友讯(D-Link)披露了两个漏洞，其中之一是 LAN 端任意文件读取，利用一个未经身份验证的路径遍历漏洞，同网络的攻击者可以读取任意系统文件；其二是同一网络未经身份验证的攻击者通过访问特定 URL 强制设备启用 telnet 服务，利用硬编码凭证登陆。这不是第一次友讯路由器发现硬编码后门。

安全公司 Volexity 发现一种新 Linux 恶意程序 Disgomoji，使用了一种新颖的方法向被感染设备发送指令——它使用 Discord 和 Emoji 作为指令控制平台。该恶意程序被认为与巴基斯坦黑客组织 UTA0137 有关，针对的是印度政府机构使用的 Linux 桌面操作系统 Boss，通过钓鱼邮件引诱印度政府工作人员打开运行。当 Disgomoji 执行时，恶意软件会从计算机中收集系统信息，包括 IP 地址、用户名、主机名、操作系统和当前工作目录，然后发送给攻击者。

美国医疗保健公司 Change Healthcare 今年 2 月遭遇了勒索软件攻击，为解锁被加密的系统该公司支付了 2200 万美元的赎金。此举被认为鼓励了勒索软件黑帮进一步瞄准医疗保健行业。数据显示，医疗保健行业在 4 月份遭遇了 44 次勒索软件攻击，为四年来最高。3 月的攻击次数为 30 次。Change Healthcare 的事故也凸显了医疗保健行业的脆弱性。分析指出，Change Healthcare 的系统缺乏分割，使得攻击容易横向移动。该公司的并购可能在其中起到了一定作用。合并和收购创造了新的网络威胁，因为并购涉及到不同组织的系统、数据和流程的整合，而每个组织都有自己的安全协议和潜在漏洞。

勒索软件攻击者正迅速利用最近公开的 PHP 9.8/10 高危漏洞。编号为 CVE-2024-4577 的漏洞是 6 月 6 日公开的，危险评分 9.8/10，非常容易利用。它源自 PHP 将 Unicode 字符转换为 ASCII 字符的方式存在错误，Windows 内置功能 Best Fit 允许攻击者使用参数注入将用户输入转换为字符，将恶意命令传递给主 PHP 应用。CVE-2024-4577 只影响运行在 CGI 模式的 PHP，但如果 php.exe 和 php-cgi.exe 等可执行文件位于 Web 服务器可访问目录，该漏洞仍然能利用。安全公司 Censys 报告，对互联网的扫描显示有 1,000 台服务器感染了名为 TellYouThePass 的勒索软件，这些服务器主要位于中国，其文件显示为 .locked 扩展名，表明它们已被勒索软件加密，勒索者要求支付大约 6,500 美元的赎金。

曾就职于微软云安全团队的安全专家 Andrew Harris 声称，公司无视了他反复警告的安全漏洞，将商业利益置于客户安全之上。他报告的安全漏洞在 SolarWinds 攻击中被俄罗斯黑客利用，入侵了美国多个机构。而微软则坚称它优先考虑客户的安全。Andrew Harris 是在 2016 年报告了漏洞，漏洞存在于名为 Active Directory Federation Services 的微软产品中，黑客可利用该漏洞绕过安全防御访问敏感云数据。他被告知修复该漏洞会危及数十亿美元的政府合同和公司的竞争优势。

荷兰政府官员称中国黑客感染了逾 2 万台 Fortinet VPN 设备。黑客利用的漏洞被称为 CVE-2022-42475，是一个堆缓冲溢出漏洞，允许远程执行恶意代码，危险等级 9.8/10。Fortinet 于 2022 年 11 月 28 日修复了该漏洞，但直到 12 月 12 日该漏洞被活跃利用时才予以披露，2023 年 1 月 11 日 Fortinet 警告该漏洞正被利用感染政府以及相关组织。荷兰政府是在今年 2 月称中国黑客利用该漏洞在国防部的 Fortigate 设备上安装了被称为 CoatHanger 的后门，后门在重启或固件更新之后仍然能留在设备上。本周一荷兰官员称中国黑客利用该漏洞感染了逾 2 万台 Fortinet VPN 设备，其中包括数十个西方政府机构、国际组织和国防工业公司。对漏洞的利用早在 Fortinet 披露漏洞前两个月就开始了，期间有 1.4 万设备被感染。

勒索软件黑帮过去几年采取了日益暴力的策略。Google 旗下安全子公司 Mandiant 最近的一份报告显示，2023 年受害者向勒索软件黑帮支付了逾 10 亿美元，而这还只是我们所知的支付金额。安全专家称，勒索软件黑帮采取了日益严酷的恐吓策略。Emsisoft 的分析师 Brett Callow 称，勒索软件黑帮开始直接用电话恐吓和电子邮件威胁受害者。举例来说，Fred Hutchinson 癌症中心在 2023 年遭到勒索软件攻击，癌症患者收到了电子邮件，威胁如果不付钱其个人信息将会泄露。Callow 担心会发生出现在现实世界里的暴力事件，如果公司拒绝支付数百万美元的赎金，公司高管或其家人可能会面临暴力威胁。根据泄露的受害公司和黑帮的谈判记录，黑帮就曾发出口头威胁，称他们知道 CEO 住在什么地方。研究人员估计，2016-2021 年间，勒索软件攻击导致 42-67 名医疗患者死亡，原因是医院遭到攻击后延误了治疗。

日本媒体巨头株式会社角川多玩国旗下多个服务因遭网络攻击而下线，至今已持续四天。角川多玩国周日在一份声明中表示它在 6 月 8 日监测到了网络攻击，为保护数据立即关闭了相关服务器。它旗下的视频共享网站 Niconico动画据称在攻击之后服务需要重构，Niconico 是日本第二大视频共享网站。它旗下的电商平台 Ebiten 表示会履行现有订单，但无法发送确认电子邮件。角川多玩国尚未提供攻击的细节。

匿名用户在 4chan 平台上泄露了纽约时报的源代码，源代码大小 270GB，约有 5000 个库，不到 30 个被认为有额外的加密，共 360 万个文件。根据泄露源代码的文件列表，它包含了 IT 文档、基础设施工具和源代码，以及纽约时报收购的热门游戏 Wordle。纽约时报随后证实，源代码是通过泄露的 GitHub 凭证被盗取的，事件发生在 2024 年 1 月，它已经采取了安全措施，没有证据表明其系统受到未经授权访问，源代码泄露也没有影响到公司运营。

安全公司 CrowdStrike 报告，今年早些时候发现的 Linux nftables 漏洞正被活跃利用。该漏洞编号 CVE-2024-1086，是在 2024 年 1 月 31 日披露的，危险评分 7.8/10，属于本地提权漏洞，绝大部分 Linux 发行版已经修复。发现该漏洞的安全研究人员于 3 月 26 日在 GitHub 上公布了 POC，从 4 月中旬开始对该漏洞的利用在加速。利用 POC 需要非特权用户空间功能能访问 nf_tables，而 Debian 和 Ubuntu 等发行版默认启用了访问。

去年一部自称是 Netflix 制作的纪录片在 Telegram 传播。片名叫《Olympics have Fallen》，讲述者的声音与著名演员汤姆克鲁斯极为相似，这部纪录片据称得到了《纽约时报》、《华盛顿邮报》和 BBC 的五星好评。微软安全团队发布报告称，纪录片是俄罗斯团队制作的，利用了汤姆克鲁斯的深度伪造声音，旨在抹黑国际奥委会，阻止人们参加下个月举行的法国巴黎夏季奥运会。俄罗斯组织 Storm-1679 和 Storm-1099 从 2023 年 6 月开始瞄准巴黎奥运会和法国总统马克龙（Emmanuel Macron），其目标主要有两个：损害国际奥委会的声誉，制造奥运会期间可能爆发暴力事件的预期。

​安全研究员 Sam Curry 是美国最大私有宽带公司 ​Cox Communications 的客户。2021 年他发现自己的 Modem 被人入侵了，但完全不知道对方是如何入侵的。他从 Cox 在当地的店里换了一个新的 Modem，但必须交出旧的被感染的 Modem，无法对其展开进一步的调查。2024 年初，他与从事网络安全的朋友度假时讨论了这起安全事件，引起了他们的好奇心，一起展开了进一步的调查。期间他发现了 Modem 的一个身份验证绕过漏洞，允许远程攻击者滥用暴露的后端 API 重置数百万台 Cox Modem 的设置，窃取客户的敏感信息。攻击者可利用 Cox API 访问数百万台 Cox Modem 中的任何一台，覆盖配置设置并执行指令。Sam Curry 于 3 月 3 日报告了漏洞，Cox 在 6 小时内删除了暴露的 API 调用，第二天修补了漏洞。该公司表示没有发现 API 被恶意利用的证据。Curry 仍然不知道他自己的 Modem 是如何被入侵的。

Windows 11 的新 Recall AI 系统将每 5 秒钟截取一个快照，虽然微软声称数据都保存在本地，并且有加密，但这广泛视为是将恶意软件的功能引入到系统中，是巨大的安全和隐私噩梦。为了演示 Recall 如何被滥用，安全研究员 Alex Hagenah 在 GitHub 上发布了一个工具 TotalRecall，能自动提取和显示 Recall 的内容。Hagenah 称，数据库未加密，全部是明文。他认为 Recall AI 是系统内置的 Trojan 2.0。

Maximilian Rivkin aka Microsoft 是真正的 21 世纪毒枭，他精通技术，生意遍及全球，能从世界各地走私毒品。他精通塞尔维亚语、瑞典语、波斯尼亚语、西班牙语、英语和克罗地亚语，是个工作狂，清醒的时候几乎都在发加密消息。他早期使用的加密手机是 Sky，随身携带两部 Sky 手机，还使用过 Sky 竞争对手、瑞典公司 EncroChat 的加密手机。2020 年发生的一起事件让他进入了加密手机行业。2020 年 6 月 13 日午夜，EncroChat 向其客户发送了警告信息，称政府实体控制了其部分基础设施，正对其设备发动攻击。它建议客户立即关闭手机并将其丢弃，它表示无法再保证设备的安全。数周之后，欧洲警方宣布了对 EncroChat 的攻击负责，称其收集到了 1 亿条 EncroChat 加密消息。Microsoft 是使用 EncroChat 手机的 6 万名客户之一，他意识自己的消息可能被警方掌握，同时也发现 EncroChat 的消失创造了一个机会：加密手机领域出现了一个空白。他前往土耳其伊斯坦布尔，访问被称为加密之王的 Hakan Ayik。此人是澳大利亚的头号通缉犯，目前在土耳其负责一家叫 Anøm 的新加密手机供应商的国际扩张，正物色人帮助在欧洲推广 Anøm。Microsoft 与 Ayik 几乎一拍即合，认为 Anøm 有望取代 Sky 成为世界最大的加密手机公司。Microsoft 在欧洲大力推广 Anøm，期间还散播了 Sky 的谣言，称 Sky 的设备容易受到警方攻击，其总部位于加拿大，而加拿大是五眼联盟之一。然而真相是，在 Anøm 公司存在的几乎全部时间里，FBI 一直控制着它，这是 FBI 史上最大的钓鱼行动。

Linux Mint 发行版项目表示，它的软件管理器将默认禁用未经验证的 Flatpak 软件包。软件管理器还会显示警告信息，让用户知道使用未经验证软件包的安全风险。Flatpak 是 Red Hat 主导开发的包格式，类似 Canonical 主导的包格式 Snap，它的 Ubuntu 发行版默认不再支持 Flatpak。Linux Mint 称，如果用户允许未经验证的 Flatpak 软件包，它的软件管理器会将这些软件包清晰标记出来。

微软上个月宣布的新 AI 功能 Copilot Recall 引发了广泛争议，以至于很多人表示认真考虑迁移到 Linux——虽然未必所有人会真的付诸实施。Copilot Recall 被视为将是隐私和安全的噩梦，微软官方博客在解释其功能也承认，它不会有选择性的收集信息，它会将用户的密码等敏感信息都记录下来。微软声称 Recall 的快照是在本地储存和处理，使用了加密，但如果有人掌握了用户的电脑开机密码，那么 Recall 的快照无疑会是巨大的信息宝藏，相比没有 Recall 的电脑它泄露的信息将会多得多。安全研究员 Kevin Beaumont 表示，黑客不需要物理访问机器也能通过其它方法窃取到 Recall 的快照。用户删除的敏感信息也会留在 Recall 的快照里。WhatsApp、Signal 之类端对端加密消息应用的阅后即焚功能对于 Recall 而言就是笑话。

Hugging Face 官方博客披露黑客窃取了其 Spaces 平台的身份验证令牌。Spaces 是社区用户创建和递交 AI 应用的库，允许其他用户演示这些 AI 应用。Hugging Face 表示已撤销泄露的身份验证令牌，并发送邮件通知受影响的用户。它建议所有 Spaces 用户刷新其令牌，切换到细粒度访问令牌，该令牌允许更严格控​​制谁有权访问其 AI 模型。Hugging Face 表示正与外部专家合作调查此次入侵事件，正将这起事件报告给执法和数据保护机构。

Live Nation 证实其票务子公司 Ticketmaster 用户数据被盗。Live Nation 称它于 5 月 20 日在其子公司第三方云数据库环境中探测到了未经授权的活动，5 月 27 日犯罪分子在暗网出售 Ticketmaster 用户数据。它已经将此事报告给了执法部门，正配合执法部门的调查。此前自称 Shiny Hunters 的人在黑客论坛上以 50 万美元的价格出售 Ticketmaster 数据，声称包含了逾 5.6 亿 Ticketmaster 用户数据。被盗数据多达 1.3TB，包含 Ticketmaster 用户的完整信息，其中包括姓名、家庭和电邮地址以及电话号码，以及门票销售等信息。

去年 10 月 25 日，美国 ISP Windstream 的宽带用户报告他们的路由器变砖，重启或重置等操作都没有任何反应。在确定路由器无法使用之后，Windstream 向客户寄去了新路由器。安全公司 Lumen Technologies 的安全团队 Black Lotus Labs 将这起事件命名为 Pumpkin Eclipse。安全研究人员称，恶意程序在 10 月 25 日起的 72 小时内破坏了至少 60 万台路由器。攻击者使用了名叫 Chalubo 的商用恶意程序，该恶意程序的一项功能允许在被感染设备上执行自定义 Lua 脚本。研究人员认为恶意程序下载和运行了代码永久覆写了路由器的固件。研究人员表示，他们不排除攻击者有国家背景，但目前尚无证据。由于需要替换的设备多达 60 万台，攻击规模堪称史无前例。这起事件另一个独特之处是只针对单个 ISP 或自治系统。

引发广泛关注的 XZ 后门事件两个月之后，项目维护者 Lasse Collin 释出了新版本 XZ 5.6.2，移除了 v5.6 和 v5.6.1 中的后门代码 CVE-2024-3094。他同时宣布了一位支持维护者 Sam James。对 XZ 后门事件的调查仍然在进行之中。XZ 5.6.2 还修复了一系列 bug，包括修复了用最新 NVIDIA HPC SDK 构建的问题，移除 GNU Indirect Function(IFUNC)支持，XZ 后门代码使用了 IFUNC 支持，但移除主要是因为性能优势太小但复杂性大幅增加。