2020 年 5 月，一家公司感染了新勒索软件 Zeppelin，更糟糕的是备份数据也被加密了。在两周之后，老板准备屈服按要求支付赎金。这时候他们收到了一个意想不到的电话，一位 FBI 特工告诉他们不要支付赎金，可以联络一家网络安全咨询公司 Unit 221B，他们能破解密码。这家公司的创始人 Lance James 在 Zeppelin 的加密程序中发现了多个漏洞，允许他使用大约 100 台云端服务器在几个小时内暴力破解密钥。Unit 221B 不愿意声张他们的破解能力，因为如果被 Zeppelin 作者知道的话，漏洞会被堵上，破解也就失效了。Unit 221B 帮助数十名受害者避免支付赎金，而结果是 Zeppelin 勒索软件黑帮逐渐停止了活动。现在他们能公开自己的破解方法了。

Elastic Security Labs 发布了其报告《2022 Global Threat Report》，只有 6.2% 的恶意程序是针对 macOS 设备，而针对 Windows 和 Linux 的恶意程序分别占 54.4% 和 39.4%。其中令人意外的是近半数 macOS 恶意程序来自一个应用 MacKeeper，讽刺的是该应用自称零努力就能保护 Mac 干净且安全。但因为该应用拥有广泛的权限，能访问进程和文件，攻击者能滥用它，保护系统安全的应用变成了一种安全风险。MacKeeper 还被指对新手而言难以卸载，很多用户还将其标记为恶意杀毒软件。

赛门铁克的安全研究人员报告黑客组织 Billbug aka Thrip aka Lotus Blossom 使用多种恶意程序入侵一家 CA 机构。CA 机构签发的证书对浏览器和操作系统至关重要，用于证明特定应用和服务器的身份。如果黑客获得了对 CA 机构基础设施的控制权，它可以给自己的恶意程序签名，更容易绕过终端防护。此外还可以冒充信任的网站或拦截加密数据。在入侵该 CA 机构过程中，黑客使用了后门程序如 Hannotog 和 Sagerunex，以及大量合法软件如 AdFind、Winmail、WinRAR、Ping、Tracert、Route、NBTscan、Certutil 和 Port Scanner。

Googe 向一位发现 Pixel 锁屏绕过漏洞的研究人员奖励了七万美元。这个漏洞被称为 CVE-2022-20465，被描述为本地提权漏洞，允许任何人在能访问设备的情况下无需密码解锁 Google Pixel 智能手机。匈牙利研究人员 David Schutz 是无意中发现该漏洞的，他旅行回到家，Pixel 6 只剩下 1% 的电，自动关机时他正在写短信，他赶紧给手机充电重启手机，手机要求输入 Pin 码，但他一时间忘记了...在解锁手机过程中他发现任何接触到 Pixel 手机的人都可以换上自己的 SIM 卡，输入预设恢复代码，绕过操作系统的锁屏保护。他向 Google 报告了漏洞，Google 在本月初释出的安全更新中修复了该漏洞。

澳大利亚内政部长 Clare O’Neil 周日表示政府考虑将向勒索软件黑客支付赎金列为非法行为。澳大利亚最大健康保险公司 Medibank 上个月遭到了勒索软件的攻击，攻击者窃取了近千万用户数据，并按照每位用户数据一美元的价格勒索千万美元。澳大利亚政府官员表示黑客属于俄罗斯的一个有组织犯罪团伙。澳执法机构 Australian Federal Police (AFP)和情报机构 Australian Signals Directorate 之间将设立一个联合组织专门致力于打击网络犯罪。总理  Anthony Albanese 此前表示将竭尽所能限制 Medibank 黑客攻击的影响。

这两个缓解措施均是可被绕过的，VED 目前的版本是基于 LKRG 实现的，检查的完整性与性能的平衡是需要考虑的。更加严密的 msg 是可能的，但是 kprobe 的检查点数量，计算量需要多的多。另外则是虽然这两个缓解措施均可被绕过，但是叠加两者，由于其中的检查是相互交叉的，比方说完整性检查包含的 struct msg_msgseg *next, size_t m_ts，和越界检查。这使得漏洞利用需要依赖于原代码路径来实现堆喷，和更依赖同类型的 object 之间的污染，使得 msg 的漏洞利用困难程度上升。当然这些专门的绕过对资深的内核黑客来说不会是多大的问题。VED 也在探索更加完整并且平衡性能损耗的方案。" 查看全文

微软认为俄罗斯军方情报部门是上个月针对波兰和乌克兰运输物流部门的勒索软件攻击的幕后发起者。发起网络攻击的黑客组织被称为 Sandworm，而微软则将其命名为 Iridium，被认为是最有才华和最具有破坏性的黑客组织之一，被普遍认为得到了俄罗斯军事情报总局的支持。Sandworm 与 2017 年的 NotPetya 网络攻击有关，这次网络攻击在全球造成了百亿美元的损失。Sandworm 还与对乌克兰电网的物理攻击有关。微软上个月称，波兰和乌克兰运输物流部门遭到此前未知的勒索软件 Prestige 的攻击。本周四微软在对该勒索软件的分析取证之后表示，Prestige 与 Iridium 有关联。

澳洲保险公司 Medibank 上个月证实在最近发生的勒索软件攻击中黑客访问了所有客户的个人信息和部分索赔数据，其中包含了它的所有国际学生客户。Medibank 是澳大利亚最大的私营健康保险公司之一。黑客本周四在暗网发表声明，要求以每位客户一美元的费用支付赎金，共有 970 万用户受到影响，赎金将接近 1 千万美元。Medibank CEO David Koczkar 诅咒黑客的行动是可耻的，同时再次向客户道歉，该公司拒绝支付赎金。

联想更新了 25 款笔记本电脑的固件，修复允许攻击者禁用 UEFI Secure Boot 然后安装恶意固件植入永久性后门的漏洞，受影响的笔记本型号包括 ThinkPads、Yoga Slims 和 IdeaPads。UEFI 位于主板的闪存芯片上，它是安全链的首个环节，它被感染了恶意代码是很难检测和移除，它会在系统一次次重新安装之后仍然存在。安全公司 ESET 的研究人员报告了三个漏洞 CVE-2022-3430、CVE-2022-3431 和 CVE-2022-3432。

希腊政府表示将立法禁止销售间谍软件。在这之前，总理 Kyriakos Mitsotakis 的政府被指使用 Cytrox 公司开发的间谍软件 Predator 对数十名知名政治家、记者和商人进行监控。Mitsotakis 周一称这一指控是“最不可信的谎言”，他表示希腊将成为首个制定立法，明确禁止在国内销售此类软件的国家。社会主义反对派领导人 Nikos Androulakis 在今年七月向最高检察官提起诉讼，指控有人尝试用间谍软件入侵其手机。Mitsotakis 否认对黑客攻击知情，表示永远不会批准此类行动。

微软本周二释出了 11 月的例行安全更新，修复了 6 个正被利用的 0day。其中两个 CVE-2022-41040 和 CVE-2022-41082 位于 Exchange 服务器中，属于高危漏洞，黑客组合利用这两个漏洞能在服务器上执行恶意代码。漏洞被统称为 ProxyNotShell，Shodan 搜索显示在漏洞公开之际有大约 22 万个服务器存在该漏洞，微软上个月称使用简体中文的黑客正在利用该漏洞。第三个 0day 是 Windows 高危漏洞 CVE-2022-41128，能被攻击者远程执行恶意代码，它是 Google 的 Threat Analysis Group 安全研究人员发现的。另外两个 0day 属于提权漏洞，其中 CVE-2022-41073 位于微软的打印后台服务中，CVE-2022-41125 位于 Windows CNG Key Isolation Service 中。最后一个 0day CVE-2022-41091 允许黑客创建恶意文件躲避 Mark of the Web。微软本月的安全更新共修复了 68 个漏洞，11 个为高危漏洞。

HardenedVault 写道 "中国，德国和美国的政府部门在关键基础设施供应链安全的推进的方式还是有所不同，美国自从EO 14028以来都是以技术指南为中心，这为企业在技术评估和操作层面提供了参考。欧洲设定了最低的技术要求作为强制性合规，但考虑到其他的合规比如GDPR基于风险合规的因素，企业不达到行业最佳实践的水平下实际上会带来更高的合规风险。中国的策略不同于美国和欧洲，关键信息基础设施安全保护要求中包含了技术范围和目标，具体的实际操作层面应该有其他的技术指南进行参考。在全球高级威胁防护的大趋势下，基础架构及平台固件属于整体防御中核心的环节之一，从上面的公开信息来看也是未来合规的一部分，CISO应该在繁杂的应用安全和边界安全中抽身花一点时间去考虑如何应对未来的各国合规要求，一些不依赖合规驱动的行业比如crypto custody/exchange则需要基于下一代数据中心安全方案这类更激进的策略去面对现在和未来的风险和威胁。"

Python 软件包仓库 PyPI 的自动化风险检测平台发现了数十个新发布的恶意软件包。攻击者拷贝了现有的合法软件包，然后注入恶意的 __import__ 声明，试图植入恶意程序 W4SP Stealer。拷贝合法软件包的好处是因为 PyPI 软件包的登录页是根据 setup.py 和 README.md 生成的，除非仔细检查，恶意软件包的登录页乍一看会被认为是合法的。攻击者使用了有意思的策略防止开发者在阅读代码时发现注入的恶意声明，方法是在代码中留了大量的空格，在编辑器的显示窗口上你需要拉到最右边才可能发现恶意注入。正常声明和恶意声明之间留了 318 个空格。

匿名读者 写道 "智利时间十月 29 日早晨 6:14，阿塔卡马亚毫米波干涉阵望远镜遭受严重网络攻击。阿塔卡马大型毫米波/亚毫米波干涉阵望远镜（ALMA）是世界上规模最大，海拔最高，最灵敏的毫米波/亚毫米波干涉阵，位于智利的阿塔卡马沙漠。ALMA 也是目前国际上投入最多的地面望远镜，由 66 个观测天线组成。攻击造成 ALMA 停止科学观测，位于智利的网站全部下线。攻击并为造成天线或观测数据库受损，且目前网络威胁已得到控制。但 ALMA 仍未恢复正常运行。"

备受瞩目的 OpenSSL 3 漏洞补丁释出，漏洞等级从之前被认为与 Heartbleed 漏洞相当的“高危”降为“高”。最新释出的 OpenSSL version 3.0.7 修复了两个缓冲溢出漏洞 CVE-2022-37786 和 CVE-2022-3602，两个漏洞影响所有 OpenSSL 3.x 系列版本，但不太可能导致远程代码执行。包括 Fedora 在内的 Linux 发行版因该漏洞而推迟发布。在所有 OpenSSL 版本中，OpenSSL 1.1.1 仍然处于长期支持阶段，OpenSSL 3.x 的普及度还不高。

北非的一家小零售商，北美的一家电信供应商，两个不同宗教组织。它们有什么共同点？它们都运行着有配置问题的微软服务器，被用于放大 DDoS 攻击。DDoS 放大攻击非常受网络罪犯的欢迎，它可以大幅减少发动攻击所需的计算资源。最早的放大攻击是利用错误配置的 DNS 服务器，能将攻击流量放大 54 倍。最新的这起放大攻击利用的是衍生自微软的 Connectionless Lightweight Directory Access Protocol（CLDAP）协议，使用 UDP 数据包。DDoS 攻击者从 2017 年开始利用该协议将攻击流量放大 56-70 倍。当时暴露在公网中有 CLDAP 服务器有数万台。安全研究人员跟踪了其中 4 台服务器，发现最具破坏性的一台属于身份未知的宗教组织，从 7 月到 9 月，它四次产生的攻击流量超过 10Gbps，一次接近 17Gbps。

内部文件泄露了伊朗是如何跟踪和控制抗议者的手机的。伊朗使用名叫 SIAM 的蜂窝网络计算机系统，为手机运营商提供了一系列远程命令去改变、破坏和监视客户如何使用其手机。这些工具可以减缓网络连接速度，破解呼叫加密、跟踪个人或大群体的移动，提供了详细的元数据揭示谁何时何地和谁通话。SIAM 的内部文件来自于手机运营商 Ariantel，由一位自称入侵了 Ariantel 公司的黑客提供，鉴于目前正在发生的抗议活动，这位黑客认为公开文件符合公众利益。

VMware 修补了一个影响其 VMware Cloud Foundation 和 NSX Manager 产品的高危漏洞，该漏洞允许未经授权的黑客以最高的系统权限执行恶意代码。该漏洞编号为 CVE-2021-39144，危险等级 9.8/10，存在于 Cloud Foundation 个 NSX Manager 依赖的 XStream 开源库中，因为危险是如此之高，VMware 不同寻常的为不再支持的版本发布了补丁。该漏洞是由 Source Incite 的安全研究员 Sina Kheirkhah 和 Steven Seeley 发现的，他们同时发布了漏洞利用的 POC 代码。

Google 释出了紧急更新修复了一个正被利用的 Chrome 桌面浏览器 0day。该高危漏洞编号为 CVE-2022-3723，位于 Chrome V8 Javascript 引擎中，属于类型混淆漏洞。Avast 的安全研究人员向 Google 报告了这一漏洞。Google 没有披露漏洞细节，它建议用户立即更新到版本 107.0.5304.87/88。它要等待大部分用户都更新之后才会披露细节。这是今年内 Google 修复的第 7 个 0day——前 6 个是 2 月 14 日的 CVE-2022-0609、3 月 25 日的 CVE-2022-1096、4 月 14 日的 CVE-2022-1364、7 月 4  日的 CVE-2022-2294 、8 月 17 日的 CVE-2022-2856 和 9 月 2 日的 CVE-2022-3075。

UC Irvine 的三位研究人员在 arXiv 上发表了一篇预印本，描述了一种扩散致命病原体的新颖攻击。为了防止致命病原体泄露，生物实验室或传染病控制医院会要求使用名为负压室（Negative Pressure Room 或 简写 NPR）的设备，其内部维持负压，将微生物控制在 NPR 内部。实验室或医院会使用差压传感器（DPS）去监视和控制 NPR 的负压。研究人员报告，他们可以利用流行音乐在 DPS 中制造共振导致其读数超标，使其负压变成正压，导致潜在致命的病原体从 NPR 设备中泄露出来。研究人员在一个未具名的生物研究机构演示了他们的攻击。