日本媒体巨头株式会社角川多玩国本月初披露旗下多个服务因遭网络攻击而下线。它的视频共享网站 Niconico动画至今还没有恢复。现在勒索软件组织 Black Suit 宣布对这一网络攻击负责，声称在此期间下载了 1.5 TB 数据，如果角川不支付赎金，它将于 7 月 1 日公布窃取的数据。该勒索软件组织使用的是典型的双重勒索策略，它窃取的数据包括 DocuSign 平台签名的文档，员工数据，商业计划，项目数据如代码——角川是著名游戏开发商 FromSoftware 的母公司，以及财务数据。

安全公司报告，APT 组织 ChamelGang 通过勒索软件隐藏活动。ChamelGang 在数十起网络攻击中部署了勒索软件，包括在 2022 年使用勒索软件 CatB 攻击了印度医疗机构 AIIMS 和巴西总统办公室。安全研究人员认为这代表了一种令人不安的趋势：黑客将勒索软件作为其网络间谍行动的最后阶段，旨在获取经济利益、破坏、分散注意力、错误归因或删除证据。

polyfill.js 是广泛使用的用于支持旧浏览器的开源库，有逾 10 万网站通过 cdn.polyfill.io 域名嵌入了该脚本。今年二月，一家中国公司收购了该域名和相关 Github 账号，然后通过 cdn.polyfill.io 向移动设备植入恶意程序。新拥有者还迅速删除了 Github 上的相关讨论。Polyfill 原作者建议移除该脚本，因为现代浏览器不再需要它，但如果必须使用，可以用 CDN 服务商 Fastly 和 Cloudflare 的替代。安全研究人员发现，植入的恶意程序使用假的 Google 分析域名 www.googie-anaiytics.com 将移动设备用户重定向到博彩网站。代码针对逆向工程有特定保护代码，而且只在特定时间对特定移动设备激活。它在检测到管理员后不会激活。当检测到网络分析服务时它会延迟执行。研究人员给恶意程序起名为“跳转（tiaozhuan）”——恶意代码使用的一个函数名叫 check_tiaozhuan。

向企业提供远程访问工具的 TeamViewer 周五披露其企业网络被俄罗斯间谍入侵。该公司表示，为俄罗斯情报机构工作的黑客组织 APT29 aka Midnight Blizzard 是利用了被盗的员工账号凭证入侵了其企业网络。TeamViewer 表示，网络攻击被限制在其企业网络内，它的企业内部网络是与客户系统分开的，没有证据表明攻击者获取了产品环境或客户数据的访问权限。

美国医疗卫生巨头 Geisinger 披露了发生在去年 11 月的病人数据被盗事故：微软旗下的 Nuance Communications 是 Geisinger 的 IT 服务商，该公司在解雇了一名员工之后未及时切断该员工的访问权限。该员工在两天之后利用其访问权限窃取了大量病人的敏感数据，其动机尚不清楚。Geisinger 是在 11 月 29 日探测到非法访问，它通知了 Nuance，后者随后迅速切断了访问。这名前员工已经被捕，他可能窃取了逾百万病人的信息，其中包括出生日期、地址、入院和出院记录、人口特征信息和其它医疗数据。Geisinger 表示财务相关的信息没有被盗。

澳洲国民银行（National Australia Bank）正通过监控用户持手机的角度去识别诈骗。CEO Andrew Irvine 表示该银行推出了新的预测保护工具。新工具利用了生物识别技术，观察客户与设备交互的方式和按键的方式，如果交互方式与以前不同，他们将能识别出欺骗者。他表示，随着欺骗者开始采用 AI 等新技术，银行不得不增加更多措施去防止欺诈交易。他同时指出，澳大利亚是银行诈骗减少的少数国家之一，澳大利亚在预警上处于领先位置。

韩国 ISP KT（韩国电信）被发现用恶意程序感染用户遏制其网络中的 Torrent 流量。在韩国文件共享仍然很受欢迎，但流行的是专用的付费 Webhard（Web Hard Drive）服务。KT 是韩国最大的 ISP 之一，有逾 1600 万用户。它早在数年前就被发现干扰 Webhard 使用的 Grid System。警方对 KT 数据中心的突击搜查行动发现，有数十台设备专门被用于限制 Webhard。在最新调查中，KT 被发现主动在运行 Webhard 的计算机上安装恶意程序，干扰 Webhard 的文件传输。有大约 60 万 KT 用户受到影响。

Telegram 创始人 Pavel Durov 接受保守派媒体人 Tucker Carlson 采访时表示，他是公司唯一的产品经理，而整个公司只雇佣了大约 30 名工程师。安全专家表示，虽然 Durov 是在吹嘘他总部位于阿联酋的公司“超级高效”，但这对用户而言则是一个危险信号。约翰霍普金斯大学加密专家 Matthew Green 称，没有端到端加密，无数易受攻击的目标，以及位于阿联酋的服务器，一切仿佛是安全噩梦。Telegram 默认没有采用端对端加密，用户的非私密聊天、群组和机器人的信息都是明文储存在该公司的服务器上。Telegram 使用了私有的加密算法，很多人都对其加密的质量表示了怀疑。

Mozilla 宣布，它最新释出的 Firefox Nightly 版本引入了实验性的生成式 AI 功能，加入了 MS Edge 等主要竞争对手拥抱 AI 的行列。Firefox 的 AI 功能是可选使用的，将显示在浏览器的侧边栏，可用于摘要信息、简化语言和测试知识等任务。目前支持的 AI 包括了 ChatGPT、Google Gemini、HuggingChat 和 Le Chat Mistral，未来会加入更多 AI 服务。

在一次供应链攻击中，安装在多达 3.6 万个 WordPress 网站上的插件被植入了后门。受影响的扩展包括：Social Warfare（安装量三万），BLAZE Retail Widget（10）、Wrapper Link Elementor（一千）、Contact Form 7 Multi-Step Addon（七百）、Simply Show Hooks（四千），这些扩展都托管在官网 WordPress.org 上，过去一周未知攻击者在更新中加入了恶意功能，能自动创建管理权限账号，允许攻击者完全控制相关网站。安全公司 Wordfence 的研究人员称，恶意后门的植入最早发生在 6 月 21 日。任何安装了这些插件的人都应该立即卸载，并检查是否有最近创建的管理员账号。

印尼政府周一披露，其国家数据中心 Pusat Data Nasional (PDN)于 6 月 20 日遭到入侵，被安装了勒索软件，攻击者索要 800 万美元的赎金。PDN 被加密至少影响到了 210 家机构，导致移民数字服务关闭，影响签证、护照和居留许可的处理速度，机场为此排起长度。印尼政府表示情况已得到控制，自动的护照扫描仪已恢复上线。感染 PDN 的勒索软件被认为是 LockBit 3.0 的一个变种。印尼尚未表态是否决定支付赎金。

日本宇宙航空研究开发机构（JAXA）去年至今年遭到多次网络攻击。相关人士称，攻击可能来自中国黑客。JAXA 表示正对此展开调查，被非法访问的网络并不包括涉及火箭、卫星运用、安保的敏感信息。分析称网络攻击可能利用了从外部接入内部网络的 VPN 的薄弱环节入侵。已调查了受害情况，但今年又遭到多次网络攻击。

提供数据存储和分析服务的云计算公司 Snowflake 的逾百客户账号被黑客入侵，其中包括了美国票务巨头 Ticketmaster 和银行 Santander。这次针对 Snowflake 的攻击可能影响了大约 165 个客户账户，目前还不清楚黑客是如何入侵的。一位自称来自名叫 ShinyHunters 的黑客团队成员声称，他们是先通过第三方承包商获得访问权限的，其中一家是 EPAM Systems。黑客利用 EPAM 员工系统找到的数据访问了部分 Snowflake 账户。EPAM 则随后否认它与此次攻击有关联。EPAM 的创始人是白俄罗斯移民，它的 5.5 万名员工中有三分之二来自乌克兰、白俄罗斯和俄罗斯，俄乌战争之后它关闭了俄罗斯业务，并将部分乌克兰员工转移到国外。

安全研究人员 Vsevolod Kokorin aka Slonser 发现了一个漏洞，允许任何人冒充微软的电邮账号，让钓鱼邮件看起来更可信，更可能欺骗被钓鱼的目标。该漏洞尚未修复，一个原因是微软认为漏洞无法复现。研究员上周向微软报告了该漏洞，因为无法重现微软否定了其报告，因此他在社交媒体上公开了该漏洞，但没有提供可帮助其他人利用的技术细节。

自称 Intelbroker 的黑客在地下黑客论坛 Breach Forums 发帖称在本月入侵了 AMD 公司，盗取了大量敏感信息，其中包括 ROM、固件、源代码、属性文件（Property Files）、员工数据库、客户数据库、财务信息、未来 AMD 产品计划和技术规格表。黑客以门罗币（XMR）出售盗取的数据。IntelBroker 此前曾经入侵国欧洲刑警组织、Tech in Asia、Space-Eyes、家得宝、Facebook Marketplace 等知名企业和机构。AMD 发表声明表示正对此展开调查。

互联网上的大量 Microsoft SQL Server 服务器早已达到寿命终点。IT 资产管理平台 Lansweeper 扫描了逾百万 SQL Server 实例，发现其中 19.8% 的版本微软已经终止支持。还有 12% 的实例运行 SQL Server 2014，该版本将于今年 7 月 9 日终止扩展支持，意味着届时停止支持的 SQL Server 版本比例将达到 32%。虽然客户可以选择付费获得 SQL Server 2014 的安全更新三年，但这一发现凸显企业依赖过时软件以及升级到支持版本的难度。

友讯(D-Link)披露了两个漏洞，其中之一是 LAN 端任意文件读取，利用一个未经身份验证的路径遍历漏洞，同网络的攻击者可以读取任意系统文件；其二是同一网络未经身份验证的攻击者通过访问特定 URL 强制设备启用 telnet 服务，利用硬编码凭证登陆。这不是第一次友讯路由器发现硬编码后门。

安全公司 Volexity 发现一种新 Linux 恶意程序 Disgomoji，使用了一种新颖的方法向被感染设备发送指令——它使用 Discord 和 Emoji 作为指令控制平台。该恶意程序被认为与巴基斯坦黑客组织 UTA0137 有关，针对的是印度政府机构使用的 Linux 桌面操作系统 Boss，通过钓鱼邮件引诱印度政府工作人员打开运行。当 Disgomoji 执行时，恶意软件会从计算机中收集系统信息，包括 IP 地址、用户名、主机名、操作系统和当前工作目录，然后发送给攻击者。

美国医疗保健公司 Change Healthcare 今年 2 月遭遇了勒索软件攻击，为解锁被加密的系统该公司支付了 2200 万美元的赎金。此举被认为鼓励了勒索软件黑帮进一步瞄准医疗保健行业。数据显示，医疗保健行业在 4 月份遭遇了 44 次勒索软件攻击，为四年来最高。3 月的攻击次数为 30 次。Change Healthcare 的事故也凸显了医疗保健行业的脆弱性。分析指出，Change Healthcare 的系统缺乏分割，使得攻击容易横向移动。该公司的并购可能在其中起到了一定作用。合并和收购创造了新的网络威胁，因为并购涉及到不同组织的系统、数据和流程的整合，而每个组织都有自己的安全协议和潜在漏洞。

勒索软件攻击者正迅速利用最近公开的 PHP 9.8/10 高危漏洞。编号为 CVE-2024-4577 的漏洞是 6 月 6 日公开的，危险评分 9.8/10，非常容易利用。它源自 PHP 将 Unicode 字符转换为 ASCII 字符的方式存在错误，Windows 内置功能 Best Fit 允许攻击者使用参数注入将用户输入转换为字符，将恶意命令传递给主 PHP 应用。CVE-2024-4577 只影响运行在 CGI 模式的 PHP，但如果 php.exe 和 php-cgi.exe 等可执行文件位于 Web 服务器可访问目录，该漏洞仍然能利用。安全公司 Censys 报告，对互联网的扫描显示有 1,000 台服务器感染了名为 TellYouThePass 的勒索软件，这些服务器主要位于中国，其文件显示为 .locked 扩展名，表明它们已被勒索软件加密，勒索者要求支付大约 6,500 美元的赎金。