在 4 月 6 日到 8 日举行的 Pwn2Own 2021 安全挑战赛上，荷兰安全公司 Computest 的两名研究人员 Daan Keuper 和 Thijs Alkemade 演示了对 Zoom 的远程代码执行漏洞的利用，赢得了 20 万美元的奖金。漏洞利用不需要受害者的操作，只需要一次 Zoom 呼叫。漏洞相关细节没有披露，目前所知的是它是一个远程代码执行漏洞，对 Windows 和 Mac 版的 Zoom 客户端都有效，但不影响 Web 版本，未测试 iOS 和 Android 版本。这是一个 0day，Zoom 还没有修复该漏洞，该公司声明正在开发补丁。

伊朗位于地下的纳坦兹核设施周日发生停电事故，以色列媒体几乎一致报道是该国发动的网络攻击导致了停电。伊朗核问题全面协议相关方正在举行新一轮的会谈，而以色列总理内塔尼亚胡发誓要阻止伊核协议恢复。据报道内塔尼亚胡周日晚些时候向他的安全官员表达了祝贺。纳坦兹核设施最为人熟知的网络攻击是 2010 年的 Stuxnet 蠕虫攻击，这次攻击被广泛认为是美国和以色列联合发起的，Stuxnet 蠕虫破坏了核设施内的铀浓缩离心机。伊朗现在在深山内部重建了核设施。对于最新的停电事故，以色列媒体称是摩萨德干的，它们没有给出消息来源。以色列媒体与军方和情报机构的关系很紧密。

德国手机制造商 Gigaset（原西门子家庭办公通信设备部门）的更新服务提供商的服务器遭到入侵，攻击者向用户设备推送了恶意更新。这是最新一起供应链安全事故。受影响的主要是旧型号手机，包括 GS100、GS160、GS170、GS180、GS270(plus)和 GS370(plus)系列。攻击者通过预装的系统更新应用推送了恶意更新 Gem、Smart、Xiaoan、asenf、Tayase、com.yhn4621.ujm0317、com.wagd.smarter 和 com.wagd.xiaoan。Gigaset 表示它已经采取措施从被感染的设备上自动移除恶意程序。

卡巴斯基研究人员报告，勒索软件 Cring 背后的运营者利用了一个早在 2018 年就修复的 Fortinet VPN 漏洞入侵了一家德国制造商，攻击者随后展开侦察，尝试窃取储存在内存中的域管理员凭证，最终安装了勒索软件 Cring。在此过程中，为了掩饰行动攻击者还将安装程序伪装成安全软件如卡巴斯基。Cring 在安装之后传播到了一台保存生产线所需数据库的服务器，导致了位于意大利的两处生产设施关闭两天。事故响应团队利用备份恢复了大部分加密的数据。受害者没有支付任何赎金。

提供尾气排放测试的 Applus Technologies 公司遭到了恶意程序攻击，导致了康涅狄格、乔治亚、爱达荷、伊利诺伊、马萨诸塞、犹他和威斯康星等八个州的车辆检查暂停。Applus 是在 3 月 30 日遭到攻击的，公司在美国分部的 CEO Darrin Greene 表示，这类事故是很常见的，没人能幸免，对事故造成的任何不便表示歉意。Applus Technologies 没有提供恢复服务的时间表。目前 FBI 正对这起事故展开调查。

今年 1 月，Google 警告与朝鲜有关联的黑客组织对安全研究员发动了针对性攻击。为了建立信誉和联系安全研究员，黑客首先创建了安全博客和 Twitter 账号与潜在目标进行互动，然后发帖发视频声称完成了某个漏洞利用。现在，Google 再次警告，针对安全研究员的攻击在继续。同一批黑客为一个假的安全公司 SecuriElite 建立了网站和社交媒体账号，声称该公司位于土耳其，提供渗透测试、软件安全评估和漏洞利用等服务，攻击者采用的策略和此前类似。

无线通信设备制造商 Ubiquiti 在 1 月份披露了一起安全事故，称涉及到第三方云服务商，事故暴露了客户的账号凭证。但吹哨人称，这起事故比 Ubiquiti 承认的要严重得多，是“灾难级别”，该公司有意淡化事故风险级别是为了最小化对股价的影响。吹哨人称，除了客户账号泄露外，攻击者还可能访问了客户数据，以及安装在企业和家庭中的客户设备。吹哨人表示，黑客获得了 Ubiquiti 放在 AWS 云服务中的数据库的完整读写访问权限，而 AWS 就是所谓的第三方云服务商。攻击者访问了一位 Ubiquiti IT 雇员 LastPass 账号里的高权限登陆凭证，获得了所有 Ubiquiti AWS 账号的 root 管理员访问权限，此类的权限允许黑客远程访问 Ubiquiti 客户在世界各地的设备。根据 Ubiquiti 在其网站上提供的数据，该公司在全世界 200 多个国家销售了超过 8500 万部设备。Ubiquiti 的安全团队在去年 12 月发现了黑客在系统中留下的后门，在移除后门之后，黑客留下信息勒索 50 比特币以交换他们保持沉默，黑客还提供证据证明他们窃取到了该公司的源代码。Ubiquiti 没有继续联系黑客，而是靠自己发现了第二个后门。

英国智库皇家联合军种研究院(RUSI)和 BAE 系统公司发表联合报告称，勒索软件的使用正在“失控”。尽管勒索软件主要是一个刑事犯罪问题，但经济繁荣和关键基础设施可能遭受的破坏令人担忧这类恶意软件还具有国家安全方面的潜在影响。报告称，双重勒索攻击（即在加密文件的同时窃取文件然后威胁泄露文件进行二次勒索）在 2020 年造成“前所未有的”损害，去年 6 月至 10 月间，在勒索软件博客上发帖的新受害者增加 200%。2020 年，采用双重勒索手段的 16 种勒索软件的操作者共进行了 1200 次攻击，受害者分布于 63 个国家。

PHP 项目维护者 Nikita Popov 周日表示，攻击者以他和 PHP 作者 Rasmus Lerdorf 的名义向 php-src 库加入了两个恶意 commits，声称是修正文字输入错误，但实际上是植入后门实现远程代码执行。Popov 称，开发团队不是十分确定攻击是如何发生的，但线索指示 git.php.net 官方服务器很可能遭到入侵，而不是个人的 Git 账号被窃取。恶意代码中包含了一条注解 “REMOVETHIS: sold to zerodium, mid 2017”，攻击被认为与加密货币无关，Zerodium 的 CEO Chaouki Bekrar 认为攻击者是在恶搞。恶意代码已经移除，调查正在进行之中。之前拥有写访问权限的开发者现在需要在 GitHub 加入 PHP 小组。

Google 安全团队本月中旬披露，一个顶尖黑客组织在 9 个月内利用了至少 11 个 0day 漏洞。该组织利用的漏洞被修复之后它会迅速改用另一个 0day。结果这个所谓的顶尖黑客组织被发现就是美国政府黑客，Google 的行动终止了政府黑客们的反恐行动。安全公司经常会堵上友好政府使用的漏洞，但此类的行动很少会公之于众。在这起事件中，部分 Google 雇员认为反恐任务不应该被披露，但另一部分 Google 雇员相信公司完全有权披露，此举旨在保护用户让互联网更安全。Google 在其发表的一系列博客中有意的剔除了与黑客相关的具体细节，他们知道黑客的身份和目标。但不清楚在公开披露前他们有没有提前通知政府。

在 Motherboard 报道白帽子黑客花了 16 美元购买短信转发服务就能获得一个人的所有短信后，美国主要移动运营商 T-Mobile、Verizon 和 AT&T 采取行动改变了短信路由的方法，阻止黑客截至目标手机的短信。运营商的行动影响所有移动生态系统中的短信供应商。在这之前，自称 Lucky225 的黑客只是花钱使用了商业短信营销服务商 Sakari 的服务，输入目标用户的手机号码，就能转发手机收到的短信。

安全公司 Zimperium 的研究人员发现了包含完整间谍软件功能的先进 Android 恶意程序。恶意程序伪装成系统更新，通过第三方应用商店传播。它的功能包括：窃取 IM 消息，窃取 IM 数据库文件（如果可以 root），检查默认浏览器的书签和搜索，检查 Google Chrome、 Mozilla Firefox 和 Samsung Internet Browser 的书签和搜索历史，搜索特定扩展 .pdf、.doc、 .docx、.xls 和 .xlsx 的文件，检查剪贴板数据，检查通知内容，记录音频，记录电话呼叫，利用前置或后置摄像头定期拍照，窃取照片和视频，跟踪 GPS 位置，窃取短信，等等。受影响的消息应用包括 WhatsApp。

非盈利组织 The Shadowserver Foundation 发现了 21,248 个 Exchange 电邮服务器被植入了一个后门，而与该后门程序通信的指令控制服务器域名叫 brian[.]krebsonsecurity[.]top。知名安全博客 KrebsOnSecurity 的作者 Brian Krebs 声明他与此无关。3 月 26 日 Shadowserver 注意到在入侵的 Exchange 服务器上安装新后门的尝试，后门都是安装在同一个地方 /owa/auth/babydraco.aspx。Shadowserver 的蜜罐观测到 Babydraco 后门总是执行相同的操作：运行一个 Powershell 脚本，从 159.65.136[.]128 地址上提取文件 krebsonsecurity.exe。该文件会安装 root 证书，修改系统注册表，通知 Windows Defender 不要扫描该文件。扫描显示有 21,248 台服务器被安装了 Babydraco 后门。Brian Krebs 称，黑客还在域名中包含了他的社会安全号码。

OpenSSL 项目修复了一个高危漏洞 CVE-2021-3450，该漏洞允许黑客发送特制恶意请求去崩溃服务器。OpenSSL 是最广泛使用的软件加密库。最新披露的 CVE-2021-3449 是一个拒绝服务漏洞，是空指针引用错误导致的。在建立安全连接的初始握手期间，黑客可以利用该漏洞发送恶意形式的重协商请求。研究人员在 3 月 17 日报告了这一漏洞，诺基亚的开发者 Peter Kästle 和 Samuel Sapalski 开发了修复的补丁。

加拿大多伦多大学公民实验室的研究人员详细对比了字节跳动旗下的短视频应用 TikTok 和抖音，没有发现 TikTok 存在威胁到美国国家安全的证据。研究人员逆向工程了 TikTok 和抖音的 APK 文件，监视了它们发送的网络流量，发现两者之间有着明显的差异，但并没有表现出任何明显的恶意行为，应用没有未经用户同意收集通讯录、记录和发送照片、音频或视频或地理位置数据，但抖音包含的功能引起了更多隐私和安全方面的担忧，包括动态代码加载和服务端的搜索审查，而 TikTok 不包含这些功能。TikTok 和抖音有着相同的代码库，之后根据市场需要加入不同的定制功能，部分定制可通过服务器端返回的配置值启用或关闭。两个应用都限制了对标记为“仇恨言论”、“自杀预防”和“敏感”等内容的搜索。抖音有政治类关键词搜索限制，而 TikTok 没有此类限制。

计算机制造商华硕遭到了勒索软件 REvil 的攻击，攻击者开出了至今金额最高的赎金——5000 万美元。REvil 黑手党在其数据泄密网站上宣布它入侵了华硕公司，并公布了窃取文件的截图作为证据。华硕没有明确承认遭到了攻击，但表示已经通知了多个国家的执法机构和数据保护监管机构。据报道，在与 REvil 黑手党协商时，华硕代表被对方索取 5000 万美元赎金的要求感到震惊。攻击者还警告华硕，不要重复 SolarWind 的命运。攻击者可能利用了最近曝光的 Microsoft Exchange 漏洞。

Google Project Zero 安全研究人员披露，一个顶尖黑客组织在 9 个月内利用了至少 11 个 0day 漏洞。该组织利用的漏洞被修复之后它会迅速改用另一个 0day。研究人员最早是在 2020 年 2 月发现该组织通过水坑攻击利用 4 个 0day 攻击 Windows 和 Android 设备。在之后的 8 个月内同一组织被发现利用了至少另外的 7 个 0day，攻击的范围扩大到了 iOS 设备。Google 研究人员称，攻击者对漏洞利用的开发和利用的漏洞有着专家级别的理解能力，利用的方法相当新颖，它触发 iOS 内核提权漏洞的方法是非同寻常的。攻击者使用的利用链需要突破内置在操作系统和应用中的多层防御。

一位黑客演示了如何轻而易举的获取一个人的短信，只需要花钱不需要多少专门知识，而受害者甚至完全不知情。黑客利用的不是 SIM swapped，也不是依赖于 SS7（Signaling System Number 7）路由协议漏洞，而是借助商业短信营销服务 Sakari。Sakari 提供了短信群发和提醒服务，允许客户自己添加想要发送和接收短信的手机号码，它最便宜的方案只要 16 美元。如何获取目标手机的所有短信？方法很简单，直接用该手机号码注册然后选择接收短信，目标手机的短信就转发给了黑客。美国民主党参议员 Ron Wyden 认为，FCC 需要使用其权威迫使手机公司保护其网络，前主席 Pai 让行业自我监管的方法明显失败了。在掌握短信之后，攻击者可以进一步入侵使用手机号码的各类服务，如银行账号和消息应用。代表移动行业的贸易组织 CTIA 表示对此展开了调查，称没有运营商能复现攻击，没有观察到可疑活动的迹象。

Google 演示了实用的 Spectre 概念验证攻击，代码发布在 GitHub 上，演示发布在网站 leaky.page 上。2018 年 1 月，Google Project Zero 和奥地利格拉茨技术大学的研究人员披露了与预测执行相关的处理器漏洞 Spectre，利用基于时间的旁路攻击，允许恶意进程获得其他程序在内存中的数据。Google 的概念验证攻击针对的是运行在 Linux 系统上的 Chrome 88 的 V8 JS 引擎，使用的 CPU 是英特尔的 Core i7-6500U Skylake。Google 表示，可以进行微调让攻击能工作在不同的 CPU、浏览器版本和操作系统上，包括苹果的 M1 ARM CPU。概念验证攻击能以 1kB/s 的速度泄露数据。Google 称，虽然浏览器开发商已经实现了网站隔离等缓解措施，但这并不能阻止 Spectre 的漏洞利用，只是防止保存在内存中的敏感数据被攻击者读取。预防 Spectre 攻击还需要 Web 开发者部署应用程序级别的缓解措施。

著名开源 3D 绘图软件 Blender 通过其 Twitter 账号宣布其网站进入了维护模式，原因是有黑客尝试入侵。绝大部分基础设施，包括 Wiki、开发者入口、git 库、blender.chat 等功能仍然正常。目前网站除了首页显示的内容，大部分链接指向的页面都显示“不可用（This page is not available）”。目前网站已经下线了 12 小时。暂时不清楚攻击者的企图。当前软件供应链攻击非常流行，对 Blender 的攻击可能也是通过它攻击其客户。