日本宇宙航空研究开发机构（JAXA）去年至今年遭到多次网络攻击。相关人士称，攻击可能来自中国黑客。JAXA 表示正对此展开调查，被非法访问的网络并不包括涉及火箭、卫星运用、安保的敏感信息。分析称网络攻击可能利用了从外部接入内部网络的 VPN 的薄弱环节入侵。已调查了受害情况，但今年又遭到多次网络攻击。

提供数据存储和分析服务的云计算公司 Snowflake 的逾百客户账号被黑客入侵，其中包括了美国票务巨头 Ticketmaster 和银行 Santander。这次针对 Snowflake 的攻击可能影响了大约 165 个客户账户，目前还不清楚黑客是如何入侵的。一位自称来自名叫 ShinyHunters 的黑客团队成员声称，他们是先通过第三方承包商获得访问权限的，其中一家是 EPAM Systems。黑客利用 EPAM 员工系统找到的数据访问了部分 Snowflake 账户。EPAM 则随后否认它与此次攻击有关联。EPAM 的创始人是白俄罗斯移民，它的 5.5 万名员工中有三分之二来自乌克兰、白俄罗斯和俄罗斯，俄乌战争之后它关闭了俄罗斯业务，并将部分乌克兰员工转移到国外。

安全研究人员 Vsevolod Kokorin aka Slonser 发现了一个漏洞，允许任何人冒充微软的电邮账号，让钓鱼邮件看起来更可信，更可能欺骗被钓鱼的目标。该漏洞尚未修复，一个原因是微软认为漏洞无法复现。研究员上周向微软报告了该漏洞，因为无法重现微软否定了其报告，因此他在社交媒体上公开了该漏洞，但没有提供可帮助其他人利用的技术细节。

自称 Intelbroker 的黑客在地下黑客论坛 Breach Forums 发帖称在本月入侵了 AMD 公司，盗取了大量敏感信息，其中包括 ROM、固件、源代码、属性文件（Property Files）、员工数据库、客户数据库、财务信息、未来 AMD 产品计划和技术规格表。黑客以门罗币（XMR）出售盗取的数据。IntelBroker 此前曾经入侵国欧洲刑警组织、Tech in Asia、Space-Eyes、家得宝、Facebook Marketplace 等知名企业和机构。AMD 发表声明表示正对此展开调查。

互联网上的大量 Microsoft SQL Server 服务器早已达到寿命终点。IT 资产管理平台 Lansweeper 扫描了逾百万 SQL Server 实例，发现其中 19.8% 的版本微软已经终止支持。还有 12% 的实例运行 SQL Server 2014，该版本将于今年 7 月 9 日终止扩展支持，意味着届时停止支持的 SQL Server 版本比例将达到 32%。虽然客户可以选择付费获得 SQL Server 2014 的安全更新三年，但这一发现凸显企业依赖过时软件以及升级到支持版本的难度。

友讯(D-Link)披露了两个漏洞，其中之一是 LAN 端任意文件读取，利用一个未经身份验证的路径遍历漏洞，同网络的攻击者可以读取任意系统文件；其二是同一网络未经身份验证的攻击者通过访问特定 URL 强制设备启用 telnet 服务，利用硬编码凭证登陆。这不是第一次友讯路由器发现硬编码后门。

安全公司 Volexity 发现一种新 Linux 恶意程序 Disgomoji，使用了一种新颖的方法向被感染设备发送指令——它使用 Discord 和 Emoji 作为指令控制平台。该恶意程序被认为与巴基斯坦黑客组织 UTA0137 有关，针对的是印度政府机构使用的 Linux 桌面操作系统 Boss，通过钓鱼邮件引诱印度政府工作人员打开运行。当 Disgomoji 执行时，恶意软件会从计算机中收集系统信息，包括 IP 地址、用户名、主机名、操作系统和当前工作目录，然后发送给攻击者。

美国医疗保健公司 Change Healthcare 今年 2 月遭遇了勒索软件攻击，为解锁被加密的系统该公司支付了 2200 万美元的赎金。此举被认为鼓励了勒索软件黑帮进一步瞄准医疗保健行业。数据显示，医疗保健行业在 4 月份遭遇了 44 次勒索软件攻击，为四年来最高。3 月的攻击次数为 30 次。Change Healthcare 的事故也凸显了医疗保健行业的脆弱性。分析指出，Change Healthcare 的系统缺乏分割，使得攻击容易横向移动。该公司的并购可能在其中起到了一定作用。合并和收购创造了新的网络威胁，因为并购涉及到不同组织的系统、数据和流程的整合，而每个组织都有自己的安全协议和潜在漏洞。

勒索软件攻击者正迅速利用最近公开的 PHP 9.8/10 高危漏洞。编号为 CVE-2024-4577 的漏洞是 6 月 6 日公开的，危险评分 9.8/10，非常容易利用。它源自 PHP 将 Unicode 字符转换为 ASCII 字符的方式存在错误，Windows 内置功能 Best Fit 允许攻击者使用参数注入将用户输入转换为字符，将恶意命令传递给主 PHP 应用。CVE-2024-4577 只影响运行在 CGI 模式的 PHP，但如果 php.exe 和 php-cgi.exe 等可执行文件位于 Web 服务器可访问目录，该漏洞仍然能利用。安全公司 Censys 报告，对互联网的扫描显示有 1,000 台服务器感染了名为 TellYouThePass 的勒索软件，这些服务器主要位于中国，其文件显示为 .locked 扩展名，表明它们已被勒索软件加密，勒索者要求支付大约 6,500 美元的赎金。

曾就职于微软云安全团队的安全专家 Andrew Harris 声称，公司无视了他反复警告的安全漏洞，将商业利益置于客户安全之上。他报告的安全漏洞在 SolarWinds 攻击中被俄罗斯黑客利用，入侵了美国多个机构。而微软则坚称它优先考虑客户的安全。Andrew Harris 是在 2016 年报告了漏洞，漏洞存在于名为 Active Directory Federation Services 的微软产品中，黑客可利用该漏洞绕过安全防御访问敏感云数据。他被告知修复该漏洞会危及数十亿美元的政府合同和公司的竞争优势。

荷兰政府官员称中国黑客感染了逾 2 万台 Fortinet VPN 设备。黑客利用的漏洞被称为 CVE-2022-42475，是一个堆缓冲溢出漏洞，允许远程执行恶意代码，危险等级 9.8/10。Fortinet 于 2022 年 11 月 28 日修复了该漏洞，但直到 12 月 12 日该漏洞被活跃利用时才予以披露，2023 年 1 月 11 日 Fortinet 警告该漏洞正被利用感染政府以及相关组织。荷兰政府是在今年 2 月称中国黑客利用该漏洞在国防部的 Fortigate 设备上安装了被称为 CoatHanger 的后门，后门在重启或固件更新之后仍然能留在设备上。本周一荷兰官员称中国黑客利用该漏洞感染了逾 2 万台 Fortinet VPN 设备，其中包括数十个西方政府机构、国际组织和国防工业公司。对漏洞的利用早在 Fortinet 披露漏洞前两个月就开始了，期间有 1.4 万设备被感染。

勒索软件黑帮过去几年采取了日益暴力的策略。Google 旗下安全子公司 Mandiant 最近的一份报告显示，2023 年受害者向勒索软件黑帮支付了逾 10 亿美元，而这还只是我们所知的支付金额。安全专家称，勒索软件黑帮采取了日益严酷的恐吓策略。Emsisoft 的分析师 Brett Callow 称，勒索软件黑帮开始直接用电话恐吓和电子邮件威胁受害者。举例来说，Fred Hutchinson 癌症中心在 2023 年遭到勒索软件攻击，癌症患者收到了电子邮件，威胁如果不付钱其个人信息将会泄露。Callow 担心会发生出现在现实世界里的暴力事件，如果公司拒绝支付数百万美元的赎金，公司高管或其家人可能会面临暴力威胁。根据泄露的受害公司和黑帮的谈判记录，黑帮就曾发出口头威胁，称他们知道 CEO 住在什么地方。研究人员估计，2016-2021 年间，勒索软件攻击导致 42-67 名医疗患者死亡，原因是医院遭到攻击后延误了治疗。

日本媒体巨头株式会社角川多玩国旗下多个服务因遭网络攻击而下线，至今已持续四天。角川多玩国周日在一份声明中表示它在 6 月 8 日监测到了网络攻击，为保护数据立即关闭了相关服务器。它旗下的视频共享网站 Niconico动画据称在攻击之后服务需要重构，Niconico 是日本第二大视频共享网站。它旗下的电商平台 Ebiten 表示会履行现有订单，但无法发送确认电子邮件。角川多玩国尚未提供攻击的细节。

匿名用户在 4chan 平台上泄露了纽约时报的源代码，源代码大小 270GB，约有 5000 个库，不到 30 个被认为有额外的加密，共 360 万个文件。根据泄露源代码的文件列表，它包含了 IT 文档、基础设施工具和源代码，以及纽约时报收购的热门游戏 Wordle。纽约时报随后证实，源代码是通过泄露的 GitHub 凭证被盗取的，事件发生在 2024 年 1 月，它已经采取了安全措施，没有证据表明其系统受到未经授权访问，源代码泄露也没有影响到公司运营。

安全公司 CrowdStrike 报告，今年早些时候发现的 Linux nftables 漏洞正被活跃利用。该漏洞编号 CVE-2024-1086，是在 2024 年 1 月 31 日披露的，危险评分 7.8/10，属于本地提权漏洞，绝大部分 Linux 发行版已经修复。发现该漏洞的安全研究人员于 3 月 26 日在 GitHub 上公布了 POC，从 4 月中旬开始对该漏洞的利用在加速。利用 POC 需要非特权用户空间功能能访问 nf_tables，而 Debian 和 Ubuntu 等发行版默认启用了访问。

去年一部自称是 Netflix 制作的纪录片在 Telegram 传播。片名叫《Olympics have Fallen》，讲述者的声音与著名演员汤姆克鲁斯极为相似，这部纪录片据称得到了《纽约时报》、《华盛顿邮报》和 BBC 的五星好评。微软安全团队发布报告称，纪录片是俄罗斯团队制作的，利用了汤姆克鲁斯的深度伪造声音，旨在抹黑国际奥委会，阻止人们参加下个月举行的法国巴黎夏季奥运会。俄罗斯组织 Storm-1679 和 Storm-1099 从 2023 年 6 月开始瞄准巴黎奥运会和法国总统马克龙（Emmanuel Macron），其目标主要有两个：损害国际奥委会的声誉，制造奥运会期间可能爆发暴力事件的预期。

​安全研究员 Sam Curry 是美国最大私有宽带公司 ​Cox Communications 的客户。2021 年他发现自己的 Modem 被人入侵了，但完全不知道对方是如何入侵的。他从 Cox 在当地的店里换了一个新的 Modem，但必须交出旧的被感染的 Modem，无法对其展开进一步的调查。2024 年初，他与从事网络安全的朋友度假时讨论了这起安全事件，引起了他们的好奇心，一起展开了进一步的调查。期间他发现了 Modem 的一个身份验证绕过漏洞，允许远程攻击者滥用暴露的后端 API 重置数百万台 Cox Modem 的设置，窃取客户的敏感信息。攻击者可利用 Cox API 访问数百万台 Cox Modem 中的任何一台，覆盖配置设置并执行指令。Sam Curry 于 3 月 3 日报告了漏洞，Cox 在 6 小时内删除了暴露的 API 调用，第二天修补了漏洞。该公司表示没有发现 API 被恶意利用的证据。Curry 仍然不知道他自己的 Modem 是如何被入侵的。

Windows 11 的新 Recall AI 系统将每 5 秒钟截取一个快照，虽然微软声称数据都保存在本地，并且有加密，但这广泛视为是将恶意软件的功能引入到系统中，是巨大的安全和隐私噩梦。为了演示 Recall 如何被滥用，安全研究员 Alex Hagenah 在 GitHub 上发布了一个工具 TotalRecall，能自动提取和显示 Recall 的内容。Hagenah 称，数据库未加密，全部是明文。他认为 Recall AI 是系统内置的 Trojan 2.0。

Maximilian Rivkin aka Microsoft 是真正的 21 世纪毒枭，他精通技术，生意遍及全球，能从世界各地走私毒品。他精通塞尔维亚语、瑞典语、波斯尼亚语、西班牙语、英语和克罗地亚语，是个工作狂，清醒的时候几乎都在发加密消息。他早期使用的加密手机是 Sky，随身携带两部 Sky 手机，还使用过 Sky 竞争对手、瑞典公司 EncroChat 的加密手机。2020 年发生的一起事件让他进入了加密手机行业。2020 年 6 月 13 日午夜，EncroChat 向其客户发送了警告信息，称政府实体控制了其部分基础设施，正对其设备发动攻击。它建议客户立即关闭手机并将其丢弃，它表示无法再保证设备的安全。数周之后，欧洲警方宣布了对 EncroChat 的攻击负责，称其收集到了 1 亿条 EncroChat 加密消息。Microsoft 是使用 EncroChat 手机的 6 万名客户之一，他意识自己的消息可能被警方掌握，同时也发现 EncroChat 的消失创造了一个机会：加密手机领域出现了一个空白。他前往土耳其伊斯坦布尔，访问被称为加密之王的 Hakan Ayik。此人是澳大利亚的头号通缉犯，目前在土耳其负责一家叫 Anøm 的新加密手机供应商的国际扩张，正物色人帮助在欧洲推广 Anøm。Microsoft 与 Ayik 几乎一拍即合，认为 Anøm 有望取代 Sky 成为世界最大的加密手机公司。Microsoft 在欧洲大力推广 Anøm，期间还散播了 Sky 的谣言，称 Sky 的设备容易受到警方攻击，其总部位于加拿大，而加拿大是五眼联盟之一。然而真相是，在 Anøm 公司存在的几乎全部时间里，FBI 一直控制着它，这是 FBI 史上最大的钓鱼行动。

Linux Mint 发行版项目表示，它的软件管理器将默认禁用未经验证的 Flatpak 软件包。软件管理器还会显示警告信息，让用户知道使用未经验证软件包的安全风险。Flatpak 是 Red Hat 主导开发的包格式，类似 Canonical 主导的包格式 Snap，它的 Ubuntu 发行版默认不再支持 Flatpak。Linux Mint 称，如果用户允许未经验证的 Flatpak 软件包，它的软件管理器会将这些软件包清晰标记出来。