为红队的工具用于对客户的网络进行安全测试，表示 0day 漏洞对于客户以及整个网络安全世界的成功是必不可少的。

2016 年初，一名美国黑客入侵了世界最大的住宿预订平台 Booking.com，窃取了中东国家的数千酒店预订信息。在两个月的调查之后，IT 专家判断黑客与美国情报机构有紧密联系。Booking.com 并没有就此次事件通知受影响的客户或通知其总部所在地荷兰的数据保护机构。公司高层表示当时的法律不要求他们这么做。公司 IT 专家对公司保持沉默的做法相当不满。根据当时适用的隐私法律，在数据被窃取之后企业需要通知受影响客户，这可能会对他们的个人生活产生不利影响。荷兰 Leiden 大学的法学教授 Gerrit-Jan Zwenne 认为，美国间谍窃取的信息可能会被用于将某些人加入到禁飞名单，禁止进入特定国家，或者对他们进行窃听。

1,000 多名 Android 手机用户感染了一种新发现的恶意软件，它会悄悄实时录音录像、下载文件并执行其他监视活动。研究人员共发现了 23 个悄悄安装该间谍软件的应用，安全公司 Zimperium 的研究人员将间谍软件称为 PhoneSpy。它提供了一系列完整的功能，除了窃听和盗取文件之外，还包括传输 GPS 位置数据、修改 Wi-Fi 连接以及执行叠加攻击（overlay attacks）以获取 Facebook、Instagram、Google和 Kakao Talk 应用的密码。Zimperium 研究人员 Aazim Yaswant 在官方博客上写道：“这些恶意的 Android 应用被设计为在后台静默运行，不间断地监视受害者而不引起任何怀疑。我们相信 PhoneSpy 的幕后黑手收集了大量受害者的个人和公司信息，包括私人通信和照片。”

本月初，剑桥大学的研究人员披露了在源代码中隐藏人眼看不见的漏洞的攻击方法 Trojan-Source，攻击利用的是 Unicode 中的双向机制。现在，安全研究人员披露了在 JavaScript 中发动类似攻击的方法。在 JavaScript 中创造看不见的后门首先需要寻找能被 JS 解释为标识符/变量的不可见的 Unicode 字符，然后寻找使用不可见字符不被注意到的方法。这种方法无法通过语法高亮检测出来。攻击需要 IDE/文本编辑器能正确渲染不可见的字符。Notepad++ 和 VS Code 都能正确渲染。

研究人员公开了蓝牙设备漏洞 BrakTooth 的利用代码。BrakTooth 影响数以十亿计设备使用的 1400 多种芯片组的商业蓝牙栈，包括依赖 Bluetooth Classic (BT)通信的智能手机、PC、物联网设备和工业设备。漏洞利用的 PoC 代码发布在 GitHub 上。美国 CISA（网络安全和基础设施安全局）督促制造商、供应商和开发商给蓝牙设备部署补丁或采用缓解漏洞利用的方法。

全球警方联合打击了史上最赚钱的网络犯罪团伙之一。 罗马尼亚警方、美国司法部和欧洲刑警组织周一宣布对 REvil 团伙采取联合行动。突袭同时在线上和线下展开，在罗马尼亚逮捕了两名涉嫌黑客，其中一人来自乌克兰。REvil 被指对全球企业发动了多次大规模黑客攻击。

美国还宣布，通过名为 claw back 的黑客行动，成功从该团伙手中夺回了超过 600 万美元的加密货币。过去三年，REvil——aka GandCrab 或 Sodinikobi——一直在攻击世界各地的企业和机构。欧洲刑警组织专门设立了名为“GoldDust”的行动对付该组织。自 2 月以来，这项行动已使该黑客团伙的 7 名成员在罗马尼亚、乌克兰、韩国和科威特落网。官方表示，11 月 4 日逮捕的两名罗马尼亚人感染了 5,000 名受害者，并从中赚取了 50 万欧元的赎金。REvil 的一名领导成员前不久宣布来自当局的压力迫使他们停止运营。

股票交易应用 Robinhood 称有黑客对其客服发动了社会工程攻击，获得了部分客户支持系统的访问权，窃取了 500 多万客户的电邮地址、200 万客户的全名，以及大约 310 名客户比较详细的个人信息如姓名、出生日期和邮编，此外还有 10 名用户的账号细节泄露。黑客之后还尝试进行勒索。Robinhood 表示此次攻击已被控制，它正在通知受影响客户，表现相信社会安全号码、银行账户号码或借记卡号码没有泄露，客户也没有因此遭受财务损失。

路透社报道，周日早晨一架载有炸药的无人机袭击了伊拉克总理 Mustafa al-Kadhimi 在巴格达的住所。伊拉克军方称这是一起未遂的暗杀，表示 Kadhimi 没有受伤。”安全消息人士称，袭击造成几名 Kadhimi 的贴身保安人员受伤，此前伊拉克首都因上个月的大选结果引发的抗议演变成了暴力事件。得到伊朗支持的武装民兵领导了对 10 月投票结果的抗议和投诉，他们在选举中失去了大部分议会权力。没有任何团体立即声称对 Kadhimi 在巴格达设有防御工事的“绿区”的住所的袭击负责，“绿区”是政府大楼和外国使馆所在地。

GitLab 的自托管服务器漏洞被利用发动 DDoS 攻击，攻击流量一度超过 1 Tbps。Google 安全工程师发现了这次 DDoS 攻击，攻击者利用了编号为  CVE-2021-22205 的漏洞去控制服务器，GitLab 已在今年 4 月将其修复，但不是所有自托管服务器打上了补丁。漏洞位于 ExifTool 库内，该软件库被用于移除上传到 Web 服务器中的图像元数据。GitLab 在社区版 GitLab Community Edition (CE) 和企业版 Enterprise Edition (EE)中使用了 ExifTool。有大约 6 万 GitLab 自托管服务器联网，其中一半也就是大约 3 万没有打补丁。利用漏洞的 POC 在今年 6 月公布，而攻击也是始于 6 月。

美国商务部工业安全局将四家公司列入出口控制的实体名单：以色列公司 NSO Group 和 Candiru，俄罗斯公司 Positive Technologies 和新加坡公司 Computer Security Initiative Consultancy PTE. LTD.。NSO Group 和 Candiru 被列入实体名单都是因为向政府出售间谍软件，而相关政府利用间谍软件攻击官员、记者和活动人士，间谍软件还被用于跨境镇压。

HardenedVault 写道 "DSA 型签名算法（包括 ECDSA）的原始实现中需要一个和私钥属于同种数学对象（GF(p) 的元素，p 为素数）的随机数，该随机数必须同时满足以下三个性质：1）随机性：无法仅通过被签名数据（以下称“载荷”）和生成的签名推算出来。2）机密性：不可泄露到签名过程之外。3）唯一性：该随机数对不同的载荷必须不同。否则，攻击者将有可能通过载荷与签名推算出私钥。如果该随机数来自一个有缺陷的随机数发生器，则随机性和唯一性会变得难以保证——攻击者可能通过收集足够多的载荷——签名对找到随机数发生器的规律，进而推算出私钥，虽然行业用户认为这是“可忍受”的缺陷直到LadderLeak漏洞的公开披露彻底让真相浮出水面，在最坏的情况下，攻击者只需要付出30万美金就可以破解P-224的密钥。由于开源的安全ECDSA实现进展并不顺利，Vault Labs给出了测试缺陷的方法和临时安全解决方案： 确保所有你使用的证书是>= P-256或者RSA（有其他风险需要考量）以及安全人员不要漏掉对没有接入互联网的服务的审计。"

巴基斯坦国家银行（NBP）遭遇了一次破坏性的网络攻击。事件发生在周五到周六之间的晚上，影响了银行的后台系统，用于连接分行的服务器，控制 ATM 网络的后台基础设施，以及银行的移动应用。知情人士称，虽然攻击导致部分系统瘫痪，但据信没有发生金钱方面的损失。NBP 在一份声明中表示在攻击发生之后它立即采取措施隔离受影响系统。到周一一千多家分行正常营业为客户提供服务，ATM 机器已完全恢复。这一消息促使部分受到惊吓的客户周一早晨冲到 ATM 机器前取款。知情人士表示不是勒索软件攻击而是一次有企图的破坏性网络攻击。恶意程序设计破坏计算机的引导系统。

剑桥大学的研究人员发表论文，介绍了在源代码中隐藏人眼看不见的漏洞的攻击方法。POC 攻击代码已发布在 GitHub 上。这种被称为 Trojan-Source 的攻击方法利用的是字符编码标准 Unicode 中的微妙之处，利用方向覆盖、同形异义等创造出对编译器和人类代码审查员视觉上存在差异的源代码，人眼看不出漏洞，但对编译器来说逻辑编码顺序和显示的顺序是不同的。这种攻击方法对 C、C++、C#、JavaScript、Java、Rust、Go 和 Python 都有效，研究人员已经将漏洞报告给了相关项目。

Hive 勒索软件新变种能加密 Linux 和 FreeBSD 系统，但新变种还在开发之中，功能缺乏。安全公司 ESET 的研究人员发现，Hive 的 Linux 变种存在严重 bug，恶意程序在执行时加密会完全失败。Linux 变种只支持一个命令行参数，而它的 Windows 版本支持 5 个执行选项，包括杀死进程，略过磁盘清理，绕过不感兴趣的文件等。Linux 变种如果不是以 root 权限执行的话会无法激活加密。Hive 勒索软件组织是从今年 6 月开始活跃，是众多开始将 Linux 服务器作为攻击目标的勒索软件组织之一。

据伊朗国家电视台报道，一场针对伊朗电子卡支付系统的网络攻击，扰乱了伊朗全国各地的燃油销售，迫使全国各地的司机在加油站排起长队。“发生的袭击……被视为一场大范围破坏，具有网络攻击的特征。”网络空间最高委员会秘书 Abolhassan Firoozabadi 周二晚间对国家电视台表示。Firoozabadi 表示攻击针对的是加油站的网络管理系统，与燃料的分配和生产无关，可能是某个国家发动的。伊朗没有给出涉嫌发动攻击的国家身份，也没有任何组织宣布对此次攻击负责。有大约 4000 个加油站受到攻击影响，大约 1700 个加油站在数小时内恢复运营。

安全公司 Bitdefender 的研究人员发现，一种流量重定向 Rootkit 恶意程序以某种方式通过了驱动程序认证程序， 获得了微软签发的数字签名证书。有效的证书让 Rootkit 能绕过操作系统的限制。窃取企业的数字证书在网络犯罪领域并不罕见，但直接从微软获取合法证书则令人困惑。安全研究人员猜测可能是犯罪分子尝试着递交驱动进行验证，然后不知为何通过了审核获得了证书。名为 FiveSys 的 rootkit 被认为主要通过捆绑破解软件传播，它会安装一个定制 root 证书将流量重定向通过一个代理服务器，它主要被用于攻击网游玩家，旨在窃取登陆凭证和劫持游戏内购买。网络游戏内的虚拟物品交易会涉及到大量资金。

据现任和前任美国官员透露，在夏天的一次勒索软件攻击中，数百家企业和机构的计算机被锁定。尽管 FBI 已秘密获得了能帮助解锁这些计算机的密钥，他们还是拖延了近三周，没有及时伸出援手。

密钥是通过访问发动袭击的俄罗斯犯罪团伙的服务器获得的。立即使用密钥能帮助受害者——包括学校和医院——避免分析师估计的大约数百万美元的恢复成本。但是在其他机构的同意下，FBI 没有这样做，部分原因是它计划开展一项行动打击这个被称为 REvil 的黑客组织，它不想打草惊蛇。而政府评估认为危害并不像最初担心的那么严重。

现任和前任官员表示，计划中的打击并未发生，因为美国政府还未出手，REvil 平台就在 7 月中旬下线，黑客在 FBI 有机会执行其计划之前就消失了……FBI 最终在 7 月 21 日同软件被感染勒索软件的 IT 公司 Kaseya 分享了该密钥——在攻击发生 19 天之后。Kaseya 要求新西兰安全公司 Emsisoft 创建一个新的解密工具，并在第二天公布了该工具。但对于部分受害者已为时过晚……

FBI 局长 Christopher A. Wray 上周二在国会作证时表示，延误的部分原因是因为与盟友及其他机构的合作。他表示：“我们是作为一个整体做出决定的，而不是单方面做出决定。”他还指出他必须限制自己的言论，因为调查还在进行之中……他还表示“测试和验证”解密密钥导致了延迟。他在参议院国土安全委员会听证会上表示，“开发一种可供受害者使用的工具需要很多工程工作。”

然而，Emsisoft 能迅速采取行动。Emsisoft 首席技术官 Fabian Wosar 表示，他们从 FBI 提供给 Kaseya 的内容中提取出密钥，创建了新的解密程序并对其进行了测试，这一切只花了 10 分钟。因为该公司熟悉 REvil 的勒索软件。Wosar 表示：“如果我们需要从头开始的话，大概需要花四个小时。”

报道沙特新闻并撰写了一本有关沙特王储 Mohammed bin Salman 书籍的《纽约时报》记者 Ben Hubbard 被以色列公司 NSO Group 的间谍软件 Pegasus 入侵。加拿大多伦多大学公民实验室周日披露，Hubbard 在 2018 年 6 月到 2021 年 6 月之间多次成为间谍软件的攻击目标，2020 年 7 月到 2021 年 6 月他的手机感染了 Pegasus，公民实验室对哪位 NSO Group 客户发动攻击没有下定论，但认为同一攻击者还在 2021 年入侵了另一名沙特活动人士的手机。Hubbard 的手机号码在 2019 年出现在 Pegasus 项目清单上。

电邮服务 Fastmail、Runbox 和 Poste 正遭到大规模 DDoS 攻击，攻击者要求支付比特币以停止攻击。Runbox 称，攻击流量超过了 50 Gbps，间歇性的屏蔽了客户对其服务的访问。向勒索者支付金钱并不能保证未来不会发生类似的攻击，只能让此类攻击变得更具有吸引力，增加未来发动 DDoS 攻击得可能性。相同得勒索者还攻击了 Fastmail 和 Poste。

俄罗斯勒索软件组织 REvil 本周再次下线，该组织运营者 0_neday 自称服务器遭到入侵。据路透报道，执法机构和情报人员采取行动阻止 REvil 继续伤害其它公司。美国特勤局网络犯罪调查顾问、VMWare 网络安全战略负责人 Tom Kellermann 称，FBI、特勤局以及其它志同道合的国家合作对勒索软件组织发动了破坏性行动，而 REvil 是主要目标。REvil 在今年 7 月曾下线了数个月，据报道当时美国的执法和情报机构入侵了 REvil 基础设施，至少获得了对部分服务器的访问权。上个月，0_neday 等人重新恢复服务时无意中重启了已被执法机构控制的内部系统。