自称 Doomed 的黑客接受《连线》采访，披露通过 SIM swapping 的方法劫持了保守派名人 Matt Walsh 的 Twitter 账号，发布一系列帖子去挑起争议和制造混乱。SIM swapping 是美国最近几年非常流行的社交工程方法，通过欺骗移动运营商的雇员将受害者的手机号码转到黑客控制的SIM 卡。Walsh 主持了以其名字命名的 Daily Wire 播客，曾形容自己是“神权法西斯主义者（theocratic fascist）”，认为动漫是“邪恶的”，热衷煽动对 LGBTQ 社区的攻击，称 16 岁女孩“生育能力最强（most fertile）”。Doomed 还劫持了 Walsh 的微软和 Google 账号，他表示自己的动机是无聊找乐趣。在报道发表之后，Twitter 以传播黑客泄露材料的理由永久封杀了该报道的记者 Dell Cameron（这位记者有 Mastodon 账号 dell@journa.host）。

Shawn the R0ck 写道： 私钥一直是安全保护的核心目标。由于密钥槽的限制，大多数加密货币硬件钱包使用 MCU 芯片（如 STM32F205RE）进行实现，以便能使用secure element存储和支持更广泛的加密货币种类，然而，那些对保护私钥有更高安全要求的人通常会对 Java 卡感兴趣，因为Java Card基本上是具有加密算法硬件实现的智能卡。私钥或对称密钥无法从中提取。用户只能从 Java 卡获得加密操作的结果，另外一点是已经使用通信参数初始化但尚未加载应用程序（applet）的 Java 卡是可由用户编程的，而且有一些以 Java 卡 applet 形式实现的各种功能的自由开源软件项目。即使Java Card作为HSM（硬件安全模块）的安全性高于常见加密货币硬件钱包的实现，但依然有安全风险，HardenedVault介绍了两个典型的漏洞，这些漏洞位于更底层的JCRE（Java Card运行时环境），虽然不会导致私钥被泄露，但会导致应用程序陷入无法恢复的错误。一旦出现这种问题，卡中的私钥就可能会丢失。智能卡作为 HSM 的实现比基于 MCU 的解决方案（几乎所有硬件钱包都采用了这种方案）更加安全，但仍存在某些安全风险。甚至获得 EAL 5+ 认证的硬件钱包也有被攻击的记录。因此，在系统安全方面，我们仍需要坚持纵深防御的策略。另一方面，透明度很重要，开源是确保 HSM 的整个运行环境能够得到适当审计的唯一途径。对于 Java 卡，我们希望未来能够拥有一个自由开源且可更新的 JCRE。或者某种功能上类似于 Java 卡但可以用 C 语言编程的 HSM（对不起，我们不想使用 Rust，因为我们已经有了现代的缓解和检测器，Rust 对此来说有些生锈了，不是吗？），甚至可以直接使用通用计算（如可信计算、运行时保护、攻击面缩小等）实现。

上个月一架澳大利亚军方的 MRH-90 Taipan 直升机在例行的反恐海上演习中失去动力坠落，直升机迫降在海滩上，有两名士兵在事故中受轻伤。MRH-90 是老旧的欧制直升机，即将退役，被美制黑鹰取代。在调查期间军方停飞了所有 47 架 MRH-90 直升机。据匿名军方消息来源称，事故原因被认为是直升机未能打上重要软件补丁。软件补丁将防止飞行员对发动机热启动——也就是发动机关闭再重启动，MRH-90 的设计不允许这么做，它的安全程序要求在飞行结束时引擎空转直至关闭。防止热启动的软件补丁早就存在许多年，但很多 MRH-90 并没有打上补丁。

Google Chrome 释出紧急更新修复了一个正被利用的 0day。编号为 CVE-2023-2033 的漏洞是 Google 旗下 Threat Analysis Group (TAG)的安全研究员 Clément Lecigne 报告的，存在于浏览器使用的 JS 引擎 V8 中，属于类型混淆漏洞。类型混淆允许错误类型的数据访问内存，允许对内存非法读写。Google 称攻击者可通过创建 HTML 页面去利用漏洞。该漏洞被归类为高危级。

数据存储巨头西部数据本月初证实它在 3 月 26 日遭到入侵，但没有透露更多信息。现在参与发动此次攻击的一名黑客公开接受采访，披露了更多相关信息。黑客称他们从西部数据窃取到了大约 10 TB 数据，正在与西数谈判至少八位数的赎金。作为证据，黑客分享了一份使用西数证书签名的文件，证明他们现在能冒充西数给文件签名。黑客还分享了西数高管未公开的电话号码，以及一张高管们开电话会议的截图——其中一位参与者是西数的首席信息安全官。黑客表示他们入侵的目的是获利，因此没有用勒索软件加密西数的文件，如果西数拒绝或不理睬他们的要求，他们将会公开西数的数据。

微软周二释出了四月例行安全更新，修复了 Windows 操作系统和其它软件的 100 个漏洞，其中包括一个正被利用的 0day 漏洞。苹果也几乎同一时间释出了一组更新，修复了 2 个正被用于攻击 iPhones、iPads 和 Macs 的 0day 漏洞。微软修复的 0day 编号为 CVE-2023-28252，位于 Windows Common Log System File System (CLFS) 驱动中，微软在两个月前修复了同一个组件中的一个类似 0day 漏洞。安全专家猜测是因为之前的补丁没有完全堵上漏洞，攻击者能找到方法绕过。该漏洞正被用于部署 Nokoyawa 勒索软件。

多伦多大学公民实验室和微软发表研究报告，披露了以色列间谍软件公司 QuaDream 利用零点击漏洞入侵 iPhone。该公司使用 Reign 的名字销售间谍软件，类似另一家以色列间谍软件公司 NSO Group 的 Pegasus，QuaDream 也利用了零点击漏洞。研究人员发现攻击者利用零点击漏洞在 iOS 14.4 和 14.4.2 等版本上部署了 QuaDream 的间谍软件。该漏洞被称为 ENDOFDAYS，通过向受害者发送看不见的 iCloud 日历邀请利用。QuaDream 的政府客户包括新加坡、沙特、墨西哥和加纳，研究人员的扫描在保加利亚、捷克、匈牙利、加纳、以色列、墨西哥、罗马尼亚、新加坡、阿联酋和乌兹别克斯坦发现了 QuaDream 的系统。受害者包括记者、政治反对派人士和一名 NGO 工作人员。

在一个勒索软件黑帮声称盗窃到源代码之后，微星承认遭到网络攻击数据被盗，但该公司没有提供更多细节。微星在一份声明中呼吁用户不要从第三方网站下载它的固件/BIOS 更新，只从它的官方网站下载。这一声明显示微星担心黑客会传播恶意版本的固件。此前自称 Money Message 的新勒索软件组织声称从微星窃取到了源代码，其中包括 BIOS 框架。Money Message 要求微星支付 400 万美元赎金，否则将会在下周泄露窃取的数据。

数据存储巨头西部数据证实它在 3 月 26 日遭到入侵，黑客从其系统中盗取了数据。西部数据没有披露更多细节，但根据它发表的声明此次攻击可能与勒索软件有关。西部数据表示它正采取措施确保业务正常运营，恢复受影响的基础设施和服务，正与安全公司合作展开调查，并通报了执法部门。西数 NAS 服务 My Cloud 的用户则报告他们无法访问云端的媒体库。

VoIP 软件服务商 3CX 遭朝鲜黑客组织 Lazarus Group 入侵，黑客通过恶意版本 3CX 应用对其客户发动了供应链攻击。安全公司卡巴斯基报告，部分使用 3CX 的加密货币公司被精准植入了后门 Gopuram。Gopuram 是一种模块化的后门，可用于操作 Windows 注册表和服务，执行文件时间戳信息修改以逃避检测，注入恶意负荷到已运行进程，使用开源的 Kernel Driver Utility 加载未签名 Windows 驱动等等。卡巴斯基称，攻击者在不到 10 台被感染的机器上植入了 Gopuram，他们观察到攻击者对加密货币公司有着特殊的兴趣。

VoiP 软件提供商 3CX 遭遇了一次供应链攻击，该公司 CEO Nick Galea 称收到警告之后他的团队测试了产品，没发现问题，认为是一次误报。几天后又检查了一下，结果相同。他表示公司并没有无视警告。直到安全公司 Crowdstrike 提供了完整细节之后 3CX 才认识到这次入侵的规模。他表示响应供应链攻击是非常困难的。3CX 的日活用户高达 1200 万，包括知名公司如奔驰、麦当劳、宝马、假日酒店、NHS、美国运通、可口可乐和法国航空。对于这次供应链攻击，3CX 免费延长了客户三个月服务。

黑客正在利用一个广泛使用的 WordPress 插件的高危漏洞。Elementor Pro 是 WordPress 页面生成器插件，允许用户在不需要了解代码的情况下构建一个专业级的网站，它的安装量高达 1100 万。NinTechNet 研究员 Jerome Bruandet 在 2023 年 3 月 18 日发现了该漏洞，他在上周公开了漏洞细节。当该插件与电子商务生成器 WooCommerce 一起安装时，网站成员或电商客户可以利用该漏洞改变网站设置，甚至完全接管网站。漏洞影响 v3.11.6 及之前版本。

朝鲜黑客通过广泛使用的 VoIP 客户端 3CX 对其用户发动了供应链攻击。黑客采用的方法目前还不清楚，但他们设法传播了含有恶意功能的 3CX Windows 和 macOS 客户端，使用了官方的有效密钥进行签名，还通过了苹果的安全检查。受影响的版本包括：Windows 下有 18.12.407 和 18.12.416；macOS 下有 18.11.1213、18.12.402、18.12.407 和 18.12.416。任何使用 3CX 的企业或组织都应该立即检查其网络寻找是否有入侵迹象。3CX 有逾 60 万客户，其中包括美国运通、奔驰和普华永道等知名公司。黑客的入侵准备活动至少是从 2022 年 2 月就开始了，当时他们注册了一系列相关域名。本周安全软件开始检测到来自 3CX 客户端的恶意活动，这次供应链攻击才曝光。对恶意版本的分析显示，它包含了干净版本的 3CX 应用，通过 DLL Sideloading 的方法加入恶意功能。

Twitter 上周披露它的部分源代码被人在今年初上传到 GitHub。上周五 Twitter 向北加州地区法院递交申请，要求法庭签发传票强迫 GitHub 披露源代码上传者 FreeSpeechEnthusiast 的身份。本周二法庭书记员签署了传票，GitHub 需要在 4 月 3 日前提供上传者所有的身份信息，包括 FreeSpeechEnthusiast 相关的姓名、地址、电话号码、电邮地址、社媒档案数据和 IP 地址。GitHub 还被要求提供 FreeSpeechEnthusiast 所上传代码仓库中发布、上传、下载或修改数据的用户的相同类型的信息。

Google Threat Analysis Group (TAG) 安全团队多年来一直跟踪间谍软件供应商的活动。它跟踪了逾三十家公司，认为这些间谍软件的开发商推动了黑客工具的扩散，让内部缺乏技术能力的政府能利用先进的黑客工具去监视持不同政见者、记者、人权活动人士和反对党政客。间谍软件供应商组合利用 0day 和 Nday 漏洞去攻击流行平台，它们囤积了已知和未知的漏洞，利用了已知漏洞及其修复补丁推送到终端用户的时间差。Google 安全研究人员根据其活动认为，间谍软件开发商之间在分享漏洞和技术，加速了危险黑客工具的扩散。

俄罗斯安全公司卡巴斯基报告了针对俄罗斯和东欧等俄语用户的木马版 Tor 浏览器，浏览器植入了剪切板恶意程序，设计窃取用户的加密钱包。俄罗斯在 2021 年底屏蔽了 Tor 网站，因此给嵌入了恶意程序的修改版 Tor 浏览器留出了空间。俄罗斯用户占到了 Tor 浏览器全球用户的 15%。 Tor 浏览器被用于访问暗网，也被加密货币用户广泛使用。卡巴斯基表示此类的攻击并不具有新意，但受影响用户仍然很多。

被认为来自南亚的黑客组织 Bitter APT 最近正以中国核能机构为攻击目标。安全公司 Intezer 报告，在最近的行动中，Bitter APT 伪装成吉尔吉斯斯坦驻北京大使馆向中国核能公司和该领域的学者发送钓鱼邮件，邀请他们参加吉尔吉斯斯坦大使馆等主办的一个核能会议。邮件签名者是真实存在的，是吉尔吉斯斯坦外交部的一名官员。但邮件附件是恶意的，会执行一系列行动释放恶意负荷。

俄罗斯在 2022 年逮捕了多名知名的 Telegram 用户，调查显示国有的俄罗斯国家工业和科技集团公司(Rostec)旗下的一家公司开发了名为 "Okhotnik" (Охотник) 的系统，利用了逾 800 个数据点建立关联去匿名化 Telegram 用户的身份。这些数据点来自社交网络、博客、论坛、即时通讯工具、BBS、加密货币区块链、暗网以及政府服务，包括姓名、昵称、电邮地址、网站、域名、加密钱包、加密密钥、电话号码、地理位置信息、IP地址等。Okhotnik 可以找到目标用户过去任何时候犯下的任何错误去实现去匿名化。

根据 FTC 的数据，2022 年美国因恋爱骗局造成的损失高达 13 亿美元。FBI 波特兰办公室的负责人认为，科技让人产生了虚假的信任感。The Verge 的一篇报道讲述了一位 32 岁、曾从事过 SEO 工作的百万富翁的故事。他最近与妻子离异，因此注册了约会应用 Tinder 寻找约会对象。他在上面与一位神秘女子配对，两人开始约会。这位女子发出了一系列令人警惕的信息，询问他如何支付约会费用，他说用信用卡。对方问能不能用现金。他说可以。她还问他驾驶什么型号的汽车。一辆路虎。结果可想而知。他经历了一次持枪抢劫汽车的遭遇。路虎被人抢走了。

最大的源代码托管平台 GitHub 宣布更换其 SSH 密钥。原因是本周早些时候，它发现 GitHub.com 的 RSA SSH 私钥在一个公开的库内短暂暴露。它立即采取了行动并展开了调查。问题并不是任何 GitHub 系统被入侵或客户信息泄露的结果，它认为问题是疏忽大意，认为没有证据表明曝光的密钥遭到了滥用，出于谨慎考虑它更换了密钥。