黑客组织 NullBulge 入侵了迪士尼企业内部通信使用的工具 Slack，窃取并公开了数千 Slack 频道的数据，包括代码和未发布项目信息。NullBulge 泄露了愈 1 TB 数据，这一入侵发生在 7 月，迪士尼 8 月表示正对此展开调查。路透社现在报道，迪士尼计划停止将 Slack 作为整个公司的协作工具，部分团队已经切换到其他协作工具，预计今年晚些时候完成过渡。

FBI 局长 Christopher Wray 周三披露该机构上周接管了一个中国黑客组织控制的僵尸网络，该僵尸网络由数十万台联网设备如摄像头、录像机、NAS 存储设备和路由器构成。该组织被称为 Flax Typhoon，瞄准了美国及海外的关键基础设施，针对了美国企业和媒体机构到大学和政府机构。该僵尸网络利用了恶意程序 Mirai 感染容易入侵的联网设备。FBI 发现了一个包含愈 120 万条被感染设备记录的数据库，其中美国设备数量超过 38.5 万台。

安全公司 Doctor Web 报告，它监测到 197 个国家/地区用户的近 130 万 Android 机顶盒被植入后门 Android.Vo1d。木马作者使用了 vo1d 这一名字命名组件的原因可能是试图将其伪装成系统程序 /system/bin/vold，它也由此文件名称而得名。Android.Vo1d 感染的机顶盒型号分别为运行 Android 7.1.2 的 R4，运行 Android 12.1 的 TV BOX，以及 Android 10.1 的 KJ-SMART4KVIP。攻击者选择电视机顶盒作为目标的一个可能原因是此类设备通常操作系统是陈旧的版本，没有修复漏洞，并且厂家不再提供更新。研究人员不清楚机顶盒后门感染的源头。一种可能的媒介可能是中介恶意软件利用操作系统漏洞获取了 root 权限，另一种可能是使用了具有 root 访问权限的非官方固件版本。

德国 Tor 节点运营者于 8 月 16 日再次遭当地警方的突击搜查。第一次搜查是在 2017 年。德国警方可能仍然认为搜查节点运营者有助于去匿名化个别 Tor 用户的身份。运营者表示警方基本上是空手而归，他们准备挑战搜查令以确保类似的事件不会再次发生。但此类行动也令节点运营者感到不安，考虑停止运营出口节点。Tor 出口节点是构成 Tor 回路的三个中继的最后一跳，连接了Tor 匿名网络与开放互联网，出口节点运营者面临最大的风险。

微软周二对一个正被利用 0day 漏洞发出警告，攻击者正利用该漏洞回滚特定 Windows 版本的安全补丁。该漏洞编号为 CVE-2024-43491，严重等级 9.8/10。这是一种降级攻击，主要影响 2015 年发布的 Windows 10 v1507，更高版本的 Windows 10 不受影响。微软建议用户按次序安装 SSU KB5043936 和 9 月例行安全更新 KB5043083。

美国网络安全公司 CrowdStrike 今年 7 月因为有问题的更新导致了全世界的 Windows 主机蓝屏死机，有逾 800 万台 PC 受到影响，是过去十年最严重的安全事故。达美航空CEO Ed Bastian 上个月表示，该公司因此次事故损失了 5 亿美元。CrowdStrike CFO Burt Podbere 在花旗的会议上表示，尚未有客户正式提起诉讼，称公司致力于将客户关注的焦点从法律威胁转移到业务讨论上。他承认不知道这一切会如何收场，他希望随着时间的推移，法律威胁将会逐渐消失。

广泛使用的双因素验证硬件令牌 YubiKey 5 存在加密漏洞，攻击者短时间物理接触该设备后能对其进行克隆。该加密漏洞被称为侧信道，存在于其使用的一个微控制器中，而该微控制器被大量身份验证设备使用。研究人员确认 YubiKey 5 系列所有型号都能被克隆，不过没有测试其它使用该微控制器的设备。YubiKey 5 使用的微控制器是英飞凌（Infineon）制造的 SLE78，以及后续型号 Optiga Trust M 和 Optiga TPM。研究人员怀疑所有使用这三种微控制器的设备都存在相同的漏洞。5 月释出的 YubiKey 5 v5.7 新固件修复了该漏洞，它使用定制的加密库取代了英飞凌的加密库。但 YubiKey 5 本身是无法更新固件的，这意味着所有运行旧版本固件的 YubiKey 5 将会永久性存在该漏洞。

美国油服巨头 Halliburton 周二证实上个月遭到了网络攻击，表示未经授权的第三方访问并删除了其系统中的数据。上个月的攻击影响了 Halliburton 休斯顿园区和部分全球网络的业务运营。总部位于休斯顿的 Halliburton 是全球最大的油服公司之一，为全球主要能源公司提供钻井服务和设备，有近 48,000 名员工。该公司表示正在评估被删除信息的性质和范围，但认为不太可能产生重大影响。它没有透露更多信息，包括是否被黑客联系商讨支付赎金之类。

安全公司 ESET 报告在自由软件 IM 客户端 Pidgin 的官方插件库发现恶意程序。被称为 ScreenShareOTR 的插件伪装成支持 Off-The-Record (OTR)协议的屏幕共享工具，但实际上会悄悄安装恶意程序 DarkGate。该恶意程序只感染 Windows 操作系统。安全研究人员建议安装了该插件的用户立即卸载并用杀毒软件完整扫描系统。Pidgin 维护者 Gary Kramlich 表示他们没有跟踪一个插件的安装次数。为防止类似事件再次发生，Pidgin 宣布从现在起将只接受采用 OSI 批准开源许可证的第三方插件。

黑客正利用升泰科技一款已停产停止支持的网络安全探头的 0day 安装恶意程序 Mirai 组建僵尸网络。Akamai 称，攻击者利用的是 AVM1203 上一个有 5 年历史的漏洞 CVE-2024-7029，该漏洞很容易利用，能被用于执行恶意代码。AVM1203 已停售和停止支持，因此不会有补丁去修复该漏洞。攻击者正利用漏洞安装 Mirai 的一个变种。鉴于该探头已停止支持，因此修复该漏洞的最佳方法是更换探头。

韩国黑客组织 APT-C-60 利用了 Windows 版 WPS Office 的一个 0day 在目标设备上安装后门 SpyGlace。WPS 是金山开发的办公软件，在全球有逾 5 亿活跃用户。黑客利用的 0day 被称为 CVE-2024-7262，影响版本从 12.2.0.13110（2023 年 8 月）到 12.1.0.16412（2024 年 3 月）。金山在 3 月悄悄修复了漏洞，但没有向客户披露该漏洞正被活跃利用，促使安全公司 ESET 就该漏洞公布了一份详细报告。CVE-2024-7262 与软件如何处理自定义协议处理器的方式相关，其中 ksoqing:// 允许文档中嵌入的特制 URL 执行外部应用。APT-C-60 创建了 MHTML 文件，嵌入了隐藏在诱饵图像下的恶意超链接，引诱受害者点击图像触发漏洞。金山修复 CVE-2024-7262 的补丁并不完整，ESET 研究人员发现了第二个任意代码执行的高危漏洞 CVE-2024-7263。金山在 5 月修复了新的漏洞。为修复这两个漏洞 WPS 用户需要尽可能快的升级到 v12.2.0.17119 及以上版本。

Google Chrome 浏览器今年至今修复了 10 个 0day。其中第 10 个是安全研究员 TheDog 报告的 CVE-2024-7965，是编译器后端在选择要生成的 JIT 编译指令时的一个 bug 导致的，位于 V8 JS 引擎中，远程攻击者可通过特制 HTML 页面利用堆损坏。第九个 0day 是 CVE-2024-7971。Google 证实 CVE-2024-7971 和 CVE-2024-7965 两个漏洞正被利用，但没有披露更多信息。

法国安全服务公司 Quarkslab 的研究员 Philippe Teuwen 发现，复旦微电子集团制造的非接触式读卡器芯片使用了相同的密钥，允许在数分钟内克隆 RFID 智能卡，打开世界各地的房门。复旦微电子在 2020 年发布了用于门锁钥匙、小额支付、会员卡的 FM11RF08S，它使用了被称为“静态加密随机数（static encrypted nonce）”的方法，研究人员设计了一种攻击方法，如果 FM11RF08S 密钥在至少三张卡上重复使用，就能破解它。进一步研究发现，FM11RF08S 存在一个硬件后门——也就是所有卡使用的相同密钥。Teuwen 发现上一代的 FM11RF08 存在相似的后门但使用了不同的密钥，该密钥被发现被 FM11RF08、FM11RF32、FM1208-10，以及 NXP 和 Infineon 的部分卡使用。Quarkslab 督促世界各地的酒店检查其房卡使用的芯片，评估安全风险。

赛门铁克研究人员报告了一种使用罕见技术的后门 Backdoor.Msupedge。它通过 DNS 流量与 C&C（指令控制）服务器通信。它的 DNS 隧道工具是基于公开代码的 dnscat2 工具。Msupedge 还通过 C&C 服务器（ctl.msedeapi[.]net)）域名解析到 IP 地址作为指令。解析后的 IP 地址的第三个八位组是一个开关语句，后门的行为将根据该八位组减去 7 的值而进行改变。攻击者可能是通过最近修复的 PHP 高危漏洞 CVE-2024-4577 入侵系统的，漏洞的危险评分 9.8/10，影响 Windows 系统上安装的所有版本的 PHP，成功利用漏洞允许远程执行代码。

根据知情人士的消息，美国油服巨头 Halliburton 遭到网络攻击，影响休斯顿园区和部分全球网络的业务运营。Halliburton 据没有证实也没有否认网络攻击，只是表示公司部分系统发现问题，正在评估原因和潜在影响。知情人士称，Halliburton 要求部分员工不要连上内网。总部位于休斯顿的 Halliburton 是全球最大的油服公司之一，为全球主要能源公司提供钻井服务和设备，有近 48,000 名员工。

自称 ZeroSevenGroup 的组织在黑客论坛声称入侵了丰田在美国的一家子公司，它免费分享了其窃取的 240 GB 数据，内容包括联系人、财务、客户、计划、员工、照片、数据库、网络基础设施、电子邮件等。该组织称使用开源工具 ADRecon 提取了包括凭证在内的网络基础设施信息。丰田随后证实其网络遭黑客入侵，但没有披露入侵是何时发生以及如何发生的细节。

微软在上周的例行安全更新中修复了一个 0day 漏洞 CVE-2024-38193，它位于 AFD.sys 中，属于释放后使用漏洞。微软警告攻击者利用该漏洞能获得系统权限，运行不受信任的代码。软件巨人当时没有披露谁在利用该漏洞。本周一，向微软报告该漏洞的组织 Gen 的研究人员披露，朝鲜黑客组织 Lazarus 在利用该漏洞安装 rootkit。研究人员称，攻击者针对的是从事加密货币工程或在航空航天领域工作的目标，旨在入侵其雇主的网络，以及窃取加密货币。Lazarus 利用该漏洞安装了 FudModule——它属于被称为 rootkit 的恶意程序。微软知道该漏洞之后花了半年时间才修复。黑客利用该漏洞的时间显然远长于半年。

Shawn the R0ck 写道：“ Tetrel Security 公开了一个 SLPD-Lite 漏洞（CVE-2024-41660）的细节，slpd-lite 是 OpenBMC 的组件之一，此漏洞因为由 OpenBMC（部分OEM厂商实现）网络安全产生了严重的影响，因为它允许攻击者在易受攻击的系统上远程执行任意代码。
OpenBMC 是一个为服务器开发标准基板管理控制器（BMC）的标准实现框架。BMC允许对服务器硬件进行远程管理，广泛部署在服务器硬件中，提供监控、日志记录功能以及带外恢复和维护工具。由于BMC通常具有高度特权，因此将BMC网络接口隔离到一个独立的管理网络是安全最佳实践。
Tetrel在审查OpenBMC源代码时发现了slpd-lite子组件中的两个内存损坏漏洞。在典型部署中，成功利用这些漏洞将允许具有对BMC管理网络访问权限的攻击者完全攻陷BMC。
第一个漏洞涉及堆中分配的数据的越界读取，可能泄露信息给攻击者。第二个漏洞允许攻击者在堆中分配的数据结构范围之外进行写入。结合这两个漏洞，可以直接实现远程漏洞利用。Tetrel公开了漏洞成因，和相关技术细节，包括代码片段和漏洞的潜在利用方式。同时，还提供了有关如何确认堆损坏可能性的重现步骤，以及在Ubuntu 22.04.04 LTS上测试漏洞的过程。
如果你的数据中心使用了集成spld-lite的OEM厂商提供的BMC（无论是否基于OpenBMC)，务必尽快升级。HardenedVault的OpenBMC实现由于spld-lite并没有集成，所以不受影响。”

俄罗斯安全公司卡巴斯基的研究人员报告，中国黑客上个月被发现入侵俄罗斯政府机构和 IT 公司的计算机。它将这一行动命名为 EastWind。攻击者首先发送含有恶意外链附件的钓鱼邮件，先是通过云储存服务 Dropbox 获取指令下载恶意程序，之后改用了俄罗斯流行的社交网络 LiveJournal 和问答网站 Quora。它在目标设备上安装了远程访问木马 GrewApach、PlugY 后门、新版本的 CloudSorcerer 后门。其中 PlugY 后门此前未知，研究人员还在分析中，它被怀疑是基于 DRBControl 后门代码开发的。

透明行动组织 Distributed of Denial of Secrets (DDoSecrets) 的一位联合创始人曾是暗网毒枭。Thomas White 是丝绸之路 2.0 的管理员，因持有儿童色情材料而被起诉，根据警方公布的聊天记录，他曾设想建立儿童色情网站以及为恋童癖开设网站，他被判入狱五年零四个月。在服刑五年之后，他公开接受采访，表达了对丝绸之路创始人 Ross Ulbricht 的同情，认为对其的刑期过于严重。 DDoSecrets 填补了 Wikileaks 的空白，是目前最大发布泄密数据的平台。它的另一位联合创始人是 Emma Best。