卡巴斯基研究人员曝光了一个与乌兹别克斯坦国家安全局有关联的黑客组织，原因是该黑客组织在安装有卡巴斯基杀毒软件的机器上测试恶意程序。乌兹别克斯坦不以网络间谍能力著称，但它的国安局有足够的钱去购买商业间谍软件。卡巴斯基称，乌兹别克斯坦购买了以色列公司 NSO Group 和 Candiru 开发的间谍软件。然而除了有钱外，乌兹别克斯坦的黑客组织看起来缺乏基本的常识。黑客组织不停的购买各种 0day 漏洞，但拿到了储存恶意程序的 U 盘之后他们就将其插到了安装卡巴斯基的机器上，卡巴斯基自动将恶意程序样本上传到了它的服务器上，而上传的域名关联到了国安局。

俄罗斯安全公司卡巴斯基报告，一个从事网络间谍活动的黑客组织通过修改浏览器为 TLS 加密流量加入了可跟踪的指纹。黑客利用远程访问木马 Reductor 感染受害者，修改了系统上的浏览器 Chrome 或 Firefox。这一过程涉及到两步：黑客首先为被感染的主机安装了数字证书，使其能拦截来自主机的任何 TLS 加密流量；其次，他们为系统上安装的 Chrome 或 Firefox 打上了自己的伪随机数生成器。随机数生成器被用于在建立安全连接时产生随机数。黑客利用被修改的随机数生成器为每一个 TLS 连接加入了指纹。被称为 Turla 的组织被认为与俄罗斯政府有关联。

Google Project Zero 安全团队成员披露，攻击者正在利用一个 Android 0day 漏洞完全控制设备，至少有 18 个型号的手机存在该漏洞，其中包括 Google 的 Pixel 1 和 2，华为 P20，小米的红米 5A 和 A1，三星的 S7、S8 和 S9 等。Google 表示即将释出的 Android 10 月安全更新将修复该漏洞。漏洞源于 Linux 内核，早在 2018 年初就被发现并修复，但出于未解释的原因，补丁没有整合进 Android 的安全更新。安全研究人员称，该漏洞正被以色列公司 NSO Group 或其客户利用，而 NSO Group 代表则否认这一说法。

国内 Android 手机通常移除了 Google Service，许多有国际业务的国内厂商实际上有 Google 的授权，因此 Google Service 虽然移除但其存根仍然留在系统中，用户可以使用安装程序或直接下载 Google APK 恢复 Google Service。华为的情况不同。因为今年早些时候美国的出口禁令，华为的新手机无法获得 Google 授权提供 Google Services。然而华为新旗舰手机 Mate 30 Pro 被发现能安装 Google Services，难道华为在系统中悄悄保留了存根？研究人员发现原因并非如此，而是华为提供了未公开的媒体设备管理（MDM）API，允许获得其授权的应用去安装系统应用如 Google Services，而获得华为授权的一个应用叫 LZPlay。在媒体报道之后，LZPlay 使用的证书撤销了，网站和 APK 都消失了，多篇相关报道也删除了(如 IT 之家，但部分转载还在)，原因未知。

密码管理器 LastPass 修复了一个漏洞，该漏洞让一个网站能窃取用户使用 Chrome 或 Opera 扩展上一次登录的凭证。漏洞是 Google Project Zero 研究员 Tavis Ormandy 发现和报告的，与扩展产生弹出窗的方式有关。在某些情况下，网站能通过 HTML iframe 产生与 Lastpass popupfilltab.html 关联的弹出窗，泄漏最近一次访问的网站密码。LastPass 释出了 4.33.0，修复了该漏洞。

2016 年 12 月，俄罗斯黑客对乌克兰电网发动了前所未有的破坏性攻击。在圣诞节前两天，黑客在乌克兰国家电网运营商 Ukrenergo 的网络内植入了恶意程序，在午夜前，他们打开了基辅北部一家输变电站的所有断路器，造成了一次断电事故。但断电只持续了一个小时，Ukrenergo 的操作人员很简单的就恢复了电力供应。俄罗斯黑客如此大费周章只是触发了一个小时的断电？工控系统网络安全公司 Dragos 对恶意程序代码和网络日志的分析（PDF）显示，黑客的野心要大得多，他们试图造成一次持续的破坏，诱发不只是一个小时二十持续数周甚至数个月的断电。

Mozilla 本周宣布，它计划 9 月晚些时候对美国 Firefox 用户逐步默认启用 DNS-over-HTTPS（DoH）。用户发送的 DNS 请求通常是明文发送给 ISP 的 DNS 解析服务器，在不同的网络环境下，明文发送 DNS 请求被认为不安全的，DoH 设计通过 HTTPs 加密向第三方或用户自己搭建的 DNS 服务器发出域名查询请求。该功能对普通用户当然有安全方面的价值，但问题是 Mozilla 选择的合作伙伴是云计算公司 Cloudflare。许多人担心将所有 DNS 流量发送给同一家公司是有风险的。OpenBSD 项目就做出决定，其平台上的 Firefox 浏览器将默认禁用 DoH。

2011 年，英特尔服务器处理器引入了一项新功能去提升性能，它允许网卡等外围设备直接访问 CPU 的最后一级缓存。被称为 DDIO（Data-Direct I/O）的功能通过避开系统主内存而增加了输入/输出带宽，减少延迟和功耗。但研究人员警告称，攻击者能够滥用 DDIO 去获取按键或其它类型的敏感数据。最有可能的攻击场景发生在启用了 DDIO 和远程直接内存访问的数据中心和云端环境，攻击者可利用漏洞从一台服务器窃取另一台服务器和应用服务器之间交换的 SSH 保护的按键数据。研究人员将这种攻击称为 NetCAT。

数以千计的服务器感染了名为 Lilocked (Lilu)的勒索软件。最早的感染是在 7 月中旬报告的，最近两周愈演愈烈，它被认为主要针对的是 Linux 服务器，可能利用旧版本 Exim 软件的漏洞，但还不清楚勒索软件是如何获得服务器的 root 访问的。勒索软件并不加密全盘文件，而只是 HTML、SHTML、JS、CSS、PHP、INI 等文件格式，加密后的文件扩展变为 ".lilocked，感染勒索软件的服务器仍然能正常运行。勒索软件作者留下了名为 #README.lilocked 勒索通知，因此你可以通过 Google 搜索该文件名找到感染了 Lilocked 的服务器，输入 intitle:"index of" "#README.lilocked"返回了 6000 多个结果，安全研究人员称 Lilocked 加密了 6700 多台服务器，许多感染的服务器都被 Google 索引和缓存了。

Exim 邮件服务器再次爆出了高危漏洞，4.92.1 以内的所有版本都受到影响。漏洞存在于处理 TLS 的代码中，如果 Exim 服务器接受 TLS 连接，那么它就有漏洞，权益方法是不提供 TLS，但开发者并不推荐该方法。这是一个远程代码执行漏洞，已有 POC 漏洞利用。

大约 60 万被用于定位儿童或宠物的 GPS 跟踪器被发现使用简单密码如 123456。GPS 跟踪器价格在 25 到 50 美元之间，可以挂在脖子下或放在口袋里。但这些主要由中国公司制造的设备安全性欠缺，很容易被黑客用于监视或修改真正的位置。安全公司 Avast 发现，GPS 跟踪器除了使用相同密码外，还使用明文传输所有数据，允许同一网络的设备监视或修改敏感数据，比如改变 GPS 坐标。研究人员识别的设备默认密码除了 123456，还有 S1、P1、3G 等等。

趋势科技 Zero Day Initiative 的研究人员披露了 Android 操作系统的一个 0day 提权漏洞，允许在受影响设备上已获得低访问权限的攻击者进一步提升权限。漏洞位于捕捉实时视频的 V4L2 驱动中，是在执行操作前未验证对象的存在导致的。安全专家称，已获得 V4L 子系统访问权限的应用或代码可利用该漏洞进行提权。发现漏洞的安全研究人员称在 3 月通知了 Google，6 月 Google 确认漏洞将会修复，但到了 8 月 Google 表示没有进一步的更新。漏洞至今没有修复。

中国黑客组织 APT5 aka Manganese 正以 Fortinet 和 Pulse Secure 的企业级 VPN 服务为攻击目标。根据 FireEye 的报告，APT5 的活动可以追溯到 2007 年，它被认为由多个小组构成，有着不同的策略和基础设施，主要攻击目标是电信公司和科技公司，对卫星通信公司有着特殊兴趣。在 Black Hat 安全会议披露 Fortinet 和 Pulse Secure VPN 产品的漏洞之后，APT5 的一个小组从八月下旬开始扫描和尝试利用这些漏洞。两个产品的漏洞都属于预授权文件读取，允许攻击者在无需授权的情况下从 VPN 服务器获取文件。APT5 试图利用漏洞窃取储存有密码信息的文件，然后利用窃取的信息接管设备。Fortinet 的 Fortigate SSL VPN 和 Pulse Secure 的 SSL VPN 产品都非常流行，其客户包括了财富五百强企业。

Digital Attack Map 的地图显示，香港过去几天成为了 DDoS 攻击的中心。Digital Attack Map 是 Google Ideas 和 Arbor Networks 的合作项目，使用了 Arbor Networks 的 DDoS 攻击数据，Google 的 Big Picture Team 帮助开发和设计了交互式地图，实时可视化展示全球的 DDoS 攻击。

kokerkov 写道 "多年以来，美以联合开发用以攻击伊朗核设施的Stuxnet病毒/恶意软件是如何进入高度安全的伊朗核浓缩工厂的，一直是个挥之不去的谜团。从Yahoo的一篇报道中，我们可以窥见一斑 Stuxnet作为网络战数字武器的鼻祖，其设计目的用来破坏伊朗的核项目。伊朗开始在纳塔兹的铀浓缩工厂开始部署第一批离心机后，Stuxnet于2007年某个时候被释放，揭开了数字化战争的序幕。入侵背后的“信使”，之前从未被公开报道和揭露。根据雅虎新闻的线人，此人是一名被荷兰情报机构招募的特工，在美国情报机构CIA和以色列情报机构摩萨德的命令下行动。

此人是一名被荷兰情报机构AIVD招募的伊朗籍工程师。据4个情报来源称，他给美国开发者提供了纳塔兹工厂系统的关键数据，以此开发针对性的攻击代码。他也提供了通过U盘将Stuxnet偷偷上传至工厂系统的至关重要的内部途径。莫萨德和CIA于2004年请求荷兰协助染指纳塔兹的核工厂，然而三年后才如愿以偿。此人以机械师的身份在纳塔兹工厂工作，最终完成了将数字武器送达目标系统的任务。一名线人说：“荷兰特工是把病毒弄进纳塔兹核工厂中最重要的一环”。 "

Google Project Zero 安全博客披露了被利用了两年多时间的 iOS 漏洞，TechCrunch 则援引消息来源称此事与中国有关。Google 称，今年早些时候，它的安全团队发现了一组遭到入侵的网站利用 iOS 0day 漏洞对网站的访客不加区分的发动水坑攻击。如果成功利用，攻击者会在访客的 iPhone 手机上安装监视程序，这些网站每周大约有数千访客。攻击者使用可五个不同的 iPhone 利用链，组合了 14 个漏洞，其中浏览器 7 个，内核 5 个，还有两个沙盒逃逸，至少 1 个提权利用链属于 0day。研究人员 2 月 1 日通知了苹果，给了苹果 7 天的时间修复。苹果在 2 月 7 日释出了 iOS 12.1.4 修复了漏洞。

福昕 PDF 阅读器和编辑器的开发商福建福昕软通知客户，黑客入侵了它的服务器访问了用户数据。在给受影响客户的邮件通知中，福昕称，未经授权的黑客访问了 My Account 区域，可能访问的用户数据包括了用户名 、电邮地址、企业名称、电话号码、用户账号密码和 IP 地址。它声称信用卡或其它支付信息没有暴露。福昕没有解释泄露的密码是否是加密或加盐还是明文储存，它建议用户下一次登陆时修改密码。

俄罗斯安全研究员发现，当局用于拦截互联网流量的硬件设备向外泄漏了数据。这些设备被称为 SORM，代表 System for Operative Investigative Activities，能记录 IP 地址、MEI 和 IMSI 码、MAC 地址、ICQ 用户名，以及 POP3、SMTP 或 IMAP4 电邮流量中识别的邮件地址。俄罗斯政府要求所有俄罗斯 ISP 和移动电信公司都必须在其数据中心中安装 SORM 设备，允许执法机构连接该设备，设置过滤和记录规则。在上周举行的 Chaos Constructions 安全会议上，俄罗斯研究员 Leonid Evdokimov 称，部分设备会泄漏数据，他发现有 30 个 SORM 设备运行了没有密码保护的 FTP 服务器，其中包含了来自执法行动留下的流量日志。Evdokimov 是在 2018 年 2018 年 4 月发现了这些设备，到上周部分设备仍然敞开着。

法国警方在 Avast 的帮助下接管了一台控制僵尸网络的服务器，远程移除了受害者系统中的恶意程序。Avast 称，它发现了一台指令服务器用于控制挖掘数字货币的恶意程序，它位于法国境内，存在一个设计漏洞能无需受害者运行任何额外代码就能移除恶意程序。该恶意程序被称为 Retadup，主要用于挖掘数字货币门罗币，偶尔也会推送勒索软件和窃取密码的恶意程序，该恶意程序的受害者超过 85 万，主要位于南美洲，秘鲁、委内瑞拉、玻利维亚和墨西哥是感染数量最多的国家。

俄罗斯杀毒软件卡巴斯基报告，一个 Google Play 商店下载量超过一亿的流行应用 CamScanner（或叫 CamScanner — Phone PDF Creator 和 CamScanner-Scanner to scan PDFs）被发现含有恶意模块。CamScanner 是一个合法应用，在大部分时间里没有恶意功能，它靠广告和应用内购买获取收入。但在某个时间情况变了，CamScanner 最近释出的版本包含了含有恶意模块的广告库。卡巴斯基将该模块称为 Trojan-Dropper.AndroidOS.Necro.n。类似的模块此前见于中国造智能手机预装的恶意程序中。该模块定期从开发者指定的服务器上下载加密代码，在设备上解密然后执行。部分 CamScanner 用户已经注意到了该应用的可疑行为，他们在应用页面留言对其他用户发出警告。