美国国土安全部网络安全和基础设施安全署的公告显示，有一家未公开名字的天然气公司在感染勒索软件后关闭设施两天。感染发生在该公司的天然气压缩设施，攻击始于钓鱼邮件内的恶意链接，攻击者从其 IT 网络渗透到作业 OT 网络，其 IT 和 OT 网络都被勒索软件感染。感染没有扩散到控制压缩设备的可编程逻辑控制器，因此该公司没有失去对操作设施的控制。工作人员关闭了压缩设施两天，但由于管道传输的依赖性，它的关闭连带影响到了其它地方的压缩设施。

安全公司 Talent-Jump 和 Trend Micro 报告，从去年夏天起，一群中国专业黑客入侵了东南亚的赌博公司，目的是窃取公司数据库和源代码而不是钱。发动攻击的黑客组织被称为 DRBControl，其行动可能与中国政府没什么联系。FireEye 去年称部分中国黑客组织在空闲时间会出于自己的兴趣和利益展开攻击行动。 DRBControl 首先对目标发动钓鱼攻击，当目标打开嵌入恶意程序的文件之后安装后门，然后下载各种工具展开行动。

上个月，加密专家和程序员 Moxie Marlinspike 刚在飞机上就座，他的领座、一名 60 多岁的中西部男子请他帮忙把 Android 手机切换到飞行模式。当 Marlinspike 看了下手机屏幕，他错愕了下，他发现手机上安装的一个应用是 Signal。Marlinspike 发布的 Signal 被广泛认为是最安全的端对端加密消息应用。Marlinspike 在接受采访时表示，他们构建 Signal 应用时就希望它能被不知道如何启用手机飞行模式的用户使用。今天，Signal 真的将安全消息服务带给了大众，而不只是隐私加密死忠和活动人士。Signal 的进化始于两年前，WhatsApp 联合创始人 Brian Acton 向 Signal 项目投资 5000 万美元，成立了 Signal 基金会并担任执行主席。Signal 项目从只有 3 名全职雇员到今天有 20 名雇员。

Google Project Zero 安全博客上周发表博文称，三星对 Android 内核的改动让手机不那么安全。安全研究员 Jann Honn 讨论了三星在 A50 手机上对 Android 内核进行的改动。三星改动了限制攻击者读取或修改用户数据的安全功能，这一改动不是增加了安全性而是引入了漏洞，可能增加了攻击者执行任意代码的能力。三星的保护机制没有提供有意义的保护，而只是屏蔽了没有为三星手机进行定制的 root 工具。Google 称它努力减少攻击者访问设备驱动和增加内核代码的能力，但三星的改动削弱了这些努力。安全研究人员认为，设备特定的内核改动要么递交到上游要么转移到用户空间，否则最好不要乱动。

使用 ThemeGrill 商业主题的 WordPress 网站站长需要尽快更新随主题一起安装的插件，以修复可能导致网站所有内容归零的严重 bug。bug 存在于 ThemeGrill Demo Importer 中，该插件用于导入演示内容到 ThemeGrill 主题内，它被安装在 20 多万个网站上。WordPress 安全公司 WebARX 报告，旧版本 ThemeGrill Demo Importer 允许远程攻击者发送特质负荷到存在漏洞的网站触发插件功能。该功能会将所有网站内容重置为零，事实上清空启用 ThemeGrill 主题的网站所有内容。

安全研究员在去年举行的 Black Hat 安全会议上披露 Fortinet 和 Pulse Secure VPN 产品的漏洞，随后有政府背景的黑客就迅速利用漏洞去攻击企业目标。以色列网络安全公司 ClearSky 报告，伊朗政府黑客也迅速行动起来，向 IT、电信、石油天然气、航空、政府和安全领域的目标发动攻击。伊朗黑客的技术通常被认为弱于俄罗斯、中国和朝鲜，但 ClearSky 推翻了这一观念，称伊朗的 APT 组织能在极短时间内利用 1 day 漏洞，他们观察到伊朗黑客在漏洞披露数小时内就开始利用漏洞。报告称，至少有三个伊朗黑客组织  APT33 (Elfin，Shamoon)、APT34 (Oilrig) 和 APT39 (Chafer) 对 VPN 服务展开了攻击，攻击的目标主要是执行侦察和植入后门进行监视。

IOTA 不是基于区块链而是基于有向非循环图这一数学概念的加密货币，它诞生于比特币最为火热的 2017 年。上周，在得知黑客正利用官方钱包应用漏洞窃取用户资金之后，管理 IOTA 的基金会关闭了整个加密货币网络。攻击发生在 2 月 12 日，IOTA 基金会在收到报告 25 分钟内关闭了用于批准交易的最后一个节点 Coordinator，阻止黑客窃取用户资金，但事实上也关闭了整个网络。攻击者被认为针对了 10 个高价值的用户，利用官方钱包应用 Trinity 的漏洞窃取资金。据非官方消息称，有大约价值 160 万美元的 IOTA 币被窃取。IOTA 团队在周日发布了 1.4 版本，修复了被利用的漏洞。目前网络仍然下线，开发者正在敲定补救计划。

奇虎 360 的一位安全研究员披露了流行 SOCKS5 代理 Shadowsocks 的流密码重定向攻击漏洞。流密码是一种对称加密算法，加密和解密双方使用相同伪随机加密数据流作为密钥，明文数据每次与密钥数据流顺次对应加密，得到密文数据流。流行的流密码算法包括 ChaCha、RC4、A5/1、A5/2、Chameleon、FISH、Helix 等。研究人员发现 Shadowsocks 协议存在漏洞，会破坏流密码的保密性。利用重定向攻击被动攻击者可以轻松解密所有 Shadowsocks 的加密数据包。中间人攻击者还能实时修改流量，就好像加密根本不存在。受影响的版本包括 shadowsocks-py、shadowsocoks-go 和 shadowsocoks-nodejs，shadowsocks-libev 和 go-shadowsocks2 不受影响，研究人员还建议使用 AEAD 加密算法。漏洞是在 2018 年 12 月发现的，2019 年 3 月发布了概念验证攻击。

微软周二释出的二月例行安全更新修复了 99 个漏洞，其中之一是上个月披露的 IE 0day 漏洞。另外 98 个中 11 个漏洞属于高危漏洞。大部分高危漏洞是远程代码执行和内存损坏，位于 IE 脚本引擎、Remote Desktop Protocol 远程桌面协议服务、LNK 文件、Media Foundation 组件中。Adobe 也在同一天释出了多个安全更新修复 Adobe Flash Player 等产品中的漏洞。

Emotet 是最具危险性的恶意程序之一，它能窃取银行账号，安装不同类型的其它恶意程序。最近其运营者被发现开始采用新的方法进行传播：通过相邻的 Wi-Fi 网络。它利用名为 wlanAPI 的 API 收集附近无线网络的 SSID、信号强度、加密方法如 WPA，然后使用一个常用用户名密码组合列表尝试登陆。如果成功登陆，被感染的设备会枚举所有连接到该网络的非隐藏设备，然后使用第二个密码列表去猜测连接设备的凭证。它还会尝试猜共享资源的管理员密码。如果它成功猜出连接设备的密码，那么它就会加载 Emotet 和其它恶意程序。弱密码用户最好修改密码使用强密码。

数十年来，全世界许多国家都依赖于瑞士公司 Crypto AG 制造的加密设备保护通信安全。但它们不知道的是，数十年来，Crypto AG 已被 CIA 和西德的情报机构秘密控制，控制了该公司的情报机构纂改了加密设备使他们能更容易的破解加密信息。《华盛顿邮报》和德国 ZDF 披露，这一行动先后有两个代号，分别为 Thesaurus 和 Rubicon。CIA 在其报告形容这是情报界的世界政变，外国政府甚至花更多的钱购买设备以获得优先权让它们最秘密的通信能被美国和德国阅读。从 1970 年起，CIA 和 NSA 就几乎控制了 Crypto AG 的方方面面，从招聘决策到设计技术、破坏算法和指导销售目标。之后美国和西德的间谍就坐享其成进行监听。在 1979 年人质危机期间他们监视了伊朗的毛拉，马岛战争期间向英国提供阿根廷情报，跟踪了南美独裁者的暗杀行动，抓捕对 1986 年柏林迪斯科舞厅爆炸事件进行庆祝的利比亚官员。它也有限制，苏联以及中国都没用过 Crypto AG 的设备。

安全公司 Sophos 报告，勒索软件 RobbinHood 正采用一种新颖的方法防止其在被感染设备上加密文件的操作被杀毒软件阻止。攻击者首先在受害者的网络内获得立足之地，然后安装合法的 Gigabyte 内核驱动 GDRV.SYS，这个驱动存在漏洞，攻击者能利用漏洞获得内核访问权限，利用内核访问权限攻击者临时禁用了 Windows OS 的驱动签名强制，之后安装恶意内核驱动 RBNL.SYS，使用这个驱动关闭杀毒软件或其它设备上运行的安全产品，执行 RobbinHood 加密文件。

安全公司 Armis 在思科私有的 Layer 2 网络协议 Cisco Discovery Protocol (CDP) 发现 5 个 0day 漏洞，这些漏洞允许远程攻击者完全控制设备，不需要任何用户交互。CDP 被用于发现本地连接的思科设备信息，思科的交换器、路由器、IP 电话和摄像头等几乎所有设备都使用了 CDP，并且默认启用了 CDP，漏洞影响数以百万计的设备。五个漏洞被统称为 CDPwn，其中四个是远程代码执行漏洞，第五个是拒绝服务漏洞。Armis 是在去年 8 月 29 日向思科报告了漏洞。

基于华为海思 SoC 的杭州雄迈数字录像机、网络录像机和网络摄像头设备所用的固件被发现存在漏洞或后门。存在漏洞的设备固件运行的都是 Linux 和一组 busybox 开源工具。busybox 采用的是 GPL 许可证，按许可证要求软件应该都应该提供源代码的，不提供源代码构成了对 GPL 的违反。漏洞设备会与 9530 端口进行通信，经过一系列程序可以激活 telnet daemon，使用硬编码的用户名密码组合如用户名 root 密码 xmhdipc 或 klv123、xc3511、123456、jvbzd 或 hi3518 登陆。

UNIX 和 Linux 操作系统广泛使用的工具 Sudo 又发现了一个高危漏洞，这个漏洞在启用了 pwfeedback 的系统中很容易利用。漏洞编号 CVE-2019-18634，是一个堆栈缓冲溢出 bug，影响 v1.7.1 到 1.8.25p1，能通过管理员权限触发，而在启用了 pwfeedback 的操作系统中，该漏洞让非特权用户很容易通过缓冲溢出获得 root 权限，不需要攻击者有 Sudo 使用权限。在 Sudo 上游版本中，pwfeedback 没有默认启用，但在下游发行版如 Linux Mint 和 Elementary OS 中，pwfeedback 被默认启用了。Ubuntu 不受影响。该漏洞是在 2009 年被引入到 Sudo 中的，直到 2018 年释出的 1.8.26b1，受影响的系统应尽可能快的更新到 1.8.31。

去年 12 月，安全研究员 Ibrahim Balic 披露他利用一个 Twitter Android app 漏洞匹配了 1700 万用户的手机号码。Twitter 的联络人上传功能会在上传通讯录之后返回匹配到的用户数据，也就是你可以知道一个随机生成的手机号码是否属于一位真实用户。现在，Twitter 发出警告，有第三方攻击者使用其官方 API 匹配用户名和手机号码。Twitter 称，它在调查 Ibrahim Balic 披露的安全漏洞期间发现有证据显示另外第三方也在利用该 API 漏洞，攻击者使用的部分 IP 地址与国家支持的黑客有关联。Twitter 表示，这一攻击只影响在设置页启用了“Let people who have your phone number find you on Twitter”的用户，没有提供手机号码的用户也不受影响。

路由器发行版 OpenWrt 披露了一个远程代码执行漏洞，OpenWrt opkg 包中的一个 bug 会导致包管理器忽略库索引嵌入的 SHA-256 校验和，事实上绕过了下载 .ipk 文件的完整性检查。由于 opkg 包以 root 权限运行，对整个文件系统具有读访问权限，意味着 .ipk 包嵌入的恶意负荷能执行任意代码。开发者已经释出了新版本修复了漏洞。

去年 5 月，计算机科学家披露了起名为 ZombieLoad 的 CPU 漏洞，该漏洞影响 2011 年之后发布的几乎所有英特尔处理器。和 Meltdown、Spectre  等漏洞类似，ZombieLoad 利用预测执行，去实现跨线程、权限边界和超线程的数据泄露。芯片巨人先后在去年 5 月 和 11 月释出了两次补丁去修复 Zombieload 漏洞。本周一，英特尔在安全通知中承认之前的修复并不充分，攻击者仍然能利用 Zombieload 泄露数据，它第三次释出了补丁。

ProtonMail 上周公开了旗下的 VPN 客户端 ProtonVPN 的源代码，包括了 Windows、macOS、Android 和 iOS 版本。ProtonMail 称，VPN 服务缺乏透明度和问责，是否有安全认证，是否遵守了隐私保护法律如 GDPR，公开所有应用程序的源代码是理所当然的下一步。ProtonVPN 的程序已经进过了  SEC Consult 的安全审计，Windows 版本的审计报告发现了两个低风险的漏洞；Android 版本发现了 4 个低风险漏洞，其中之一是不安全的登出；iOS 版本发现了 2 个中等风险的漏洞和 2 个低风险漏洞，最严重的漏洞是硬编码凭证和内存中包含有敏感数据。

美国国土安全部对一个 IE 漏洞发出警告，建议 IE 用户切换到 Microsoft Edge 或其它替代浏览器。该漏洞影响运行在 Windows 7、8.1 和 Windows 10 上的 Internet Explorer 9、10 和 11。微软通常要等到下月例行更新时才会释出更新修复漏洞。根据软件巨人的安全警告，这是一个远程代码执行漏洞，与脚本引擎处理 IE 内存中的对象有关，攻击者可以利用该漏洞获得与当前用户相同的用户权限，也就是如果你是以管理员账号登陆，那么攻击者将能控制受影响的系统。微软警告用户不要点击陌生人发送的链接。