黑客正以俄罗斯政府机构为目标，发送钓鱼邮件，冒充 Windows 更新，诱骗受害者安装远程访问工具（RAT）。攻击来自一个以前未知的 APT 组织，攻击时间是从 2022 年 2 月到 4 月，目标都是安装 RAT，旨在进行后续的间谍活动。该 APT 组织的第一波攻击始于 2 月，攻击者以 interactive_map_UA.exe 的名义传播 RAT 工具。第二波攻击以修复刚刚披露的 Log4Shell 漏洞的名义发送 tar.gz 档案文件，邮件主要发送给了 RT 的员工，其中还包含不要打开可疑邮件的警告。第三波攻击伪装成国防公司俄罗斯联邦科技与工业集团。第四波攻击冒充了石油巨头沙特阿美的招聘广告，附件为 Word 文档但含有宏病毒。

Mozilla 释出了紧急更新，修复了在 Pwn2Own 2022 黑客挑战赛上安全研究人员利用的 Firefox 和 Thunderbird 0day。Firefox 100.0.2、Firefox ESR 91.9.1、Firefox for Android 100.3 和 Thunderbird 91.9.1 修复了两个高危漏洞。安全研究员 Manfred Paul 在 Pwn2Own 上演示了漏洞利用赢得了 10 万美元奖金。第一个漏洞是 Top-Level Await 实现的原型污染（prototype pollution），第二个漏洞允许攻击者在原型污染注入攻击中滥用 Java 对象索引不正确输入验证。

HardenedVault 写道 "2022年5月16日，云原生安全公司Isovalent的CTO宣布开源了其内部开发了多年的基于eBPF安全监控和阻断的方案：Tetragon。由于Tetragon宣称可以防御容器逃逸的Linux内核漏洞，但从Tetragon的设计来看只支持post-exploitation阶段的检测和阻断，这种基于规则的检测和阻断遭到了安全研究人员Felix Wilhelm的质疑，此后几天的讨论引起了更多安全研究人员的注意，PaX/GRsecurity团队成员Pawel Wieczorkiewicz在5月20日研究了两个小时后基于CVE-2021-22555公开exploit击穿了Tetragon的防御机制，随后PaX/GRsecurity公开了其细节以及探讨了为什么防御机制中不能单一依赖post-exploitation阶段的检测和阻断机制。幸运的是，VED(Vault Exploit Defense）方案对于目前的攻击方法免疫。"

搜狐员工遭到了钓鱼邮件攻击，攻击者可能首先窃取了搜狐内部邮箱账号，然后用这个邮箱群发邮件给其他员工，诱骗其在钓鱼网站上输入账号和密码。搜狐发表声明称，有 24 名员工被骗取了逾四万元。声明称：5 月 18 日凌晨，搜狐部分员工邮箱收到诈骗邮件。经调查，实为某员工使用邮件时被意外钓鱼导致密码泄露，进而被冒充财务部盗发邮件。事发后，公司 IT 及安全部门第一时间做了紧急处理并向公安机关报案。据统计，共有 24 名员工被骗取四万余元人民币。目前正在等待警方的调查进展和处理结果。搜狐表示，这次事件不涉及到搜狐公司对用户提供的邮件服务。搜狐会持续升级网络安全技术，维护公司和个人的网络安全，更好地提供网络服务。

Google 安全团队 Threat Analysis Group (TAG)披露，国家支持的黑客组织使用 5 个 0day 在 Android 设备上安装 Cytrox 公司开发的间谍软件 Predator。攻击来自至少三个不同的组织，发生在 2021 年 8 月到 10 月之间，攻击者使用了 Chrome 和 Android OS 的 5 个 0day 在安装了最新补丁的 Android 设备上植入 Predator。攻击者来自于埃及、亚美尼亚、希腊、马达加斯加、科特迪瓦、塞尔维亚、西班牙和印度尼西亚。这一发现与公民实验室去年 12 月对 Cytrox 间谍软件的报告一致，研究人员当时在埃及流亡政客 Ayman Nour 的手机上发现了恶意程序。Nour 的手机还被发现感染了 NSO Group 的间谍软件 Pegasus。

正在与哥斯达黎加政府打信息战的勒索软件组织 Conti 关闭了运作，下线了其基础设施。安全专家  Yelisey Boguslavskiy 称 Conti 成员用于协商和发布信息的 Tor 管理面板已经下线。其它内部基础设施也已经离线。Boguslavskiy 认为 Conti 高调的攻击哥斯达黎加政府旨在宣传而非赎金。Boguslavskiy 称 Conti 的领导人在终止 Conti 的同时让其成员与其它规模较小的勒索软件组织合作，以增加灵活性和规避执法机构的围剿。

美国司法部宣布调整一项政策，不再起诉违反美国联邦黑客法规《计算机欺诈和滥用法案》（CFAA）的善意安全研究。此举意义重大，因为 CFAA 经常对安全研究人员构成威胁，他们为了找到安全漏洞并进行修复，可能会探测或入侵系统。政策的修订意味着此类研究不会被指控。在与公告一起发布的声明中，副司法部长 Lisa O. Monaco 表示：“计算机安全研究是提高网络安全的关键驱动力。”“司法部从来无意将善意的计算机安全研究作为犯罪起诉，今天的公告为善意安全研究人员提供了清晰的信息，以此促进网络安全，这些研究人员在为了共同的利益根除漏洞。”该政策本身写道：“本部门执行 CFAA 的目标是通过维护个人、网络所有者、运营商和其他人的合法权利来促进隐私和网络安全，确保存储在其信息系统中的信息的机密性、完整性和可用性。”

赞比亚央行遭到了勒索软件组织 Hive 的攻击，但它拒绝为此支付赎金。央行信息和通信技术主管 Greg Nsofu 表示核心系统正常运行，没有多少敏感数据被盗走，可能只有部分测试数据泄露了，央行甚至没有必要参与赎金讨论对话。赞比亚央行是在 5 月 13 日透露可能遭到网络攻击，5 月 9 日它的部分应用发生了故障，5 月 14 日网站短暂下线。

研究显示 CEO 级别高管和普通用户一样在密码选择上随意且愚蠢。此前的研究发现，公众最常用的密码都是容易记住的字符串如 123456、picture1 和 password。密码管理器 NordPass 最近研究了 2.9 亿次数据泄露事故样本，分析了 CEO 级别高管使用的密码模式，发现他们和一般公众并无区别，虽然他们的身份更为敏感，安全保障并应该更为重视。高管们经常使用常用名字作为密码，如 Tiffany、Charlie、Michael、Jordan、Dragon 和 monkey 等等。

哥斯达黎加总统 Rodrigo Chaves 表示他的国家正处于战争状态，因为网络犯罪分子破坏了数十个政府部门的 IT 系统。据信来自俄罗斯的勒索软件黑帮 Conti 索要 2000 万美元的赎金，并呼吁哥斯达黎加人走上街头要求付钱。周三哥斯达黎加财政部通知公务员黑客攻击影响到了自动薪酬支付服务，公务员们将无法及时收到薪水，需要通过电邮或者书面申请薪水。对税务和海关系统的攻击还影响到了对外贸易。Chaves 刚刚就让总统不到两周时间，他多次指责前任没有严肃对待网络安全，他宣布国家进入紧急状态。

HardenedLinux 写道 "基础架构包括计算机体系、物联网设备或其他信息化设备的固件、硬件组件、单元等基础组成部分，如主板Flash、显卡网卡等各类外设板卡的ROM，硬盘、EC、主板CSME/PSP/SMU等。基础架构安全性是整个系统的安全基石。如果基础架构的安全设置不当或存在高危漏洞、受到威胁，会导致整个系统的严重破坏，并且难以检测、恢复。固件的运行级别高于操作系统内核所在的RING 0级，如果用户的威胁模型中包含攻击者持久化这一项，那固件安全就不可忽视，特别在全球高级威胁防护的大趋势下，基础架构及平台固件属于整体防御中核心的环节，为了更好的推进行业对于基础架构整体弹性（Resiliency）水平，赛博堡垒（HardenedVault）和中科院软件所基础架构安全团队发起了一份关于平台固件安全的技术指南，草案版本由来自跨领域专家组的审阅，指南的alpha预览版发布于HardenedLinux社区（下载PDF），希望未来有兴趣的个人和机构可以继续推进。"

iPhone 关闭时并没有完全关机。设备内部的芯片继续在低功耗模式下运行，因此可用 Find My 功能定位丢失或被盗的设备，或者在电池耗尽后使用信用卡和车钥匙。现在研究人员设计出了一种方法，滥用这种永远开机的机制运行恶意软件，即使 iPhone 关机了，恶意软件仍然可以保持激活。事实证明，iPhone 的蓝牙芯片——它是 Find My 等功能的关键——没有对运行的固件进行数字签名的机制，甚至也没有进行加密。德国达姆施塔特科技大学的学者想出了如何利用这种保护缺失运行恶意固件，让攻击者能在设备关机后跟踪手机的位置或者运行新功能。这则视频高度概括了可行的攻击方式。 这项发现（PDF）的实际价值有限，因为感染需要将 iPhone 越狱，这本身就是一项艰巨的任务，尤其是在对抗环境中。尽管如此，对于 Pegasus 等恶意软件来说，在攻击成功后利用 iOS 中的始终开机功能会很方便，Pegasus 是以色列 NSO 集团的复杂智能手机攻击工具，世界各国经常使用该工具监视对手。除了允许恶意软件在 iPhone 关闭时运行之外，针对 LPM 的漏洞利用还可以让恶意软件更隐蔽地运行，因为 LPM 允许固件节省电池电量。当然，固件感染已经非常难以检测，因为它需要大量的专业知识和昂贵的设备。

研究人员演示了对特斯拉汽车的蓝牙中继攻击。Bluetooth LE 近距离身份验证设计允许一个受信任的设备去解锁附近的另一个设备，比如特斯拉可以使用智能手机作为钥匙解锁汽车。所谓中继攻击就是恶意设备中继合法设备的身份验证信号。这是一个已知的问题，通常的防御方法是对链路层发送的请求进行加密或者限制响应时间。安全研究人员在一辆 2020 年款 Tesla Model 3 汽车上演示了中继攻击。攻击工具运行在一部 iPhone 13 mini 手机上，iPhone 距离汽车 25 米，位于蓝牙通信距离范围外，iPhone 和汽车之间部署了两个中继设备。研究人员利用工具远程解锁了特斯拉汽车。这项研究显示链路层加密和限制响应时间都无法阻止中继攻击。

去年安全研究人员披露了一种新型的供应链攻击：依赖混淆。大型企业使用的程序通常会包含非公开的私有依赖包，如果攻击者在软件包仓库中加入同名的公开的依赖包，那么这些程序在构建时很可能会优先使用公开的依赖包，可能导致恶意程序在公司内网执行。本周安全研究人员发现了针对德国公司贝塔斯曼、博世、斯蒂尔和 DB Schenk 的依赖混淆包。但就在研究人员发表报告前夕名叫 Code White 的公司承认是其所为。CEO David Elze 声明他们获得相关企业授权进行合法的渗透测试演练。这是一次假警报，但依赖混淆攻击确实在发生。

美国欧盟周二正式指责俄罗斯需要为今年二月针对卫星网络的攻击负责，这次攻击瘫痪了乌克兰及其邻国的卫星网络，破坏了通信和一个风力发电场。2 月 24 日在俄罗斯攻击乌克兰前一小时，卫星通信公司 Viasat 位于欧洲和乌克兰的数千卫星终端遭到攻击，攻击者利用了 VPN 访问了该公司的 KA-SAT 卫星网络，通过搜索其内网找到了管理和运营的特定网络，同一时间向用户的调制解调器发送破坏指令覆写 Flash 存储器。攻击者使用的恶意程序被命名为 AcidRain，安全研究人员发现它与俄罗斯的 VPNFilter 的一个擦除器模块 dstr 存在 55% 的代码相似度。

Yahoo! JAPAN 是日本最大的媒体公司之一，提供搜索、新闻、电子商务和电子邮件等服务。每个月有超过 5000 万用户登录 Yahoo! JAPAN。多年来发生了很多对用户账户的攻击以及导致账户访问权限丢失的问题。这些问题中大多数都和身份验证使用的密码有关。随着身份验证技术的最新发展，Yahoo! JAPAN 决定从基于密码的方式转向无密码身份验证。自 2015 年以来，Yahoo! JAPAN 一直在致力于无密码登陆计划。这始于 2015 年 5月 获得的 FIDO 服务器认证，之后又引入了 SMS 身份认证、密码停用功能以及对每台设备的 FIDO 支持。如今有3000 万月度活跃用户禁用了密码，使用非密码身份验证方法。Yahoo! JAPAN 对 FIDO 的支持始于 Android 上的 Chrome，现已有超过 1000 万用户设置了 FIDO 身份验证。由于 Yahoo! JAPAN 的这些举措，忘记登录 ID 或密码的查询比例比最高峰时减少了 25%，由于无密码账户数量的增加，未经授权的访问有所减少。

研究人员对黑客正在利用的漏洞的范围和程度感到惊讶，黑客正试图利用它们完全控制运行一些世界上最大、最敏感网络的网络设备。该漏洞的严重等级为 9.8分（满分为 10 分），影响 F5 的 BIG-IP，这是一组应用，作为负载均衡器、防火墙，检查并加密进出网络的数据。线上可发现的设备实例超过 1.6 万个，F5 表示，财富 50 强中有 48 家企业在使用。鉴于 BIG-IP 靠近网络边缘以及它们是作为管理 We b服务器流量的设备，它们所处的位置通常有利于查看受 HTTPS 保护的流量的解密内容。

上周 F5 披露并修补了一个 BIG-IP 漏洞，黑客可利用该漏洞，以 root 权限运行命令。威胁源于 iControl REST 的身份验证实现缺陷，iControl REST 是一组用于配置和管理（PDF）BIG-IP设备的、基于 Web 的编程接口。安全公司 Randori 的研发主管 Aaron Portnoy 在私信中表示：“由于身份验证的实现方式存在缺陷，这个问题基本上使能访问管理界面的攻击者可以伪装成管理员。”“一旦你成了管理员，你就可以与应用提供的所有端点进行交互，包括执行代码。”

过去 24 小时 Twitter 上流传的图片显示黑客如何利用该漏洞访问名为 bash 的 F5 应用程序端点。它的功能是提供一个接口，将用户提供的输入作为具有 root 权限的 bash 命令运行。虽然很多图片显示的是提供一个密码让命令运行，但在不提供密码的情况下，该漏洞也能工作。在其他地方，研究人员分享了漏洞利用代码，报告称看到了一些野蛮做法，攻击者会留下后门 webshell，以保持对被入侵的 BIG-IP 设备的控制——即使在漏洞被修补之后。

美国伊利诺斯州的林肯学院宣布将于本周五 5 月 13 日永久关闭，成为第一所因勒索软件攻击而倒闭的美国高等院校。刊登在学校官网上的告别信称，它经历了两次世界大战、西班牙流感和大萧条，但无法应付新冠疫情和去年 12 月发生的勒索软件攻击。林肯学院以亚伯拉罕林肯总统的名字命名，1865 年动工，至今有 157 年历史，是少数几所以黑人为主体的乡村学院之一。2021 年 12月林肯学院遭到了勒索软件攻击，破坏了招生工作，阻碍了对所有数据的访问，影响到 2022 年秋季招生。幸运的是个人身份信息没有被盗。学校的系统到 2022 年 3 月完全恢复，但此时发现招生缺口巨大。

乌克兰人对一个登记酒类经销信息的门户网站 EGAIS 发动了 DDoS 攻击，导致了网站关闭，影响到了伏特加供应。俄罗斯的法律要求伏特加生产商和经销商需要在 EGAIS 上登记其商品。DDoS 攻击导致了网站在 5 月 2 日和 3 日关闭。俄罗斯政府声称网站运行正常，长时间等待是因为访问量太大。据报道一家公司因未能向 EGAIS 上传发票导致其向连锁店和餐馆的伏特加供应因这一事故而中断。

苹果、Google 和微软正在发起一项“联合行动”，目标是“干掉”密码。主流操作系统供应商希望扩大对 FIDO 联盟和万维网联盟创建的通用无密码登录标准的支持。该标准被称为“多设备 FIDO 凭证”或简单称为“Passkey”。新方案并没有采用一长串字符，而是让你正在登录的应用或网站向你的手机推送请求进行身份验证。你需要解锁手机，通过某种密码或者生物特征进行身份验证，然后开始使用。对任何一个已在使用手机双因素身份认证功能的人来说，这个系统听起来有些熟悉，但它是密码的替代品，而不是增加了一个因素。一些推送双因素身份认证系统通过互联网工作，但是这种新的 FIDO 方案使用的是蓝牙。正如白皮书所解释的那样，“蓝牙需要物理接近，这意味着现在我们在身份验证期间，可以用一种能防范网络钓鱼的方式使用用户的手机。”蓝牙在兼容性方面的口碑很糟糕，我不确定“安全性”是否一直是一个真正的问题，但是FIDO联盟说的是蓝牙只能“在物理接近的情况下验证”，而实际登录过程“并不依靠蓝牙的安全属性”。当然这意味着两台设备都需要有蓝牙功能，大多数智能手机和笔记本电脑都具备这一功能，但是对于比较老的台式电脑来说可能是一个难题。