多伦多大学公民实验室和微软发表研究报告，披露了以色列间谍软件公司 QuaDream 利用零点击漏洞入侵 iPhone。该公司使用 Reign 的名字销售间谍软件，类似另一家以色列间谍软件公司 NSO Group 的 Pegasus，QuaDream 也利用了零点击漏洞。研究人员发现攻击者利用零点击漏洞在 iOS 14.4 和 14.4.2 等版本上部署了 QuaDream 的间谍软件。该漏洞被称为 ENDOFDAYS，通过向受害者发送看不见的 iCloud 日历邀请利用。QuaDream 的政府客户包括新加坡、沙特、墨西哥和加纳，研究人员的扫描在保加利亚、捷克、匈牙利、加纳、以色列、墨西哥、罗马尼亚、新加坡、阿联酋和乌兹别克斯坦发现了 QuaDream 的系统。受害者包括记者、政治反对派人士和一名 NGO 工作人员。

在一个勒索软件黑帮声称盗窃到源代码之后，微星承认遭到网络攻击数据被盗，但该公司没有提供更多细节。微星在一份声明中呼吁用户不要从第三方网站下载它的固件/BIOS 更新，只从它的官方网站下载。这一声明显示微星担心黑客会传播恶意版本的固件。此前自称 Money Message 的新勒索软件组织声称从微星窃取到了源代码，其中包括 BIOS 框架。Money Message 要求微星支付 400 万美元赎金，否则将会在下周泄露窃取的数据。

数据存储巨头西部数据证实它在 3 月 26 日遭到入侵，黑客从其系统中盗取了数据。西部数据没有披露更多细节，但根据它发表的声明此次攻击可能与勒索软件有关。西部数据表示它正采取措施确保业务正常运营，恢复受影响的基础设施和服务，正与安全公司合作展开调查，并通报了执法部门。西数 NAS 服务 My Cloud 的用户则报告他们无法访问云端的媒体库。

VoIP 软件服务商 3CX 遭朝鲜黑客组织 Lazarus Group 入侵，黑客通过恶意版本 3CX 应用对其客户发动了供应链攻击。安全公司卡巴斯基报告，部分使用 3CX 的加密货币公司被精准植入了后门 Gopuram。Gopuram 是一种模块化的后门，可用于操作 Windows 注册表和服务，执行文件时间戳信息修改以逃避检测，注入恶意负荷到已运行进程，使用开源的 Kernel Driver Utility 加载未签名 Windows 驱动等等。卡巴斯基称，攻击者在不到 10 台被感染的机器上植入了 Gopuram，他们观察到攻击者对加密货币公司有着特殊的兴趣。

VoiP 软件提供商 3CX 遭遇了一次供应链攻击，该公司 CEO Nick Galea 称收到警告之后他的团队测试了产品，没发现问题，认为是一次误报。几天后又检查了一下，结果相同。他表示公司并没有无视警告。直到安全公司 Crowdstrike 提供了完整细节之后 3CX 才认识到这次入侵的规模。他表示响应供应链攻击是非常困难的。3CX 的日活用户高达 1200 万，包括知名公司如奔驰、麦当劳、宝马、假日酒店、NHS、美国运通、可口可乐和法国航空。对于这次供应链攻击，3CX 免费延长了客户三个月服务。

黑客正在利用一个广泛使用的 WordPress 插件的高危漏洞。Elementor Pro 是 WordPress 页面生成器插件，允许用户在不需要了解代码的情况下构建一个专业级的网站，它的安装量高达 1100 万。NinTechNet 研究员 Jerome Bruandet 在 2023 年 3 月 18 日发现了该漏洞，他在上周公开了漏洞细节。当该插件与电子商务生成器 WooCommerce 一起安装时，网站成员或电商客户可以利用该漏洞改变网站设置，甚至完全接管网站。漏洞影响 v3.11.6 及之前版本。

朝鲜黑客通过广泛使用的 VoIP 客户端 3CX 对其用户发动了供应链攻击。黑客采用的方法目前还不清楚，但他们设法传播了含有恶意功能的 3CX Windows 和 macOS 客户端，使用了官方的有效密钥进行签名，还通过了苹果的安全检查。受影响的版本包括：Windows 下有 18.12.407 和 18.12.416；macOS 下有 18.11.1213、18.12.402、18.12.407 和 18.12.416。任何使用 3CX 的企业或组织都应该立即检查其网络寻找是否有入侵迹象。3CX 有逾 60 万客户，其中包括美国运通、奔驰和普华永道等知名公司。黑客的入侵准备活动至少是从 2022 年 2 月就开始了，当时他们注册了一系列相关域名。本周安全软件开始检测到来自 3CX 客户端的恶意活动，这次供应链攻击才曝光。对恶意版本的分析显示，它包含了干净版本的 3CX 应用，通过 DLL Sideloading 的方法加入恶意功能。

Twitter 上周披露它的部分源代码被人在今年初上传到 GitHub。上周五 Twitter 向北加州地区法院递交申请，要求法庭签发传票强迫 GitHub 披露源代码上传者 FreeSpeechEnthusiast 的身份。本周二法庭书记员签署了传票，GitHub 需要在 4 月 3 日前提供上传者所有的身份信息，包括 FreeSpeechEnthusiast 相关的姓名、地址、电话号码、电邮地址、社媒档案数据和 IP 地址。GitHub 还被要求提供 FreeSpeechEnthusiast 所上传代码仓库中发布、上传、下载或修改数据的用户的相同类型的信息。

Google Threat Analysis Group (TAG) 安全团队多年来一直跟踪间谍软件供应商的活动。它跟踪了逾三十家公司，认为这些间谍软件的开发商推动了黑客工具的扩散，让内部缺乏技术能力的政府能利用先进的黑客工具去监视持不同政见者、记者、人权活动人士和反对党政客。间谍软件供应商组合利用 0day 和 Nday 漏洞去攻击流行平台，它们囤积了已知和未知的漏洞，利用了已知漏洞及其修复补丁推送到终端用户的时间差。Google 安全研究人员根据其活动认为，间谍软件开发商之间在分享漏洞和技术，加速了危险黑客工具的扩散。

俄罗斯安全公司卡巴斯基报告了针对俄罗斯和东欧等俄语用户的木马版 Tor 浏览器，浏览器植入了剪切板恶意程序，设计窃取用户的加密钱包。俄罗斯在 2021 年底屏蔽了 Tor 网站，因此给嵌入了恶意程序的修改版 Tor 浏览器留出了空间。俄罗斯用户占到了 Tor 浏览器全球用户的 15%。 Tor 浏览器被用于访问暗网，也被加密货币用户广泛使用。卡巴斯基表示此类的攻击并不具有新意，但受影响用户仍然很多。

被认为来自南亚的黑客组织 Bitter APT 最近正以中国核能机构为攻击目标。安全公司 Intezer 报告，在最近的行动中，Bitter APT 伪装成吉尔吉斯斯坦驻北京大使馆向中国核能公司和该领域的学者发送钓鱼邮件，邀请他们参加吉尔吉斯斯坦大使馆等主办的一个核能会议。邮件签名者是真实存在的，是吉尔吉斯斯坦外交部的一名官员。但邮件附件是恶意的，会执行一系列行动释放恶意负荷。

俄罗斯在 2022 年逮捕了多名知名的 Telegram 用户，调查显示国有的俄罗斯国家工业和科技集团公司(Rostec)旗下的一家公司开发了名为 "Okhotnik" (Охотник) 的系统，利用了逾 800 个数据点建立关联去匿名化 Telegram 用户的身份。这些数据点来自社交网络、博客、论坛、即时通讯工具、BBS、加密货币区块链、暗网以及政府服务，包括姓名、昵称、电邮地址、网站、域名、加密钱包、加密密钥、电话号码、地理位置信息、IP地址等。Okhotnik 可以找到目标用户过去任何时候犯下的任何错误去实现去匿名化。

根据 FTC 的数据，2022 年美国因恋爱骗局造成的损失高达 13 亿美元。FBI 波特兰办公室的负责人认为，科技让人产生了虚假的信任感。The Verge 的一篇报道讲述了一位 32 岁、曾从事过 SEO 工作的百万富翁的故事。他最近与妻子离异，因此注册了约会应用 Tinder 寻找约会对象。他在上面与一位神秘女子配对，两人开始约会。这位女子发出了一系列令人警惕的信息，询问他如何支付约会费用，他说用信用卡。对方问能不能用现金。他说可以。她还问他驾驶什么型号的汽车。一辆路虎。结果可想而知。他经历了一次持枪抢劫汽车的遭遇。路虎被人抢走了。

最大的源代码托管平台 GitHub 宣布更换其 SSH 密钥。原因是本周早些时候，它发现 GitHub.com 的 RSA SSH 私钥在一个公开的库内短暂暴露。它立即采取了行动并展开了调查。问题并不是任何 GitHub 系统被入侵或客户信息泄露的结果，它认为问题是疏忽大意，认为没有证据表明曝光的密钥遭到了滥用，出于谨慎考虑它更换了密钥。

五名厄瓜多尔记者收到了激活时会爆炸的 U 盘。瓜亚基尔 Ecuavisa 电视台记者 Lenin Artieda 在收到 U 盘后将其插入电脑，这时 U 盘发生了爆炸。记者的手和脸部受到了轻伤，没有其他人受到伤害。U 盘内被认为装有名为环三亚甲基三硝胺（RDX）的高能炸药，该炸药也被美国军方使用，可以单独用也可以与 TNT 等炸药混合。Artieda 插入的 U 盘只有半数炸药激活，因此可能产生的伤害较小。厄瓜多尔非盈利组织 Fundamedios 称另外还有两名瓜亚基尔和两名首都的记者收到了炸弹 U 盘。EXA FM 电台记者 Alvaro Rosero 在 3 月 15 日收到了装有 U 盘的信件，他将其交给了一位制片人，后者使用带适配器的线缆将其连接到电脑上，U 盘没有爆炸，警方认为是适配器没有足够的电量激活炸弹。警方对其它 U 盘实施了“控制性引爆”。目前还不清楚邮寄炸弹 U 盘的动机，厄瓜多尔内政部长 Juana Zapata 表示邮寄者旨在传达让记者闭嘴的信息。政府表示，任何企图恐吓新闻和言论自由的行为都应该收到严厉的司法惩罚。

黑客利用一个 0day 从比特币 ATM 机器上盗走了价值 150 万美元的加密货币。黑客针对的目标是 General Bytes 出售的比特币 ATM（BATM），它允许人们兑换比特币。BATM 连接了一个加密货币应用服务器（CAS）。出于未知的原因，BATM 提供了一个选项允许客户通过主服务器接口从终端向 CAS 上传视频。攻击者利用了这个接口上传和执行一个恶意 Java 应用，从各个热钱包中转走了全部加密货币，总共为 56 BTC，价值约 150 万美元。General Bytes 已经释出了补丁修复了漏洞，但加密货币已经无法找回。

Google 周一将拼多多的多个应用标记为恶意程序，Android 手机使用的安全机制 Google Play Protect 将阻止用户安装拼多多应用，对于已经安装的应用，Google 将建议用户卸载。Google 同时出于安全理由从官方应用商店 Play Store 下架了拼多多应用。在这之前，中国安全研究人员披露拼多多应用包含有恶意功能，能利用漏洞提权阻止卸载并能监视用户。拼多多尚未对此次事件发表评论。

美国 FBI 周三逮捕了一名纽约男子，他被控运营了暗网网络犯罪论坛 BreachForums，该论坛是世界最大的出售被盗数据的网站之一。FBI 于周三下午 4:30 左右逮捕了名叫 Conor Brian Fitzpatrick 的男子，他被认为就是 BreachForums 的管理员 Pompompurin。记录显示，他最后一次访问 BreachForums 是在周三下午 3:53，也就是被捕前不久。BreachForums 托管了近千家企业的被盗数据库。数据库通常包括有个人信息，如姓名、电子邮件和密码。Fitzpatrick 以 30 万美元保释金获释，他将于 3 月 24 日出庭。

Google Project Zero 研究人员在广泛使用的三星 Exynos 调制解调器芯片中发现了 18 个漏洞，其中四个漏洞允许攻击者在只知道受害者电话号码的情况下，在基带水平远程入侵手机，不需要发生任何用户交互。受影响的芯片组包括： Exynos Modem 5123、Exynos Modem 5300、Exynos 980、Exynos 1080 和 Exynos Auto T5123，受影响的产品包括：三星 S22, M33、M13、M12、A71、A53、A33、A21、A13、A12 和 A04 系列，Vivo S16、S15、S6、X70、X60 和 X30 系列，Google Pixel 6、6 Pro、Pixel 6a、Pixel 7 和 7 Pro，任何使用 Exynos W920 芯片组的智能手表，任何使用 Exynos Auto T5123 的汽车，等等。研究人员表示，在补丁释出前，受影响设备可通过在设置里关闭 Wi-Fi 呼叫和 Voice-over-LTE (VoLTE)保护自己。

微软周二释出了三月例行安全更新，修复了 74 个漏洞，其中两个是正被利用的 0day——CVE-2023-23397 的危险得分 9.8/10，是 Microsoft Outlook 中的一个提权漏洞，微软没有公开漏洞细节，但披露它正被俄罗斯黑客用于攻击欧洲的政府、能源和军事部门；CVE-2023-24880 是一个 Windows SmartScreen 绕过漏洞，它的危险得分比较低只有 5.4/10，它正被勒索软件组织利用。