安全公司 FireEye 称，中国黑客过去几个月以日本国防承包商为目标，目的可能是获取东京解决朝鲜核僵局的政策相关的情报。攻击者被怀疑来自 APT 10，使用的一种攻击方法是钓鱼邮件。两次攻击发生在去年 9 月到 10 月之间。当时恰逢朝鲜核计划引发的地区紧张形势升级。朝鲜测试了氢弹，而特朗普则威胁全面毁灭朝鲜。随着两韩开始和谈，紧急形势已经缓解。FireEye 称， APT 10 主要收集与区域性地缘政治变化相关的情报。

奇虎 360 发现了新 Windows 0day 漏洞，正被利用发动 APT 攻击。漏洞已经报告给了微软，奇虎没有披露细节。安全研究人员将该漏洞命名为 “双杀” 漏洞，影响最新版本的 IE 浏览器及使用 IE 内核的应用程序。攻击是通过投递内嵌恶意网页的 Office 文档的形式实施，中招者打开文档后，所有的漏洞利用代码和恶意荷载都通过远程的服务器加载。攻击的后期利用阶段使用了公开的 UAC 绕过技术，并利用了文件隐写技术和内存反射加载的方式来避免流量监测和实现无文件落地加载。360 建议用户不要随意打开未知来路的 office 文档。

上个月，开源内容管理系统 Drupal 发布了一则高危漏洞警告，基本上影响到所有的 Drupal 网站或超过 100 万网站。公告称，Drupal 7.x 和 8.x 的多个子系统内发现了一个远程代码执行漏洞，可能导致网站被完全入侵。奇虎 360 的研究人员报告，多个恶意程序正在利用该漏洞。其中一组恶意软件有蠕虫传播行为，感染量显著比其他的恶意软件更多。研究人员将该僵尸网络命名为 muhstik，因为其二进制文件名和通信协议中多处包含了这个字符串。Muhstik 僵尸网络相当复杂，硬编码了 11 个 C2 域名 / IP，获利方式包括挖取 XMR 数字代币，挖取 BTC 数字代币，以及 DDoS 攻击。

AdGuard 的联合创始人 Andrey Meshkov 注意到 Chrome 官方扩展商店出现了许多模仿知名广告屏蔽工具的扩展，他下载了一个研究了它的代码。他检查了扩展发出的请求，一些奇怪的请求立即引起了他的注意。名叫 AdRemover 的扩展有超过一千万下载量，Meshkov 发现它的图像隐藏了从远程服务器加载的代码，允许扩展作者无需更新就能改变功能。这种做法违反了 Google 的政策。他还发现其它下载量数以百万计的扩展存在类似的问题。Google 已经将这些扩展从商店移除。Brave 浏览器的开发者 Yan Zhu 称，此类的扩展并不能随心所欲，但确实能做一些恶意行为，比如对浏览器的所有请求发动中间人攻击，但由于缺乏权限这些扩展并不能读取用户的密码数据库。

《华尔街日报》报道（付费墙），朝鲜黑客正从一个中等级别的安全威胁变成最具危险性的安全威胁之一。朝鲜黑客多年来一直被视为二流，然而过去一年半发生的网络攻击显示，朝鲜黑客的技能正在快速提升，已跻身世界一流行列。朝鲜以培养奥运会选手的方式培养它的精英黑客。聪明的学生会在 11 岁左右挑选出来集中到专门的学校学习黑客技术和病毒开发技术。安全专家称，朝鲜黑客开发的恶意代码能让杀毒软件无法识别，一旦安全公司堵上软件漏洞，他们能在数天内作出回应调整代码。朝鲜黑客会通过在代码中嵌入英语或其它语言来模糊恶意程序的真正发源地。他们还会在圣经应用中隐藏恶意程序或使用 Facebook 来感染目标。去年，朝鲜黑客被发现率先利用了 Flash 的一个 0day 漏洞。

比利时安全研究人员发表了一篇论文（PDF），调查了治疗慢性疼痛、帕金森症和其他疾病的大脑植入物的安全性。研究人员发现，此类的植入物最多是在最后才会去考虑安全。植入物使用无线接口，因此显而易见你不能给大脑中的芯片加入 USB 线缆，而接口的缺陷允许攻击者施加电击，收集敏感神经信息以及拦截敏感医疗数据在植入物和设备之间的传输。 研究人员提议使用加密来削弱此类远程攻击的风险，比如初始化加密需要物理上接近的工具。

微软发布了一个 Chrome 扩展“Windows Defender Browser Protection”，将 Windows Defender 和 Edge 浏览器的反钓鱼技术移植到 Google Chrome 上。Google 有类似的反钓鱼技术叫 Safe Browsing API，而微软的反钓鱼技术则是 SmartScreen API。现在 Chrome 用户可以使用两种反钓鱼技术了。SmartScreen API 知名度没有 Safe Browsing API 高，但根据 NSS Labs 的测试它识别恶意域名的正确率更高，使用 SmartScreen API 的 Edge 检测出来 99% 的钓鱼网址，而 Chrome 只有 87%。

安全公司 Avast 报告，近五万 Minecraft 账号感染了设计格式化应硬盘和删除备份及系统程序的恶意程序。恶意代码本身并不多么复杂，被认为是拷贝了已有代码，但它的隐藏在修改的游戏皮肤中，上传到了 Minecraft 官方网站，因为托管在官方域名，当安全软件弹出警告后可能会被用户认为是误报。Minecraft 是最受欢迎的沙盒游戏之一，截至 2018 年 1 月全世界有 7400 万玩家，但只有很少部分上传修改的皮肤，绝大部分使用默认皮肤，所以也只有少数人被感染。

为缓解外国实体监视高级官员私人对话的担忧，法国政府宣布正在开发自己的加密消息应用。流行的加密消息应用如 WhatsApp 和 Telegram 都不是法国公司开发的，引发了数据在境外服务器外泄的风险。大约 20 名官员和高级公务员正在测试由政府雇佣的开发者设计的新加密消息应用，该应用预计会到今年夏天被政府强制使用。法国数字部发言人称，该消息应用是基于自由使用的代码，最终将会提供给所有公民使用。发言人拒绝给出代码或服务的名称。

在 Metldown 和 Spectre 漏洞曝出之后，英特尔一直致力于让行业放心对待安全问题它是十分认真的。英特尔现在宣布了多项增强安全的新特性：其一是 Intel Threat Detection Technology (TDT)，芯片巨人宣布了两项 TDT 特性，第一种是 Advanced Memory Scanning，也就是扫描藏身于内存不写入硬盘的恶意程序，对内存的扫描通常会增加 CPU 的开销，所以为了减少开销英特尔将扫描任务交给了 GPU，GPU 在大部分桌面应用中都是空闲的，因此利用 GPU 扫描能减少 CPU 的开销。微软的 Microsoft Windows Defender Advanced Threat Protection (ATP) 也将在本月晚些时候加入 GPU 内存扫描功能。

Google 官方应用商店发现了三种先进的 APT 间谍程序。这些被称为 mAPT（m 代表移动）的间谍程序被认为针对的是中东用户，下载不多，总下载量在 650 到 1,250 次。Google 在收到报告之后已经从商店里移除了这些应用。三种间谍程序其中两种属于 ViperRat 恶意程序家族，另一种属于 Desert Scorpion 家族。这些恶意程序使用了模块化设计绕过了安全检查，恶意功能不包含在从商店下载的版本中，而是通过第二阶段的下载加入到应用中。这些间谍程序的功能包括上传指定文件，记录声音视频以及电话呼叫，等等。

美国和英国发布联合警告，称俄罗斯蓄意采取威胁家庭和企业路由器的网络入侵手段，把西方的联网基础设施当作目标。这是两个盟国首次就如何自保向平民和企业发布具体指引。美国国土安全部助理部长珍妮特 • 曼弗拉 (Jeanette Manfra) 称，华盛顿方面 “高度确信” 俄罗斯政府是这些入侵的幕后黑手。“我方认为，克里姆林宫要对其恶意网络活动负责，”她说。她补充道，官员们无法确定遭到 “攻陷” 的全部范围。“一旦你掌控了路由器，你就掌控了全部通讯内容，” 曼弗拉称。她介绍说，俄罗斯正试图控制网络连接环节，包括路由器、防火墙及网络入侵侦测系统，目的是从事间谍活动、窃取知识产权或为进攻行动预先定位。

被广泛使用的物联网设备正日益成为安全系统的一个薄弱环节。黑客越来越多的通过物联网设备入侵企业网络。网络安全公司 Darktrace 的 CEO Nicole Eagan 指出，物联网设备扩大了攻击面，而绝大部分物联网设备没有被传统防御所覆盖。他披露了该公司经手的一个案例，黑客通过水族箱的温度计在一家未公开名字的赌场网络获得了一个立足之地，然后从网络中发现了一个重要数据库，将其搬到了云端。

一种新的勒索软件在开《绝地求生（PUBG）》的玩笑。PUBG 是去年的现象级游戏，而名叫 PUBG Ransomware 的勒索软件会在用户玩了 PUBG 后解锁加密文件。当勒索软件启动后它会加密用户桌面上的文件和文件夹，加密后的文件使用了.PUBG 的后缀，然后它会显示一个画面，告诉受害者有两种方法解锁文件，其中一种是秘密的解锁代码，另一种玩 PUBG。勒索软件将监视进程寻找名叫 TslGame 的文件。当用户玩了 PUBG，勒索软件检测该进程后它会自动解密文件。这个勒索软件并不先进，它只检测进程名字，并没有确认是否是 PUBG 正在运行。这意味着用户可以将任何可执行文件改名为 TslGame.exe，运行之后加密文件就会自动解密。

智能手机已经是现代生活的一部分，其安全性也变得日益重要，因为手机储存了敏感的个人信息。Android 是目前市场占有率最高的移动操作系统，但其碎片化和安全性一直饱受诟病，很大一部分 Android 手机在出售之后就得不到安全更新了，而即使那些号称提供安全更新的，研究发现厂商其实在撒谎。Security Research Labs 测试了不同厂商的 1200 多部 Android 手机。这些手机来自 Google、三星、摩托罗拉、, LG、HTC、小米、一加、诺基亚、TCL、华为和中兴等公司。研究人员检查了 2017 年释出的每一个安全补丁，发现除了 Google 和它的 Pixel 手机外，几乎所有厂商都漏掉了更新，一些厂商没有安装任何更新而只是修改了补丁日期。研究发现，三星和索尼平均每部设备漏掉了 0 到 1 个补丁，小米、一加和诺基亚漏掉了 1 到 3 个补丁，HTC、华为、LG 和摩托罗拉漏掉了 3 到 4 个补丁，TCL 和中兴漏掉了 4 个以上。

Malwarebytes 的安全研究人员报告，过去几个月攻击者入侵了运行 WordPress、Joomla 和 SquareSpace 等内容管理系统的网站，然后利用复杂的策略试图诱骗访问者安装假的更新。攻击者利用了这些网站没有及时打补丁修复已知的漏洞，然后在用户访问时候展示看似真实的信息（如图所示），诱骗用户安装浏览器 Firefox、Chrome, 或 Flash 的更新。为了躲避检测，假的更新通知每个 IP 只展示一次，它还会利用 JavaScript 文件检查访问者是否在虚拟机里访问网站，然后才会传递恶意程序，恶意程序使用了操作系统信任的合法证书签名，让恶意更新看起来是真的。

在 Meltdown 和 Spectre 漏洞在今年初披露之后，微软在释出相关补丁时引入了杀毒软件的注册表键，检查系统中运行的杀毒软件是否与 Meltdown 和 Spectre 补丁兼容，如果不兼容那么就不安装 Windows 更新。杀毒软件供应商将这个键用于证明他们的产品已经更新，不会干扰到微软的 Windows 补丁。因为不兼容的杀毒软件产品会导致崩溃和蓝屏死机。微软在今年 1 月表示，使用没有加入注册表键的杀毒产品的 Windows 电脑将不会得到安全更新。但随着杀毒软件更新产品，而微软的 Meltdown 和 Spectre 补丁得到更多改进之后，微软决定移除这个强制性的注册表键要求。

AMD 释出了微码更新，为 Windows 10 打上了 Spectre v2 补丁。最新更新要求 Windows 10 用户安装最新的补丁。微软本周二释出了四月例行更新 KB4093112，其中就包含了针对 AMD 处理器的相关 Spectre v2 修正。AMD CTO  Mark Papermaster 表示，在最终验证和测试完成之后，微软将会为 Windows 2016 释出类似的 AMD 处理器更新。

你的朋友给你发了条短信， 但事后发现这条短信不是你朋友发的。这可能吗？安全研究人员Jordan Smith 称这是完全有可能的，他已经将其发现报告给了苹果和 Google。攻击者所需要的是你安装了一个应用，这个应用获取了你的手机号码以及访问联系人列表，然后这些消息发送给攻击者，同时在联系人列表中添加了额外的号码。攻击者使用添加的号码给你发送了短信，其中包含了链接，如果你粗心大意，点击了链接，你就有可能被钓鱼了。Google 将该问题标记为“不可行”，而苹果则表示此类行为能在应用审查阶段发现。Google 的应用审查流程是自动化的，而苹果则是人工。

微软释出了最新版的 Microsoft Malware Protection Engine (1.1.14700.5)，修复了 Windows Defender 的一个远程代码执行漏洞。漏洞编号 CVE-2018-0986，是 Google 的安全研究员 Halvar Flake 首先发现和报告的。该漏洞与解压 .rar 文档有关，Flake 对漏洞的追溯跟踪到了旧版本的开源解压工具 unrar，微软看起来是创建了 unrar 的一个分支，将其整合到自己的杀毒引擎中。在此过程中，微软修改了所有的符号整数变量，变成了未符号的变量，引发了数学比较相关的连锁问题，导致了一个能被恶意 .rar 文档利用的内存损坏错误，能使杀毒软件崩溃或允许恶意代码使用杀毒软件的 LocalSystem 权限完全控制计算机。