被认为来自南亚的黑客组织 Bitter APT 最近正以中国核能机构为攻击目标。安全公司 Intezer 报告，在最近的行动中，Bitter APT 伪装成吉尔吉斯斯坦驻北京大使馆向中国核能公司和该领域的学者发送钓鱼邮件，邀请他们参加吉尔吉斯斯坦大使馆等主办的一个核能会议。邮件签名者是真实存在的，是吉尔吉斯斯坦外交部的一名官员。但邮件附件是恶意的，会执行一系列行动释放恶意负荷。

俄罗斯在 2022 年逮捕了多名知名的 Telegram 用户，调查显示国有的俄罗斯国家工业和科技集团公司(Rostec)旗下的一家公司开发了名为 "Okhotnik" (Охотник) 的系统，利用了逾 800 个数据点建立关联去匿名化 Telegram 用户的身份。这些数据点来自社交网络、博客、论坛、即时通讯工具、BBS、加密货币区块链、暗网以及政府服务，包括姓名、昵称、电邮地址、网站、域名、加密钱包、加密密钥、电话号码、地理位置信息、IP地址等。Okhotnik 可以找到目标用户过去任何时候犯下的任何错误去实现去匿名化。

本月早些时候，独立安全研究机构 DarkNavy 发表文章披露，国内一家互联网巨头的 APP 利用了 Android 系统漏洞提权使其难以卸载。这家巨头之后确认为拼多多。上周一 Google 将拼多多的多个应用标记为恶意程序。拼多多则发表声明，表示强烈反对一位匿名独立安全研究员关于其应用恶意的推测和指控。现在，安全公司 Lookout 的研究人员对非 Google Play 版本的拼多多应用的分析确认了 DarkNavy 的指控。初步分析显示，至少两个非 Play 版本的拼多多应用利用了漏洞 CVE-2023-20963。该漏洞是 Google 在 3 月 6 日公开的，利用该漏洞可以提权，而且整个过程不需要用户交互。两周前修复补丁才提供给终端用户。 Lookout 的研究人员分析了拼多多在 3 月 5 日前发布的两个版本，都包含了利用 CVE-2023-20963 的代码。这两个版本都使用了与拼多多 Google Play 版本相同的密钥签名。目前没有证据表明 Play Store 和苹果 App Store 的版本含有恶意代码，通过 Google 和苹果官方商店下载的拼多多应用是安全的。但通过第三方市场下载的 Android 用户则没有那么幸运了，鉴于拼多多有数亿用户，受影响的用户数量可能是非常惊人。

根据 FTC 的数据，2022 年美国因恋爱骗局造成的损失高达 13 亿美元。FBI 波特兰办公室的负责人认为，科技让人产生了虚假的信任感。The Verge 的一篇报道讲述了一位 32 岁、曾从事过 SEO 工作的百万富翁的故事。他最近与妻子离异，因此注册了约会应用 Tinder 寻找约会对象。他在上面与一位神秘女子配对，两人开始约会。这位女子发出了一系列令人警惕的信息，询问他如何支付约会费用，他说用信用卡。对方问能不能用现金。他说可以。她还问他驾驶什么型号的汽车。一辆路虎。结果可想而知。他经历了一次持枪抢劫汽车的遭遇。路虎被人抢走了。

最大的源代码托管平台 GitHub 宣布更换其 SSH 密钥。原因是本周早些时候，它发现 GitHub.com 的 RSA SSH 私钥在一个公开的库内短暂暴露。它立即采取了行动并展开了调查。问题并不是任何 GitHub 系统被入侵或客户信息泄露的结果，它认为问题是疏忽大意，认为没有证据表明曝光的密钥遭到了滥用，出于谨慎考虑它更换了密钥。

五名厄瓜多尔记者收到了激活时会爆炸的 U 盘。瓜亚基尔 Ecuavisa 电视台记者 Lenin Artieda 在收到 U 盘后将其插入电脑，这时 U 盘发生了爆炸。记者的手和脸部受到了轻伤，没有其他人受到伤害。U 盘内被认为装有名为环三亚甲基三硝胺（RDX）的高能炸药，该炸药也被美国军方使用，可以单独用也可以与 TNT 等炸药混合。Artieda 插入的 U 盘只有半数炸药激活，因此可能产生的伤害较小。厄瓜多尔非盈利组织 Fundamedios 称另外还有两名瓜亚基尔和两名首都的记者收到了炸弹 U 盘。EXA FM 电台记者 Alvaro Rosero 在 3 月 15 日收到了装有 U 盘的信件，他将其交给了一位制片人，后者使用带适配器的线缆将其连接到电脑上，U 盘没有爆炸，警方认为是适配器没有足够的电量激活炸弹。警方对其它 U 盘实施了“控制性引爆”。目前还不清楚邮寄炸弹 U 盘的动机，厄瓜多尔内政部长 Juana Zapata 表示邮寄者旨在传达让记者闭嘴的信息。政府表示，任何企图恐吓新闻和言论自由的行为都应该收到严厉的司法惩罚。

黑客利用一个 0day 从比特币 ATM 机器上盗走了价值 150 万美元的加密货币。黑客针对的目标是 General Bytes 出售的比特币 ATM（BATM），它允许人们兑换比特币。BATM 连接了一个加密货币应用服务器（CAS）。出于未知的原因，BATM 提供了一个选项允许客户通过主服务器接口从终端向 CAS 上传视频。攻击者利用了这个接口上传和执行一个恶意 Java 应用，从各个热钱包中转走了全部加密货币，总共为 56 BTC，价值约 150 万美元。General Bytes 已经释出了补丁修复了漏洞，但加密货币已经无法找回。

Google 周一将拼多多的多个应用标记为恶意程序，Android 手机使用的安全机制 Google Play Protect 将阻止用户安装拼多多应用，对于已经安装的应用，Google 将建议用户卸载。Google 同时出于安全理由从官方应用商店 Play Store 下架了拼多多应用。在这之前，中国安全研究人员披露拼多多应用包含有恶意功能，能利用漏洞提权阻止卸载并能监视用户。拼多多尚未对此次事件发表评论。

美国 FBI 周三逮捕了一名纽约男子，他被控运营了暗网网络犯罪论坛 BreachForums，该论坛是世界最大的出售被盗数据的网站之一。FBI 于周三下午 4:30 左右逮捕了名叫 Conor Brian Fitzpatrick 的男子，他被认为就是 BreachForums 的管理员 Pompompurin。记录显示，他最后一次访问 BreachForums 是在周三下午 3:53，也就是被捕前不久。BreachForums 托管了近千家企业的被盗数据库。数据库通常包括有个人信息，如姓名、电子邮件和密码。Fitzpatrick 以 30 万美元保释金获释，他将于 3 月 24 日出庭。

Google Project Zero 研究人员在广泛使用的三星 Exynos 调制解调器芯片中发现了 18 个漏洞，其中四个漏洞允许攻击者在只知道受害者电话号码的情况下，在基带水平远程入侵手机，不需要发生任何用户交互。受影响的芯片组包括： Exynos Modem 5123、Exynos Modem 5300、Exynos 980、Exynos 1080 和 Exynos Auto T5123，受影响的产品包括：三星 S22, M33、M13、M12、A71、A53、A33、A21、A13、A12 和 A04 系列，Vivo S16、S15、S6、X70、X60 和 X30 系列，Google Pixel 6、6 Pro、Pixel 6a、Pixel 7 和 7 Pro，任何使用 Exynos W920 芯片组的智能手表，任何使用 Exynos Auto T5123 的汽车，等等。研究人员表示，在补丁释出前，受影响设备可通过在设置里关闭 Wi-Fi 呼叫和 Voice-over-LTE (VoLTE)保护自己。

微软周二释出了三月例行安全更新，修复了 74 个漏洞，其中两个是正被利用的 0day——CVE-2023-23397 的危险得分 9.8/10，是 Microsoft Outlook 中的一个提权漏洞，微软没有公开漏洞细节，但披露它正被俄罗斯黑客用于攻击欧洲的政府、能源和军事部门；CVE-2023-24880 是一个 Windows SmartScreen 绕过漏洞，它的危险得分比较低只有 5.4/10，它正被勒索软件组织利用。

今年 2 月，俄罗斯勒索软件组织 BlackCat 入侵了 Lehigh Valley Health Network（LVHN）医院集团旗下的一个诊所，访问了接受放射肿瘤治疗的病人照片系统。LVHN 拒绝了该组织提出的赎金要求。数周后，BlackCat 在其暗网勒索网站上发表声明，威胁公开窃取的病人数据。它随后公布了三张癌症患者接受放射性治疗的屏幕截图和七份包含患者信息的文件。这些照片相当私密，从不同角度拍摄了患者裸露的乳房。安全研究人员表示，随着愈来愈多的组织拒绝支付赎金，勒索软件组织在勒索赎金上开始采取极端的做法。另一个勒索软件组织 Medusa 本周二公布了上个月攻击 Minneapolis Public Schools（MPS）中窃取的样本数据，其中包括性侵指控相关的文件和涉及的男女学生名字。Medus 要求支付 100 万美元赎金，MPS 表示它未支付赎金。

在一黑客在网络犯罪论坛宣布出售 160 Gb 大小的数据之后，宏碁证实它遭到了入侵，但否认有消费者数据被盗。宏碁称它最近发现了一起安全事故，维修技工使用的一台文档服务器遭到未经授权访问。调查还在进行之中，目前无迹象表明该服务器储存有消费者数据。黑客以门罗币出售这批被盗的数据，称包含有机密幻灯片、员工手册、机密产品文档、二进制文件、后台基础设施信息、磁盘镜像、替换的数字产品密钥和 BIOS 相关信息。黑客称这些数据是在 2 月中旬窃取到的。这不是第一次宏碁发生数据泄露安全事故，它在 2021 年发生过类似事故，有逾 60 GB 数据被盗。

LastPass 的严重安全事故本可以避免。攻击者利用了该公司一高级工程师家用电脑上安装的 Plex 软件的一个已知漏洞，而该漏洞早在 2020 年 5 月 7 日就修复了，但不知道出于什么原因，这位工程师从未更新软件打上补丁。该漏洞允许能访问服务器管理员 Plex 账号的人通过 Camera Upload 功能上传恶意文件，利用服务器数据目录位置与 Camera Upload 允许上传的库重叠，让 Plex 媒体服务器执行该恶意文件。Plex Media Server v1.19.3 修复了该漏洞，而到攻击者利用漏洞入侵工程师的电脑时 Plex 都发布了 75 个版本。

安全公司 ESET 报告，黑客组织 Mustang Panda aka TA416 和 Bronze President 部署了一种新的后门程序 MQsTTang。恶意程序主要通过钓鱼邮件传播，通过一个 GitHub 软件库下载负荷，它会在注册表增加一个启动时运行的注册表项去实现持久存在。为了躲避监测它利用了 MQTT 协议去进行指令通信。MQsTTang 还会检查主机上是否存在调试器或监控工具，如果有发现，它会相应的改变行为。

国内的一个独立安全研究机构 DarkNavy 发表文章披露，国内一家互联网巨头的 APP 利用了 Android 系统漏洞提权使其难以卸载。报道没有公开相关公司的名字，但称得上巨头也就那四五家公司。报道称，该 APP 首先利用了多个厂商 OEM 代码中的反序列化漏洞提权，提权控制手机系统之后，该 App 即开启了一系列的违规操作，绕过隐私合规监管，大肆收集用户的隐私信息（包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等）。之后，该 App 利用手机厂商 OEM 代码中导出的 root-path FileContentProvider， 进行 System App 和敏感系统应用文件读写；进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活，修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载；随后，还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码，进行更加隐蔽的长期驻留；甚至还实现了和间谍软件一样的遥控机制，通过远端“云控开关”控制非法行为的启动与暂停，来躲避检测。

新闻集团以及旗下的媒体 WSJ 披露，疑似中国黑客在其网络中活动了近两年时间。新闻集团是在 2022 年 2 月首次披露它遭到了黑客入侵，Google 旗下的安全子公司 Mandiant 协助它进行调查。调查显示，在 2020 年 2 月到 2022 年 1 月之间，未授权方从受影响系统的个人账号内访问了企业文档和邮件，其中包含有个人信息。黑客的目的主要不是为了个人信息，而是情报收集。新闻集团没有发现与数据泄露相关的身份盗窃或欺诈。黑客窃取到的个人信息包括员工姓名、出生日期、社会安全号码、驾驶执照号码、护照号码、金融账户信息、医疗信息和健康保险信息等等。

提供密码管理服务的 LastPass 更新了去年发生的严重安全事故的最新调查结果：它的一名高级工程师的家用电脑遭到黑客入侵，而这名员工拥有企业密码库的访问权限。LastPass 称，8 月 12 日到 26 日之间，未知黑客窃取到了一名高级 DevOps 工程师的有效凭证。黑客利用了第三方媒体软件包的漏洞入侵了该工程师的家用电脑，植入了按键记录器，窃取到主密码。该工程师是 LastPass 四名能访问企业密码库的工程师之一。在进入企业密码库之后，黑客导出了所有条目，其中包括 AWS S3 LastPass 产品备份的密钥。匿名消息来源透露，黑客利用的媒体软件是 Plex，而 Plex 在去年 8 月 24 日披露遭到了入侵，但暂时还不知道两起安全事故是否存在关联。

根据 Google 子公司 Mandiant 的报告，勒索软件黑帮在过去的一年里不太成功。Mandiant 响应的勒索软件事件减少了 15%。而勒索软件组织索要的赎金平均金额下降了 28%，从一年前的 570 万美元减少到 410 万美元。另一家安全公司 CrowdStrike 认为原因包括勒索软件黑帮的成员遭到逮捕，比特币等加密货币的币值下降，等等。根据 Chainalysis 的分析，2022 年勒索软件组织的总收入从 2021 年的 7.656 亿美元下降到 2022 年的大约 4.568 亿美元，下降了 40.3%。受害者支付赎金的概率也在下降。这种情况导致了勒索软件组织也发生了裁员事件，有报道称前勒索软件组织 Conti 的成员解雇了 45 名客服。这些客服是实施网络骗局的一部分。

安全公司 Resecurity 披露了针对数据中心运营者的网络攻击。Resecurity 称总部位于上海的万国数据控股公司和总部位于新加坡的新科电信媒体全球数据公司的数据中心登陆凭证遭到窃取，它已经通知了新加坡和中国的国家计算机应急响应小组。相关数据中心的登陆凭证等信息发布在暗网网站 RAMP 上。万国数据和新科电信有两千个客户受到影响，Resecurity 称黑客登陆了至少五个客户的账号，包括一个中国外汇和债务交易平台以及四个印度的账户。Resecurity 还表示它渗透进入了该黑客组织，发现了它收集了全球知名企业的登陆凭证，其中包括阿里巴巴、亚马逊、苹果、宝马、高盛、华为、微软和沃尔玛。