英国安全研究员 Marcus Hutchins，aka MalwareTech，2017 年因发现 WannaCry 的关闭开关阻止了该勒索软件的进一步传播而被视为一位安全领域的英雄，但他在当年前往美国参加安全会议 Black Hat 和 DEF CON 后准备在机场离境时遭到 FBI 逮捕，被控开发、传播和维护了银行木马 Kronos。本周 Hutchins 承认他开发了银行木马， 他对此表示遗憾，并愿意为错误承担责任，表示正将几年前误用的技能用于建设性目的。根据认罪协议，Hutchins 承认了两项指控，检方放弃了另外八项指控，每一项指控的最大刑期是五年，最高罚款 25 万美元。他承认开发了银行木马 Kronos 和 UPAS-Kit，承认与同谋 Vinny、VinnyK 和 Aurora123 在网上宣传和销售这两种木马，时间发生在 2012 年 7 月到 2015 年 9 月之间，之后他改变了职业轨道成为了安全研究员。

思科 Talos 安全部门的研究人员披露，名叫 Sea Turtle 的网络间谍组织利用 DNS 劫持技术攻击了 40 个不同的组织，在此过程中他们甚至入侵了多个国家级顶级域名系统，令整个国家的域名流量面临风险。黑客的受害者包括了电信公司、ISP 和域名注册商。但最主要的受害者及其最终目标是政府机构，包括外交部、情报机构、军事目标和能源相关组织。这些机构都位于中东和北非。通过入侵互联网的目录系统，黑客能悄悄使用中间人攻击能拦截发送给目标的所有数据。Talos 表示难以确定攻击者的国籍，但它提供了受害者所在的国家名单，包括：阿尔巴尼亚、亚美尼亚、塞浦路斯、埃及、伊拉克、约旦、黎巴嫩、利比亚、叙利亚、土耳其和阿联酋。

微软在 Windows 8 中引入的磁贴服务 Windows Live Tiles 允许网站在磁贴上展示新闻，但该服务未获成功，软件巨人后来把这个服务关闭了，但忘记删除域名服务器条目。结果被人利用漏洞接管了相关的子域名，允许他们在磁贴上展示任意的图片和内容。这种攻击方法被称为子域名接管攻击。发现漏洞的人通知了微软，然而微软却没有任何回应，因此他们把这件事公布了出来。

杀毒软件公司 Bitdefender 发表报告（PDF），一种此前主要在中国传播的恶意程序扩散到了世界其它地方。习惯下载和安装破解软件的用户面临的风险最大。这种恶意程序被称为 Scranos，其最重要的组件是一个隐藏在软件中的 rootkit 驱动，允许恶意程序长久滞留在系统中，获得对系统的完整控制权限。Scranos 的功能包括从 Google Chrome、Chromium、Mozilla Firefox、 Opera、Microsoft Edge、IE、百度浏览器和 Yandex 浏览器提取 cookies 和窃取登录凭证，从 Facebook、Amazon 和 Airbnb 窃取支付账号，向 Facebook 朋友发送钓鱼信息，窃取 Steam 的登录凭证，向 IE 注入广告程序，订阅 YouTube 频道等等。

去年 7 月释出的 Adblock Plus 引入了重写请求的过滤器选项，之后 AdBlock 和 uBlock（不是 uBlock Origin）都加入了对这一选项的支持。在特定条件下，$rewrite 过滤器选项列表的维护者可以向网页注入任意代码。受影响的扩展用户超过一亿。Armin Sebastian 在个人博客上解释了利用该选项执行任意代码的工作原理，他建议 Adblock Plus 移除 $rewrite 选项，因为该功能容易遭到滥用。用户可以切换到另一个流行的广告屏蔽扩展 uBlock Origin，它不支持 $rewrite 选项，因此不受该攻击的影响。

印度 IT 外包巨头 Wipro 正在调查其 IT 系统遭到入侵，并被用于对其客户发动攻击的报道。Wipro 是印度第三大 IT 外包公司，匿名消息来源称该公司的系统被用于作为起跳点对其数十家客户的系统发动钓鱼式刺探。它的客户跟踪到了可疑的恶意网络侦查活动，攻击者被发现来自于 Wipro 的网络。Wipro 的一家客户已经取消了与该公司的合同，但不清楚是否与网络入侵有关。Wipro 则发表声明声称其网络系统有多重安全保障。

微软开始向部分 Outlook.com、Hotmail 和 MSN 客户发去通知，称黑客能访问他们的账号。微软发现今年早些时候它的电邮服务支持代理的凭证遭到入侵，允许黑客在 1 月 1 日到 3 月 28 日之间未经授权访问部分用户的账号，黑客能浏览到电邮地址、文件夹名字和邮件标题，但无法访问邮件内容或附件。目前不清楚有多少账号受到影响。黑客无法窃取到用户的登录细节或个人信息，但出于谨慎微软推荐受影响的用户重置他们的密码。

安全研究员 John Page 披露了一个 IE 0day 漏洞，该漏洞允许远程攻击者利用 IE 提取本地文件。漏洞利用不需要用户打开 IE 浏览器，只需要你的 Windows 设备安装了 IE，这意味着大部分 Windows 机器都受到影响，即使用户不再用 IE。攻击者利用了 .MHT 文件格式的漏洞，.MHT 被 IE 用于 Web 存档，而大部分现代浏览器已经不使用 .MHT 格式，因此当用户尝试打开一个.MHT 文件，Windows 操作系统会默认使用 IE 打开。为了利用该漏洞，用户需要打开从电邮、消息应用等接收到的 .MHT 附件。微软目前还没有释出修复补丁，何时修复还是未知之数。

两名安全研究人员披露了 Wi-Fi WPA3 标准中的一组漏洞，这组漏洞被命名为 Dragonblood。攻击者可利用这些漏洞在受害者网络范围内获取 Wi-Fi 密码和渗透进网络。Dragonblood 由五个漏洞构成，包括一个拒绝访问攻击，两个降级攻击和两个侧通道信息泄露。后四个漏洞都利用了 WPA3 标准 Dragonfly 密钥交换机制中的设计缺陷，可用于获取用户密码。

去年 10 月，安全公司报告，2017 年 8 月沙特石化工厂遭到的网络攻击与一家俄罗斯研究机构有关。攻击者使用的恶意程序设计关闭生产流程或让 SIS 控制的机器工作在不安全的状态下。安全公司将这个恶意程序命名为 Triton 或 Trisis。攻击者入侵了施耐德公司保护设备安全运转的工业控制器 Triconex，该型号的控制器被全世界 1.8 万家工厂使用，其中包括核处理设施。现在，FireEye 的研究人员披露了利用相同恶意程序框架对另一个不同的关键基础设施地点发动的攻击。类似针对沙特工厂的攻击，攻击者主要将资源集中在工厂的运营技术方面。在目标网络获得立足之地之后，攻击者使用的大部分工具都主要用于网络侦察。一旦访问到控制器之后，攻击者开始集中精力在维持控制上。新发现的定制工具展示了攻击者对工业设施运营安全的兴趣。

Palo Alto Networks 的研究人员报告了物联网僵尸网络 Mirai 的新变种，它加入了四种处理器 Altera Nios II、OpenRISC、Tensilica Xtensa 和 Xilinx MicroBlaze，这些处理器被广泛用于嵌入式系统，包括路由器、网络传感器、基带无线电和数字信号处理器。新变种还修改了用于通信的加密算法，以及新版的 TCP SYN 拒绝服务攻击。研究人员是在 Digital Ocean 位于荷兰数据中心的一台服务器上发现新变种的，该服务器还托管了利用 D-Link、Netgear、Huawei、Realtek、以及中国开发的 ThinkPHP Web server 框架漏洞的版本。

安全研究人员在官方的 RubyGems 库发现了后门版本的网站开发工具 bootstrap-sass。该工具的下载量高达 2800 万次，但这并不意味着下载的所有版本都存在后门，受影响的版本是 v3.2.0.3，研究人员呼吁用户尽可能快的更新，认为可能有数千应用受到影响。研究人员推测，黑客入侵了开发者的机器或窃取了开发者的凭证，然后通过开发者账号简单上传了一个后门版本。该后门允许攻击者远程执行代码。此类的供应链攻击正成为一个日益增长的危险。

一名英国学生在色情网站打广告，广告包含了恶意工具 Angler。当成人网站的用户点击广告，Angler 会触发下载，在受害者的计算机上寻找漏洞然后控制计算机进行勒索。它会展示一个全屏广告，代表 FBI 或其它执法机关，指控受害者违反了法律，将面临最高三年的徒刑，除非支付 100 英镑或 200 美元的赎金。利用这种方法，英国学生 Zain Qaiser 勒索到了 大约 70 万英镑，他被法庭判处了六年五个月徒刑。

Security without Borders 的安全研究人员曝光了一个资金充足的移动手机监视行动，他们相信恶意程序是出售给执法机关或政府的合法监视软件。该恶意程序被称为 Exodus，至少开发了五年时间，通过伪装成合法服务应用的方式进行扩散。感染恶意程序的手机数据不多，大约在数百左右。Exodus 的感染分成了三个阶段，第一个阶段是收集设备的识别信息，第二个阶段包含了大量先进监视功能，第三个阶段则尝试获得 root 权限，执行大量的监视，包括提取应用安装列表，利用内置麦克风录音，提取日历应用事件，提取呼叫日志，使用摄像头拍照，提取 Gmail 信息，等等。它的 iOS 版本使用企业开发者证书安装在设备上，在研究人员向苹果举报之后，证书已经被吊销。

因为未加密或配置错误的 MongoDB数据库和 ElasticSearch 服务器，中国公司泄漏了 5.9 亿简历。安全研究员 Sanyam Jain 仅在上个月就报告了 7 次数据外泄。他发现了一台 ElasticSearch 服务器包含了 3300 万用户简历。在报告给中国国家计算机应急响应小组四天后服务器才加了安全保护。另一台 ElasticSearch 服务器包含了 8480 万简历，同样是在举报给计算机应急响应小组之后下线的。他总共发现暴露的简历数量高达 5.90497 亿，许多简历包含了敏感的个人数据如电话号码、家庭住址，家庭和婚姻状况，某些还有身份证。

过去三个月，黑客组织利用友讯科技等公司路由器固件的已知漏洞，悄悄修改路由器的 DNS 设置，在用户访问合法网站时返回会错误的 IP 地址，将其重定向到钓鱼网站，窃取登陆凭证。受影响的路由器型号包括 D-Link DSL-2640B、D-Link DSL-2740R、D-Link DSL-2780B、D-Link DSL-526B、ARG-W4 ADSL、DSLink 260E，以及 Secutech 和 TOTOLINK 路由器。安全研究人员 Troy Mursch 观察到了三波攻击，分别发生在 2018 年 12 月，2019 年 2 月初和 2019 年 3 月下旬。

广泛使用的 Web server 软件 Apache 修复了一个本地提权漏洞，该漏洞允许拥有有限权限的用户或软件获得 Web server 的 root 权限。受该漏洞影响最大的是提供共享实例的 Web 托管商。Web 托管商的一台服务器通常会提供给多个网站使用，而此类服务器一般会阻止一个网站的管理员访问另一个网站，或访问机器的敏感设置。安全研究人员报告，编号为 CVE-2019-0211 的漏洞允许用户获得服务器的完整访问权限，就像 Web 托管商那样。受影响的版本号为 Apache v2.4.17 到 2.4.38。

波音推迟了 737 Max 软件修正，“我们正在努力证明我们已找出并且适当处理的所有认证要求，未来几周内一旦完成将会提交FAA审核，我们将以全面和系统性的做法进行软件升级的开发与测试，以便确保我们有足够时间把它做对。”FAA 发言人在一份声明中表示，“当前对 737 MAX 飞行控制系统进行审查后，波音需要更多时间进行额外工作，以确保找出并处理所有相关问题。”波音表示，防失速系统将仅会在感测到问题时迫使机头下压一次，给予飞机驾驶员更大的操控权。据信该机型至少在印尼的坠机事故原因就是防失速系统多次迫使机头朝下所致。

WordPress 主题供应商 Pipdig 被发现利用客户的服务器对竞争对手的网站发动 DDoS 攻击。安全研究人员分析了它的代码，找到了 DDoS 攻击的确凿证据。但 Pipdig 官方博客发表了一份义正言辞的声明，否认发动 DDoS 攻击，声称相关代码是用来检查主题的许可密钥。它还迅速从其 bitbucket 库里删除了证据，只是有人已经将证据进行了存档。

云服务商 Cloudflare 去年 4 月 1 日宣布了免费 DNS 服务 1.1.1.1，今年的同一天它宣布了 VPN 服务 Warp，用户现在可以通过 Cloudflare 的移动应用 1.1.1.1 注册该服务，它的基本版本是免费的，但也将提供一个付费版本 Warp+。Cloudflare 承诺它不会记录可识别用户身份的日志数据，不会销售用户浏览数据，不需要用户提供任何个人信息如名字、手机号码或电子邮件地址。Warp 使用的是设计替代 TCP 的 QUIC 协议。