以色列网络安全公司 JSOF 的研究人员在一个广泛使用的底层 TCP/IP 库中发现了一系列 0day 漏洞，这些漏洞被统称 Ripple20 ，影响高达数亿的设备，包括大量的物联网设备，如电网设备、医疗系统、工业设备等等。这个 TCP/IP 库由软件公司 Treck 开发，它最早是在 1997 年发布的，实现了一个轻量级的 TCP/IP 堆栈，在二十多年里被企业广泛用于实现联网功能。JSOF 团队在这个库里发现了 19 个漏洞，可用于提权、拒绝攻击和信息泄露。受影响的财富 500 强企业包括惠普、施耐德、英特尔、罗克韦尔、卡特彼勒和巴克斯特。

2017 年，Wikileaks 披露了代号为 Vault 7 的 CIA 黑客工具集。Vault 7 包含了感染 iPhone、Wi-Fi 路由器和思科网关等设备的漏洞利用和文档，被认为是 CIA 历史上已知最大规模的机密信息泄漏。美国参议员 Ron Wyden 从司法部获得了编辑过的一份内部调查报告，报告称 CIA 的团队未能确保本机构系统的安全。报告来自于 CIA 的 WikiLeaks 工作组，称如果没有 Wikileaks 的泄露，他们可能还不知情。报告称，CIA 反应太迟钝，绝大部分敏感的网络攻击工具都没有隔离，用户共享系统管理员级别的账号，历史数据都不受限制的提供。CIA 的黑客团队面临压力寻找商业软件的漏洞，而在自身的安全实践上很懒散。泄露这些机密的被认为是其雇员 Joshua A. Schulte，但 Schulte 至今没有认罪，他的律师辩解称，CIA 的网络安全是如此松懈，以至于几乎任何一个人都能像 Schulte 访问相同的信息。

南非邮局的银行分支 Postbank 因欺诈性交易损失了 320 万美元，在雇员盗走其主密钥后它必须为客户更换 1200 万张银行卡。事故发生在 2018 年 12 月，有雇员将主密钥打印在一张纸上。主密钥为 32 位数字代码，可用于解密银行业务，访问和修改银行系统，生成客户卡的密钥。当地媒体报道称，2019 年 3 月 到 12 月之间，其雇员利用主密钥登录系统，进行了 2.5 万笔欺诈交易，从客户账上窃取了超过 320 万美元。更换客户银行卡预计还会让其损失 5800 万美元。

密歇根州立大学、加州旧金山和芝加哥哥伦比亚学院最近成为了勒索软件 NetWalker 的攻击目标，攻击者窃取了学校的敏感信息，要求学校在 6 天内支付赎金，否则会将敏感信息在暗网上公开。密歇根州立大学已经公开声明不会向攻击者支付赎金，而攻击者据报道已经开始在暗网报复性的披露敏感信息。密歇根州立的代理首席信息官 Dan Ayala 表示，付钱给罪犯只会促使他们的罪行继续下去。加州旧金山和芝加哥哥伦比亚可能支付了赎金，它们的信息已经从 NetWalker 网站上移除。两所学校尚未对此发表声明。

新的 CPU 漏洞又来了，又是与预测执行机制有关，又是主要影响英特尔处理器。Linux 内核主线刚刚合并了补丁或微码去缓解“特定寄存器缓冲器数据采样（Special Register Buffer Data Sampling或 SRBDS）”漏洞影响。Spectre、Meltdown 等预测执行攻击的补丁主要是应用于核心内部，新的漏洞允许攻击者跨核心泄露敏感信息。被称为 CrossTalk 的攻击允许攻击者控制一个 CPU 核心的代码执行，去泄露不同核心上的软件执行敏感数据。Phoronix 测试了微码对 RdRand 性能的影响，结果显示性能下跌达到了惊人的 97%，打了微码之后的 RdRand 得分只有原来的 3%。

DopplePaymer 勒索软件背后的攻击者声称入侵了 NASA 一家承包商的网络。这家叫 Digital Management Inc. 的公司主要提供 IT 和网络安全服务，NASA 是其客户。DopplePaymer 在暗网上公布了 20 个存档文件，从 HR 文件到项目方案，雇员的信息与 LinkedIn 上的公开记录相吻合。披露这些文件旨在迫使受害者支付赎金，如果受害者不在截止日期前交钱勒索软件攻击者会披露更多文件进行报复。

为迫使受害者支付赎金，勒索软件攻击者宣布拍卖受害者的机密数据。勒索软件 REvil、Sodin 和 Sodinokibi 背后的犯罪分子通过其维护的暗网网站 Happy Blog 启动了拍卖流程。以前勒索软件攻击者为了迫使受害者支付赎金会选择性的披露部分窃取的数据。可能是早先的策略效果不佳，攻击者试图通过拍卖对受害者施加更大的压力。Happy Blog 目前拍卖的数据来自于两家公司，其一是食品销售商，另一家是加拿大的农作物生产商。

卡内基梅隆大学安全与隐私研究所的研究人员发现，在账号泄露之后只有很少一部分用户会去更换密码。这一结果不是基于调查数据而是真实的用户浏览器流量。这项研究采用了卡内基梅隆大学 Security Behavior Observatory (SBO)项目收集的用户数据，出于学术研究的目的，用户自愿选择分享完整的浏览器流量。数据是在 2017 年 1 月到 2018 年 12 月之间收集的，除了 Web 流量外还有登陆网站的密码以及储存在浏览器内的密码。在数据收集期间，249 名用户中有 63 名用户有账号泄露，而这 63 名用户只有 21 名用户访问了发生账号泄露的网站去修改密码，而这 21 名用户中有 15 名是在发生账号泄露 3 个月内修改的。

加密消息应用 Signal 备受英国保守党议员的欢迎。Signal 的一个受欢迎的功能是它可用设定在消息阅读五秒钟或一周之后自动在接受者设备上删除。端对端加密的性质意味着自动删除的消息将会永久消失，即使有法官的命令也无法恢复。这就引发了有关《信息自由法案（FOIA）》的争议。在递交信息披露申请之后手动删除信息是违法的，但如果记录已经删除，或者在信息披露申请之后自动删除，那么这并没有违反法律。未来的历史学家如何想调查英国政府如何应对疫情，他们可能会看到一个标记为 Signal 的空盒子。

GitHub 安全博客警告了针对的 Apache NetBeans IDE 项目的开源供应链攻击 Octopus Scanner。GitHub 称它在 3 月 9 日收到了被称为 JJ 的安全研究人员发来的警告，称发现一组感染了恶意程序 Octopus Scanner 的开源库。一旦感染，恶意程序会寻找用户开发系统上的 NetBeans 项目，然后将恶意负荷嵌入到项目文件中，每次项目构建都会执行恶意负荷。GitHub 随后展开了调查，发现了 26 个开源项目被植入了 Octopus Scanner 后门。GitHub 称，他们向 VirusTotal 上传了样本，60 个杀毒软件只有 4 个能将其检测出来。恶意程序伪装成 ocs.txt 文件，但实际上是一个 JAR（Java Archive）文件。

思科披露六台用于提供 VPN 服务的服务器遭黑客入侵，攻击者利用了 4 月底公开的 Salt 组件漏洞。思科的 Virtual Internet Routing Lab Personal Edition (VIRL-PE) 和 Cisco Modeling Labs Corporate Edition 都整合了 Salt 管理框架，而 Salt 在四月底披露了两个高危漏洞——目录遍历和身份验证绕过，两个漏洞组合允许未经授权访问整个服务器文件系统。思科在 5 月 7 日部署服务器时没有整合补丁，同一天它的服务器遭到了黑客入侵，然后同一天它把相关服务器都下线了。

趋势科技从其网站移除了检测 rootkit 的程序 Rootkit Buster 的下载，随后该程序的核心驱动 tmcomm.sys 被微软加入到了屏蔽列表，意味着 Windows 10 将阻止驱动加载和 Rootkit Buster 运行。安全研究人员的调查发现，tmcomm.sys 改变了分配内存的方式以通过微软的 Windows Hardware Quality Labs (WHQL)的认证测试。出于安全理由，驱动程序只能从操作系统可用内存的不可执行未分页内存池请求分配内存。此举将能限制攻击者利用漏洞向驱动的内存分配注入恶意代码。Rootkit Buster 的驱动被发现如果检测到是在进行 WHQL 测试，它会改变内存分配方式，从不可执行未分页内存池请求内存；如果检测到不是进行测试，它会从可执行未分页内存池请求内存。这种方式是不安全的，会导致不能通过 WHQL 测试。为什么不始终从不可执行未分页内存池请求内存？趋势科技没有给出明确解释。

奇虎安全研究人员报告，双枪恶意程序的僵尸网络利用国内的常用服务进行管理。该僵尸网络的数量超过了 10 万。研究人员观察到双枪恶意程序使用百度贴吧图片来分发配置文件和恶意软件，使用了阿里云存储来托管配置文件，利用百度统计管理感染主机的活跃情况，恶意程序样本中还多次发现了腾讯微云的 URL 地址。它第一次将 BAT 三大厂商的服务集成到了自己的程序中。百度已经采取行动阻断恶意代码下载链接。

可能是为了防止遭到黑客入侵的计算机被用于进行欺诈性购买，eBay 网站会使用脚本扫描访问者计算机的 14 个不同端口，寻找远程访问程序。大部分被扫描的端口与常用的远程访问工具 Windows Remote Desktop、VNC、TeamViewer、Ammy Admin 等相关。2016 年有报告称，攻击者使用远程访问工具 TeamViewer 控制了受害者的计算机，然后在 eBay 网站上进行大量的欺诈性购买。

安全公司 ESET 的研究人员披露了俄罗斯国家支持黑客组织 Turla 发动的最新攻击。攻击发生在今年 1 月，三个目标分别是国家议会和外交部，黑客部署了新版的 ComRAT 恶意程序。旧版的 ComRAT 曾在 2008 年用于从五角大楼网络窃取数据。ComRAT 的最新版本是 v4，研究人员观察到了 ComRAT v4 的新变种包含了两项新功能：收集杀毒软件的日志和使用 Gmail 收件箱控制恶意程序。安全研究人员认为，黑客收集杀毒软件日志是为了更好的理解对其恶意程序的检测。如果程序被检测出来，他们可以进行调整以躲避检测。

Chromium 项目报告，它七成的严重安全 bug 属于内存安全问题，因此它的下一个项目将是在源头阻止此类 bug。对 2015 年之后发现的 912 个高危级安全 bug 的分析发现，七成为内存不安全问题，如 C/C++ 指针错误，其中一半是使用后释放 bug。这些 bug 遍及整个代码库，非安全性的 bug 很大一部分其根源也是内存安全问题。Chromium 项目称它的沙盒机制在设计时就考虑了此类 Bug 的存在，但现在沙盒和网站隔离机制已经达到其能力的极限。他们现在考虑的一个方案是使用现有的更安全的语言如 Rust 和 Swift 等。

上个月安全公司 QuoIntelligence 报告，中国黑客组织 Winnti (aka APT41、BARIUM、Blackfly)尝试入侵《仙境传说》开发商韩国重力社的内部网络。Winnti 被认为是恶意版 CCleaner 的幕后攻击者。安全公司 ESET 本周四披露了 Winnti 对网游公司发动攻击的更多细节。安全研究人员称，Winnti 攻击了韩国和台湾的多个热门网游开发商，在其中一个案例中，攻击者入侵了受害者的构建系统，发动了供应链攻击，将游戏可执行文件变成了木马。在另一个案例中，攻击者入侵了游戏服务器，操纵游戏内虚拟货币以获得经济利益。在 2018 年的一次攻击中， Winnti 窃取了 Nfinity Games 的软件证书，该证书直到 ESET 警告其滥用之后才被撤销。

德国和法国的研究人员在预印本网站 arXiv 上发表论文（PDF），分析了过去几年发生的开源软件供应链攻击。软件供应链攻击有两类：其一是在软件产品中植入恶意代码去感染终端用户，此类攻击的一个著名例子是发生在乌克兰的 NotPetya 勒索软件攻击，攻击者入侵了乌克兰流行会计软件的更新服务器释出了恶意更新，这次攻击造成了数十亿美元的损失，是已知最具破坏性的网络攻击之一。另一个例子是 CCleaner 的恶意版本通过官网传播给终端用户，它在长达一个多月时间里被下载了 230 万次。另一类软件供应链攻击是向软件产品的依赖包植入恶意代码。随着开源软件开发模式的流行，此类的攻击日益常见。研究人员分析了 npm、PyPI 和 RubyGems 软件包管理系统发现的 174 个恶意依赖包，他们发现 56% 的软件包在安装时触发恶意行为，41% 使用额外的条件去判断是否运行。61% 的恶意软件包利用了名字相似性向开源生态系统植入恶意包。攻击者的主要目的是析取数据。

DNS 解析程序的一个漏洞允许攻击者通过封包放大创造拒绝服务条件。该漏洞被称为 NXNSAttack。攻击者滥用了 DNS 委托机制，它发送的委托只包含权威 DNS 服务器的名字但不包含其 IP 地址。DNS 解析程序不能向“名字”发送域名查询，因此解析器首先需要获得权威 DNS 服务器的 IPv4 或 IPv6 地址，之后才能继续查询域名。NXNSAttack 就是基于这一原理，攻击者发送的委托包含了假的权威服务器名字，指向受害者的 DNS 服务器，迫使解析程序对受害者的 DNS 服务器生成查询。一次查询会被放大数十次乃至数百次，对受害者服务器发动了拒绝服务攻击。众多 DNS 软件都受到影响，其中包括 ISC BIND (CVE-2020-8616)、NLnet labs Unbound (CVE-2020-12662)、PowerDNS (CVE-2020-10995)、 CZ.NIC Knot Resolver (CVE-2020-12667)、Cloudflare、Google、Amazon、Microsoft、Oracle(DYN)、Verisign、IBM Quad9 和 ICANN。细节可查阅论文。

乌克兰安全部门宣布逮捕黑客 Sanix（a.k.a.“Sanixer“)，称他们在其计算机上找到的记录显示他出售各种数据库，包括登陆凭证、电邮收件箱、银行卡的 PIN 码，数字货币钱包，PayPal 账号和漏洞信息。Sanix 因在去年一月出售容量超过 87GB 的数据库 Collection #1 为闻名，其中包含了 7.73 亿电子邮件地址和 2122 万个唯一密码。但该数据库并不是近期泄露的，而是几年前泄露用户账号信息整理而来。Sanix 在接受采访时承认了这一点，表示手中还有较新的泄露账号信息，总容量超过 4TB。Sanix 不是什么犯罪大师，他留下了很多线索可以跟踪到其真实身份。在被捕前，网上记录显示他在忙碌的兜售窃取的各种用户信息数据库。