北非的一家小零售商，北美的一家电信供应商，两个不同宗教组织。它们有什么共同点？它们都运行着有配置问题的微软服务器，被用于放大 DDoS 攻击。DDoS 放大攻击非常受网络罪犯的欢迎，它可以大幅减少发动攻击所需的计算资源。最早的放大攻击是利用错误配置的 DNS 服务器，能将攻击流量放大 54 倍。最新的这起放大攻击利用的是衍生自微软的 Connectionless Lightweight Directory Access Protocol（CLDAP）协议，使用 UDP 数据包。DDoS 攻击者从 2017 年开始利用该协议将攻击流量放大 56-70 倍。当时暴露在公网中有 CLDAP 服务器有数万台。安全研究人员跟踪了其中 4 台服务器，发现最具破坏性的一台属于身份未知的宗教组织，从 7 月到 9 月，它四次产生的攻击流量超过 10Gbps，一次接近 17Gbps。

内部文件泄露了伊朗是如何跟踪和控制抗议者的手机的。伊朗使用名叫 SIAM 的蜂窝网络计算机系统，为手机运营商提供了一系列远程命令去改变、破坏和监视客户如何使用其手机。这些工具可以减缓网络连接速度，破解呼叫加密、跟踪个人或大群体的移动，提供了详细的元数据揭示谁何时何地和谁通话。SIAM 的内部文件来自于手机运营商 Ariantel，由一位自称入侵了 Ariantel 公司的黑客提供，鉴于目前正在发生的抗议活动，这位黑客认为公开文件符合公众利益。

VMware 修补了一个影响其 VMware Cloud Foundation 和 NSX Manager 产品的高危漏洞，该漏洞允许未经授权的黑客以最高的系统权限执行恶意代码。该漏洞编号为 CVE-2021-39144，危险等级 9.8/10，存在于 Cloud Foundation 个 NSX Manager 依赖的 XStream 开源库中，因为危险是如此之高，VMware 不同寻常的为不再支持的版本发布了补丁。该漏洞是由 Source Incite 的安全研究员 Sina Kheirkhah 和 Steven Seeley 发现的，他们同时发布了漏洞利用的 POC 代码。

Google 释出了紧急更新修复了一个正被利用的 Chrome 桌面浏览器 0day。该高危漏洞编号为 CVE-2022-3723，位于 Chrome V8 Javascript 引擎中，属于类型混淆漏洞。Avast 的安全研究人员向 Google 报告了这一漏洞。Google 没有披露漏洞细节，它建议用户立即更新到版本 107.0.5304.87/88。它要等待大部分用户都更新之后才会披露细节。这是今年内 Google 修复的第 7 个 0day——前 6 个是 2 月 14 日的 CVE-2022-0609、3 月 25 日的 CVE-2022-1096、4 月 14 日的 CVE-2022-1364、7 月 4  日的 CVE-2022-2294 、8 月 17 日的 CVE-2022-2856 和 9 月 2 日的 CVE-2022-3075。

UC Irvine 的三位研究人员在 arXiv 上发表了一篇预印本，描述了一种扩散致命病原体的新颖攻击。为了防止致命病原体泄露，生物实验室或传染病控制医院会要求使用名为负压室（Negative Pressure Room 或 简写 NPR）的设备，其内部维持负压，将微生物控制在 NPR 内部。实验室或医院会使用差压传感器（DPS）去监视和控制 NPR 的负压。研究人员报告，他们可以利用流行音乐在 DPS 中制造共振导致其读数超标，使其负压变成正压，导致潜在致命的病原体从 NPR 设备中泄露出来。研究人员在一个未具名的生物研究机构演示了他们的攻击。

澳洲保险公司 Medibank 证实在最近发生的勒索软件攻击中黑客访问了所有客户的个人信息和部分索赔数据，其中包含了它的所有国际学生客户。Medibank 是澳大利亚最大的私营健康保险公司之一，有逾 370 万客户。10 月 12 日它检测到了勒索软件攻击并立即关闭了部分系统。它最初发表声明称黑客在加密系统前就被阻止了，没有证据表明客户数据被盗。但在数天之后勒索软件黑帮联络该公司，表示窃取了 200 GB 的数据并提供了 100 个文件样本作为证据。在随后的调查中 Medibank 发现所有客户个人数据都被访问了。

伊朗原子能机构周日指控黑客组织入侵了一家子公司的网络，访问了电邮系统。同一天一个匿名黑客组织宣称对攻击负责，要求伊朗释放最近因为抗议而逮捕的政治犯。这个自称 Black Reward 的黑客组织称它泄露了 50GB 的内部电邮、合同和与位于 Bushehr 的核电站相关的施工计划。它通过其 Telegram 频道上分享了文件。暂时还不清楚其中是否包含机密材料。

卡塔尔世界杯将于 2022 年 11 月 20 日至 12 月 19 日举行，期间前往卡塔尔的人都需要下载安装两个应用—— Ehteraz 和 Hayya，Ehteraz 是 covid-19 追踪应用，Hayya 是世界杯官方应用，用于跟踪比赛门票和访问免费地铁。Ehteraz 和 Hayya 都被指存在安全隐私问题，被认为是间谍软件。Ehteraz 要求访问读取、删除或更改手机所有内容的权限，连接 WiFi 和蓝牙、覆盖其他应用和防止手机进入睡眠模式的权限。Hayya 索要的权限没有那么多，但也要求几乎不受限制的分享个人信息，以及定位和防止睡眠等权限。

赛门铁克的研究人员披露黑客组织 Winnti 入侵香港政府机构的网络长达一年时间。黑客使用了 Spyder Loader 后门的不同变种攻击目标，在感染的早期阶段 Spyder Loader 会加载 AES 加密的数据块创造下一阶段的有效负荷 wlbsctrl.dll。攻击者渗透之后还会部署窃取密码的恶意程序 Mimikatz 以更深入挖掘受害者的网络。研究人员认为攻击者的主要目标是收集情报。

名叫 YoWhatsApp 的 WhatsApp 非官方应用的新版本被发现会窃取用户账号的访问密钥。卡巴斯基研究人员发现，YoWhatsApp v2.22.11.75 会将用户的访问密钥发送到攻击者的服务器上。攻击者利用密钥可以接管账号、窃取私密通信信息和冒充用户。YoWhatsApp 主要通过视频下载器 Snaptube 做广告宣传。安全研究人员还发现了另一个 YoWhatsApp 克隆 WhatsApp Plus 通过 VidMate app 传播，包含有相同的恶意功能。虽然不是所有 WhatsApp 非官方应用都是恶意的，但尽量使用官方应用是更明智的做法。

访问密钥在 GitHub 暴露近五年后丰田对数据泄露发出警告。丰田 T-Connect 是官方连接应用，允许丰田车主将手机与车载信息娱乐系统连接起来，获得电话、音乐、导航、通知集成、驾驶数据、发动机状态、油耗等数据。丰田近期发现 T-Connect 的部分源代码被错误在 GitHub 公开，其中包含有管理客户电邮等信息的服务器访问密钥，未经授权的第三方可以利用访问密钥获取用户的信息。访问密钥暴露的时间是从 2017 年 12 月到 2022 年 9 月 15 日，丰田公司建议在此期间注册 T-Connect 的客户对自称来自丰田的钓鱼邮件保持警惕。丰田在 9 月 17 日修改了密钥，表示客户的姓名、信用卡数据和电话号码没有泄露，因为它们没有储存在该服务器上。丰田表示它没有检测到数据被盗用，但不能排除可能性。

美国第四大医院系统 CommonSpirit Health 周二表示遭遇 IT 安全问题，部分系统下线。它没有披露更多细节。但知情人士确认它遭遇的是勒索软件攻击。CommonSpirit 在美国拥有逾 140 家医院，此次勒索软件攻击导致了该公司旗下医院推迟手术，暂停患者护理，以及在全国重新安排医生预约。

卡巴斯基安全研究人员发现通过流行 YouTube 中文频道传播的恶意 Tor 浏览器。该频道的订阅者逾 18 万，相关视频的浏览量超过 6.4 万次，视频是在 2022 年 1 月上传的，卡巴斯基的调查显示最早的受害者是在 2022 年 3 月出现的。安全研究人员将此次攻击命名为 OnionPoison，恶意版本的 Tor 浏览器为 torbrowser-install-win64-11.0.3_zh-cn.exe，没有数字签名，安装程序用 Visual Studio 2003–7.10 SDK 编译，其隐私设置比原版更弱，捆绑了恶意组件 freebl3.dll，原版也有该文件但恶意版已完全不同，浏览器禁用了更新以防止恶意版的 freebl3.dll 被覆盖。freebl3.dll 会向 C2 服务器发送请求，C2 会判断 IP 地址位置，如果在某个特定区域则会下载后续恶意负荷 cloud.dll 去收集更多信息。收集的信息包括安装软件、运行进程、Tor 浏览器历史、Google Chrome 和 Edge 浏览器历史，微信和 QQ ID，Wi-Fi 网络的 SSID 和 MAC，等等。

俄罗斯总统普京前不久下达了部分动员令，征召有军事经验的公民入伍。部分俄罗斯公民的回应是逃避，一部分人通过边境逃离，还有人则诉诸于非法手段，尝试购买不适合服兵役的证明文件，这为欺骗敞开了大门。欺骗者通过暗网、Telegram 等渠道兜售帮助逃避入伍的证明文件。他们还承诺能更新地区征兵办公室的数据库，让征兵者永远找不到客户。客户则需要提供护照复印件和 27,000 卢布。但在钱支付之后，欺骗者会拉黑客户，不再联系，他们还可能利用护照进行欺诈或出售。

Matrix 消息协议的开发者释出了更新修复端对端加密漏洞。Matrix 是一个端对端加密、去中心化的即时通讯系统，它没有中心服务器，通过网桥与其它平台互通。它的生态系统由完全可互操作的开源和私有 IM 协作客户端和服务器组成，最著名的应用是支持移动和桌面系统的 Element。Matrix 联合创始人兼项目负责人、Element 的 CEO 兼 CTO Matthew Hodgson 称整个生态系统有大约 6900 万个账号分布在 1 万个服务器上，有约 250 万月活用户使用 Matrix.org 服务器。Mozilla、KDE，法国和德国政府等都在 Matrix 基础上构建了内部 IM 系统。Hodgson 表示没有迹象显示最新披露的漏洞曾被活跃利用。

安全公司 Lumen 的研究人员发现了一种从未见过的跨平台恶意程序，能感染 Windows 和 Linux 设备，包括小型办公室路由器、FreeBSD 盒子和大型企业服务器。研究人员将该恶意程序命名为 Chaos，因为这个单词反复出现在恶意程序的函数名、证书和文件名中。它最早可能是在 4 月 16 日出现的，之后几个月感染了数以百计的设备。Chaos 的独特之处是设计支持 ARM、Intel(i386)、MIPS 和 PowerPC 等架构，支持 Windows 和 Linux 操作系统，它只通过已知的 CVE 漏洞，利用暴力破解和窃取的 SSH 密钥进行传播。Chaos 的感染主要集中在欧洲地区。

Fast Company 遭黑客入侵，黑客向 Apple News 用户推送了包含种族主义和淫秽语言的通知。目前整个网站都关闭，显示“404 Not Found”错误信息。该公司通过 Twitter 账号发表声明，“Apple News 账号在周二晚上被黑，两条包含淫秽和种族主义内容的推送通知相隔约一分钟被发出。这些信息是卑鄙的，不符合 Fast Company 的内容和精神。我们正在调查这一情况，并已暂停推送和关闭 http://FastCompany.com 网站，直到我们确定情况已得到解决。”

Google 最近以 54 亿美元收购的安全公司 Mandiant 报告发现证据显示黑客与俄罗斯协同攻击。安全研究人员观察到，支持俄罗斯的黑客组织（表面上由爱国的公民黑客组成）与俄罗斯军事情报机构(GRU)的网络入侵活动之间存在明显的协作。Mandiant 称，在四起网络攻击事件中观察到了与 GRU 有关的黑客活动，在这些活动中，恶意 Wiper 软件被安装到了一个受害者的网络上。Mandiant 称，有三个支持俄罗斯的黑客组织参与其中，它们被称为 XakNet Team、Infoccentr 和 CyberArmyofRussia_Reborn。

2022 年 8 月 17 日，英国一家不知名的网络运营商 Quickhost.uk 突然通过 BGP 广播宣布，隶属于亚马逊 AS16509 的一个 IP 段 44.235.216.0/24 需要路由经过它的网络 AS20943。该 IP 段中的一个地址 44.235.216.69 被用于托管 cbridge-prod2.celer.network——加密货币交易所 Celer Bridge 一关键智能合约用户界面使用的子域名。攻击者通过向证书颁发机构 GoGetSSL 证明对该子域名拥有控制权而获得了一个 TLS 证书，然后在该域名托管自己的智能合约，随后从访问该域名的 32 个账号中窃取了价值 234,866.65 美元的加密货币。这一 BGP 劫持持续了 3 个多小时，亚马逊最后恢复了对该地址段的控制。这不是第一次亚马逊遭到 BGP 劫持，它在 2018 年遭到类似的攻击，攻击者的目标同样是窃取加密货币。

加密货币做市商 Wintermute 首席执行官 Evgeny Gaevoy 周二发推文披露，Wintermute 的去中心化融资业务（DeFi）遭黑客攻击，损失约 1.6 亿美元。该公司的中心化融资和场外业务没有受到影响，而该公司“剩余股本超过上述金额的两倍，具有偿付能力”。Gaevoy 说，“如果你和 Wintermute 签订了做市协议，你的资金是安全的。今天我们的服务会受到干扰，可能会持续几天，之后会恢复正常。”