去年安全研究人员披露了一种新型的供应链攻击：依赖混淆。大型企业使用的程序通常会包含非公开的私有依赖包，如果攻击者在软件包仓库中加入同名的公开的依赖包，那么这些程序在构建时很可能会优先使用公开的依赖包，可能导致恶意程序在公司内网执行。本周安全研究人员发现了针对德国公司贝塔斯曼、博世、斯蒂尔和 DB Schenk 的依赖混淆包。但就在研究人员发表报告前夕名叫 Code White 的公司承认是其所为。CEO David Elze 声明他们获得相关企业授权进行合法的渗透测试演练。这是一次假警报，但依赖混淆攻击确实在发生。

美国欧盟周二正式指责俄罗斯需要为今年二月针对卫星网络的攻击负责，这次攻击瘫痪了乌克兰及其邻国的卫星网络，破坏了通信和一个风力发电场。2 月 24 日在俄罗斯攻击乌克兰前一小时，卫星通信公司 Viasat 位于欧洲和乌克兰的数千卫星终端遭到攻击，攻击者利用了 VPN 访问了该公司的 KA-SAT 卫星网络，通过搜索其内网找到了管理和运营的特定网络，同一时间向用户的调制解调器发送破坏指令覆写 Flash 存储器。攻击者使用的恶意程序被命名为 AcidRain，安全研究人员发现它与俄罗斯的 VPNFilter 的一个擦除器模块 dstr 存在 55% 的代码相似度。

Yahoo! JAPAN 是日本最大的媒体公司之一，提供搜索、新闻、电子商务和电子邮件等服务。每个月有超过 5000 万用户登录 Yahoo! JAPAN。多年来发生了很多对用户账户的攻击以及导致账户访问权限丢失的问题。这些问题中大多数都和身份验证使用的密码有关。随着身份验证技术的最新发展，Yahoo! JAPAN 决定从基于密码的方式转向无密码身份验证。自 2015 年以来，Yahoo! JAPAN 一直在致力于无密码登陆计划。这始于 2015 年 5月 获得的 FIDO 服务器认证，之后又引入了 SMS 身份认证、密码停用功能以及对每台设备的 FIDO 支持。如今有3000 万月度活跃用户禁用了密码，使用非密码身份验证方法。Yahoo! JAPAN 对 FIDO 的支持始于 Android 上的 Chrome，现已有超过 1000 万用户设置了 FIDO 身份验证。由于 Yahoo! JAPAN 的这些举措，忘记登录 ID 或密码的查询比例比最高峰时减少了 25%，由于无密码账户数量的增加，未经授权的访问有所减少。

研究人员对黑客正在利用的漏洞的范围和程度感到惊讶，黑客正试图利用它们完全控制运行一些世界上最大、最敏感网络的网络设备。该漏洞的严重等级为 9.8分（满分为 10 分），影响 F5 的 BIG-IP，这是一组应用，作为负载均衡器、防火墙，检查并加密进出网络的数据。线上可发现的设备实例超过 1.6 万个，F5 表示，财富 50 强中有 48 家企业在使用。鉴于 BIG-IP 靠近网络边缘以及它们是作为管理 We b服务器流量的设备，它们所处的位置通常有利于查看受 HTTPS 保护的流量的解密内容。

上周 F5 披露并修补了一个 BIG-IP 漏洞，黑客可利用该漏洞，以 root 权限运行命令。威胁源于 iControl REST 的身份验证实现缺陷，iControl REST 是一组用于配置和管理（PDF）BIG-IP设备的、基于 Web 的编程接口。安全公司 Randori 的研发主管 Aaron Portnoy 在私信中表示：“由于身份验证的实现方式存在缺陷，这个问题基本上使能访问管理界面的攻击者可以伪装成管理员。”“一旦你成了管理员，你就可以与应用提供的所有端点进行交互，包括执行代码。”

过去 24 小时 Twitter 上流传的图片显示黑客如何利用该漏洞访问名为 bash 的 F5 应用程序端点。它的功能是提供一个接口，将用户提供的输入作为具有 root 权限的 bash 命令运行。虽然很多图片显示的是提供一个密码让命令运行，但在不提供密码的情况下，该漏洞也能工作。在其他地方，研究人员分享了漏洞利用代码，报告称看到了一些野蛮做法，攻击者会留下后门 webshell，以保持对被入侵的 BIG-IP 设备的控制——即使在漏洞被修补之后。

美国伊利诺斯州的林肯学院宣布将于本周五 5 月 13 日永久关闭，成为第一所因勒索软件攻击而倒闭的美国高等院校。刊登在学校官网上的告别信称，它经历了两次世界大战、西班牙流感和大萧条，但无法应付新冠疫情和去年 12 月发生的勒索软件攻击。林肯学院以亚伯拉罕林肯总统的名字命名，1865 年动工，至今有 157 年历史，是少数几所以黑人为主体的乡村学院之一。2021 年 12月林肯学院遭到了勒索软件攻击，破坏了招生工作，阻碍了对所有数据的访问，影响到 2022 年秋季招生。幸运的是个人身份信息没有被盗。学校的系统到 2022 年 3 月完全恢复，但此时发现招生缺口巨大。

乌克兰人对一个登记酒类经销信息的门户网站 EGAIS 发动了 DDoS 攻击，导致了网站关闭，影响到了伏特加供应。俄罗斯的法律要求伏特加生产商和经销商需要在 EGAIS 上登记其商品。DDoS 攻击导致了网站在 5 月 2 日和 3 日关闭。俄罗斯政府声称网站运行正常，长时间等待是因为访问量太大。据报道一家公司因未能向 EGAIS 上传发票导致其向连锁店和餐馆的伏特加供应因这一事故而中断。

苹果、Google 和微软正在发起一项“联合行动”，目标是“干掉”密码。主流操作系统供应商希望扩大对 FIDO 联盟和万维网联盟创建的通用无密码登录标准的支持。该标准被称为“多设备 FIDO 凭证”或简单称为“Passkey”。新方案并没有采用一长串字符，而是让你正在登录的应用或网站向你的手机推送请求进行身份验证。你需要解锁手机，通过某种密码或者生物特征进行身份验证，然后开始使用。对任何一个已在使用手机双因素身份认证功能的人来说，这个系统听起来有些熟悉，但它是密码的替代品，而不是增加了一个因素。一些推送双因素身份认证系统通过互联网工作，但是这种新的 FIDO 方案使用的是蓝牙。正如白皮书所解释的那样，“蓝牙需要物理接近，这意味着现在我们在身份验证期间，可以用一种能防范网络钓鱼的方式使用用户的手机。”蓝牙在兼容性方面的口碑很糟糕，我不确定“安全性”是否一直是一个真正的问题，但是FIDO联盟说的是蓝牙只能“在物理接近的情况下验证”，而实际登录过程“并不依靠蓝牙的安全属性”。当然这意味着两台设备都需要有蓝牙功能，大多数智能手机和笔记本电脑都具备这一功能，但是对于比较老的台式电脑来说可能是一个难题。

Salesforce 旗下的 PaaS 服务 Heroku 披露了上个月遭到黑客入侵的细节。入侵发生在 4 月 7 日，攻击者访问了 Heroku 的一个数据库，下载了储存的客户 GitHub 集成 OAuth 令牌。4 月 8 日攻击者开始利用下载的 OAuth 令牌枚举客户软件库相关的元数据。4 月 9 日攻击者下载了 Heroku 的私有库子集，其中含有部分 Heroku 源代码。GitHub 在 4 月 12 日发现了攻击者的活动，次日通知了 Salesforce。4 月 16 日，Heroku 撤销了所有 GitHub 集成 OAuth 令牌。之后的调查还发现相同的令牌被用于窃取客户账号的哈希和加盐密码。Heroku 所有客户的密码随后被重置，并轮换了内部凭证。

Onyx 勒索软件最近“崭露头角”，攻击者采用其他勒索软件组织常用的方法：先窃取数据再加密，窃取的数据被用于二次勒索。安全研究员 MalwareHunterTeam 对获得的加密程序样本进行分析，发现勒索软件会用随机数据覆写容量大于 200MB 的文件，加密容量小于 200MB 的文件。这意味着受害者支付赎金之后容量大于 200MB 的文件仍然会无法恢复，因此不建议受害者支付赎金。

今天训练机器学习模型使用的计算资源庞大无比，越来越多的地方将模型训练和开发外包给 Amazon Sagemaker 和 Microsoft Azure 等机器学习即服务（MLaaS）平台。按照 Ken Thompson 在 40 年前演讲的说法，你可以通过投放数据测试新模型是否按照你的预期工作，但怎么知道你可以信任它，知道它不会使用内置的后门作恶？研究人员证明，将无法检测出的后门植入机器学习模型是可能的。根据发表在预印本平台 arXiv 上的论文： 从表面上看，带有后门的分类器行为正常，但实际上该学习器保留了一套可以改变任何输入分类的机制，只要轻微的扰动。重要的是，没有正确的“后门密钥”，该机制就是隐藏的，任何计算受限的观察者都无法检测到它。研究人员展示了多种方法可以植入无法检测的后门，因此如果你拿到的是原始版本且有后门的黑盒的访问权限，那么在计算上甚至找不到他们对哪个输入动了手脚。

安全公司 Mandiant 分析了 2021 年 0day 漏洞利用。0day 漏洞是指在发现时未修复或此前未知，因此在修复补丁释出前会有一个时间空挡，黑客可乘着空挡利用漏洞发动攻击。2021 年共发生了 80 起 0day 漏洞利用案例，比 2020 年和 2019 年之和还要多 18 起，其中中国黑客利用了 8 个，俄罗斯用了 2 个，朝鲜用了 1 个。最著名的案例是黑客组织 Hafnium 使用了微软 Microsoft Exchange 服务器的 4 个 0day 访问西方组织的电邮通信。勒索软件组织 HelloKitty 利用了 SonicWall SMA 100 VPN 的 1 个 0day。微软、苹果和 Google 软件的 0day 利用占到了所有攻击的四分之三。

安全公司 Check Point 的研究人员发现了一个高危漏洞允许攻击者控制数百万计的 Android 设备。该漏洞属于越界漏洞，存在于 ALAC—Apple Lossless Audio Codec—编解码器中。ALAC 是苹果在 2004 年推出的音频格式，用于提供无损音频。苹果多年来一直在更新自己的私有版本修复安全漏洞，而高通和联发科则使用了一个开源版本，但这个开源版本自 2011 年以来就没有更新过。绝大部分 Android 设备都使用高通或联发科的移动芯片组。黑客可利用该漏洞强迫解码器执行恶意代码。研究人员估计 2021 年销售的智能手机中有三分之二存在该漏洞。高通和联发科去年就释出了补丁，如果 Android 设备的最新补丁是在 2021 年 12 月之后，那么漏洞已经修复。

Google Project Zero 回顾了 2021 年 Android 平台发现的 0day 漏洞。7 个 0day 中有 5 个针对的是 GPU 驱动，如果对 Android 生态系统及其碎片化有所了解的话，这一结果并不令人惊讶。Android 生态系统是相当零碎的，有众多不同的版本，不同的厂商定制。攻击者如果想要拥有攻击 Android 设备的能力，将需要维护很多不同的漏洞才能覆盖相当大比例的 Android 设备。但如果攻击者选择针对 GPU 内核驱动，那么他们只需要两个漏洞。因为绝大部分 Android 设备使用两种 GPU 之一：高通 Adreno GPU 或 ARM Mali GPU。

联想释出最新固件修复三个 UEFI 漏洞。三个漏洞都是 ESET 的研究人员发现的，其中两个允许攻击者关闭储存 UEFI 固件的 SPI 闪存芯片的安全保护，关闭 UEFI Secure Boot 功能。第三个漏洞则允许本地攻击者提权执行任意代码。三个漏洞影响超过 100 个型号联想笔记本电脑，其中包括 IdeaPad 3、Legion 5 Pro-16ACH6 H 和 Yoga Slim 9-14ITL05，受影响用户数以百万计。攻击者需要从本地利用这些漏洞，因此利用的门槛相当高。尽管如此，用户应该尽快更新固件。

加拿大多伦多大学公民实验室称，有证据显示英国政府官员成为以色列间谍软件 Pegasus 的攻击目标，其中包括首相官邸所在的唐宁街十号。它已经将这一发现报告给了英国政府。另一个受攻击目标是外国联邦和发展办公室（Foreign Commonwealth and Development office）。被怀疑发动攻击的人与阿联酋、印度、塞浦路斯和约旦有关联，首相官邸的间谍软件感染与阿联酋有关。NSO Group 销售 Pegasus 需要获得以色列国防部的批准，而在销售之后该公司也会密切监视客户对间谍软件的使用，但越来越多的证据显示，根本不存在所谓的“密切监视”。

美国联邦机构 CISA、NSA、FBI 和能源部联合发表声明，对政府支持黑客攻击工业控制系统发出警告。警告称，黑客能使用定制模块化恶意软件扫描、破坏和劫持工业控制系统（ICS）和监测控制和数据采集（SCADA）设备。有可能被破坏和劫持的设备包括施耐德电气的 MODICON 和MODICON Nano PLC，欧姆龙 Sysmac NJ 和 NX PLC，以及 Open Platform Communications Unified Architecture (OPC UA)服务器。过去几年，越来越多的有政府背景的黑客选择以工控系统作为攻击目标，而工控系统是基础设施的重要组成部分。

过去 50 天乌克兰对俄罗斯士兵执行了 8000 多次面部扫描，然后根据结果联络了数百名家属。乌克兰使用的是美国公司 Clearview AI 的面部识别软件。Clearview AI 向乌克兰免费提供了它的服务，它的数据库有十分之一的数据来自于俄罗斯最大的社交网络。

Google 释出紧急更新修复 Chrome 浏览器的两个漏洞，其中之一是正被攻击者利用的 0day 漏洞。这是今年至今 Google 第三次释出紧急更新。编号为 CVE-2022-1364 的漏洞属于类型混淆漏洞，此类漏洞是指程序用一种类型分配资源，但之后用一种不兼容的类型访问资源，在 C 或 C++ 语言中该漏洞会导致内存访问越界。该漏洞可能会导致浏览器崩溃或触发逻辑错误，攻击者可利用该漏洞执行任意代码。

思科披露了一个高危等级 10/10 的漏洞 CVE-2022-20695，影响其 Wi-Fi 管理软件 Wireless LAN Controller (WLC)。思科称，漏洞是因为 密码检查算法的不正确实现导致的，攻击者可以通过构造凭证利用漏洞登陆受影响的设备。受影响的思科设备需要尽快更新到最新版本。

微软 Detection and Response Team (DART) 和 Threat Intelligence Center(MTIC) 的研究人员披露了黑客组织 Hafnium 如何利用 Windows 任务调度程序植入持久性后门的方法。任务调度程序通常被 IT 管理员用于自动化琐碎的任务如更新程序、整理文件系统和启动特定应用。黑客滥用该功能创建隐藏任务，让被入侵的设备在重启之后仍然能远程访问：一旦重启，隐藏任务会与 Hafnium 的指令服务器重新建立后门连接。为了隐藏该任务，恶意程序通过令牌盗窃获得 SYSTEM 级权限，删除任务的安全描述项注册表值，在 GUI 和任务调度中将会看不到该任务，只有手动检查注册表才能发现隐藏任务。