Uber 网络系统上周遭黑客入侵，这家网约车巨头周一在安全公告中称，一家 EXT 承包商的账户被攻击者入侵。攻击者可能是在这个承包商的个人设备感染恶意软件后，在暗网上购买了该承包商的 Uber 公司密码。在攻击者发送了大量 2FA 请求后，该承包商接受了其中一次登录请求，导致攻击者最终成功登录。Uber 认为攻击者与黑客组织 Lapsus$ 有关联。该公司仍在进行调查。 Uber 表示未发现攻击者访问了支持其应用程序的生产系统、任何用户账户或用于存储敏感用户信息的数据库。该公司还称，其审查了自己的代码库，没有发现攻击者做了任何更改。Uber 也未发现攻击者访问其云供应商存储的任何客户或用户数据。攻击者下载了一些内部 Slack 信息，并对其财务团队用于管理一些发票的内部工具进行了访问或下载了信息。目前正在分析这些下载内容。

随着 AI 翻译工具的进步，曾经因为语言问题而很少受到攻击的地区如日本开始成为勒索软件黑帮的攻击目标。日本警察厅的数据显示，2022 年上半年接到 30 个都道府县共 114 起报告，较上年同期 61 起增加 87%，其中中小企业为 59 起，大企业为 36 起，团体等为 19 起。从行业来看，制造业与服务业居多，但各种规模和行业的企业均有遭受损失的情况。对受害企业等实施的问卷调查显示，调查与恢复费用总额达到 1000 万日元以上的占到 55%。在受害数据留有备份的 48 起中，至少 36 起无法恢复。

洗劫货物的犯罪分子正利用 GPS 干扰器干扰货运卡车和货轮使用的 GPS 定位导航。GPS 导航使用的卫星信号非常弱，干扰器就是基于这一原理发送频率相同但更强的信号去压制 GPS 信号。典型的 GPS 干扰器能在五公里外干扰信号，使得 GPS 装置完全失效。在墨西哥，大约 85% 的货运卡车盗窃案使用了干扰器。俄罗斯目前正利用干扰器干扰乌克兰上空的商业飞机。商业无人机也日益成为 GPS 干扰器的目标，2018 年香港的一次无人机灯光秀中，46 架无人机因干扰器从空中坠落。企业也日益加固其设备以抵御干扰。

名叫 teapotuberhacker 黑客在 GTAForums 论坛（已删除）泄露了数十个《侠盗猎车手6（GTA6）》测试视频，总长度约 50 分钟。视频被证实是真实的，相关帖子已经删除，大部分视频也被开发商 Rockstar Games 的母公司 Take-Two Interactive 以侵权为由下架。GTA6 正在开发之中，预计还要数年时间才会发布，故事发生在虚构的迈阿密及周边地区，男女主角的塑造受到了著名雌雄大盗 Bonnie 和 Clyde 的启发。黑客声称是通过 Rockstar 内部 Slack 服务器访问到这些视频的，他们还访问到了游戏源代码，考虑公开 GTA 5 和 GTA 6 的源代码，以及 GTA 6 的一个测试版本。黑客同时表示愿意与 Rockstar 或 Take-Two 达成不公开源代码的交易。这起事件被认为是游戏史上最大的泄露事件之一。

美国网络和基础设施安全局（CISA）在其 Known Exploited Vulnerabilities 目录中加入了 6 个漏洞，要求联邦机构按照供应商的指示修补漏洞。六个漏洞只有一个是今年报告的，其它五个分别是在 2013 年 和 2010 年报告的，其中 2010 年披露的漏洞 CVE-2010-2568 (RCE) 被用于传播攻击伊朗 Natanz 铀浓缩工厂离心机的 Stuxnet 蠕虫。

在全世界逾一百个国家经营 6,028 家酒店的洲际酒店集团上周证实遭到网络攻击，称攻击严重干扰了房间预定等功能。它没有披露更多细节。现在两位自称 TeaPea 的越南黑客情侣通过 Telegram 联络 BBC，提供了截图作为证据证明攻击是他们发起的。他们利用了钓鱼攻击和一个弱密码 Qwerty1234 访问了内部数据库，一开始计划发动勒索软件攻击，但发现 IT 团队隔离了服务器，所以为了找点乐趣决定删库。黑客对于其行动无任何内疚，称越南的薪水太低，月薪只有 300 美元，否则他们宁可有一个合法的工作。黑客称他们在洲际酒店集团的系统中发现其内部密码库的登陆密码是 Qwerty1234。

Telegram 中文频道白鲨有大量的买卖信息，但买的不是商品而是人。一则发布在该频道的广告说，“西港出个刚偷渡来的中国男的 22 岁有身份证 打字很慢...”22 岁的小范（Fan）曾在姐姐的餐馆做厨师，但餐馆后来倒闭了，他改行送外卖。2021 年 3 月他获得了一个去柬埔寨一家知名外卖公司的高薪职位，月薪 1000 美元。他的哥哥已在柬埔寨工作，小范将此事告诉了哥哥，哥哥立即辞职和他一起去。等他们发现这是一场骗局时为时已晚。他们被关起来强迫工作，但不是过去人口走私常见的强迫劳动，而是搞网络诈骗。来自大陆、台湾、越南和泰国等地的数以万计的人被以这种虚假工作的骗局诱骗到柬埔寨、老挝和缅甸，他们被黑社会控制从事网络诈骗。如果他们拒绝，就会遭到殴打、被剥夺食物，甚至被电击。如果想要离开，黑帮老大要求他们支付 7000 美元。无法支付这笔钱就继续干。兄弟俩在干了六个月后再次遭遇骗局，有人接触他们表示可以帮助他们逃走，结果所谓的逃走就是被买给另一个黑帮，他们的赎身费用也上涨到了 1.17 万美元。兄弟俩最后又被卖给另一个黑帮，这个黑帮看管不严让他们有机会逃走。他准备回老家当农民不再想着出国工作赚大钱。

Uber 网络系统遭黑客入侵。攻击者还向《纽约时报》发送了电邮、云储存和代码库的截图。Uber雇员通过工作消息应用 Slack 收到了黑客的留言：”I announce I am a hacker and Uber has suffered a data breach.“ Uber 下令员工停用 Slack。《纽约时报》称黑客只有 18 岁，学了几年的网络安全，瞄准 Uber 是因为该公司安全太薄弱。Uber 发表声明证实遭到入侵，表示已经报警未来将会公布更多信息。黑客声称入侵是通过社交工程方法窃取一名雇员的密码实现的。

安全公司 Mandiant 报告，朝鲜黑客组织 NC4034 (aka Temp.Hermit 或 Labyrinth Chollima)在一次针对媒体公司的钓鱼攻击中使用了木马版 PuTTY 和 KiTTY SSH 客户端。PuTTY 以及其分支 KiTTY 都是流行的开源 SSH 客户端。攻击者首先向目标发送邮件提供亚马逊的工作机会，然后通过 WhatsApp 进行后续通信，发送了名为 amazon_assessment.iso 的文件，其中包含了 IP 地址和登陆凭证，以及木马版的 PuTTY (PuTTY.exe)，攻击者诱骗受害者打开文件运行木马版本以进行技能评估。但该版本含有恶意负荷，会部署 DAVESHELL，然后安装后门程序 AIRDRY.V2。

电商软件 FishPig 的分发服务器遭黑客入侵，攻击者在付费软件模块 Magento 2 中植入后门，导致使用 Magento 2 的客户系统感染了 Rekoobe，该后门允许攻击者向被感染的服务器远程发送指令。FishPig 督促客户重新安装或更新现有扩展。FishPig 正在调查攻击者是如何入侵其系统的，暂时还不清楚是通过服务器漏洞还是应用程序漏洞。FishPig 是一家 Magento-WordPress 集成销售商，Magento 是一个开源电商平台，FishPig 的软件被多达 2 万个网站使用。这次供应链攻击只影响付费的 Magento 2 模块。黑客入侵可能发生在 8 月 19 日前后，开发商已经向过去 12 周下载软件的所有用户发送了警告邮件。

HardenedVault 写道 "在x86/amd64架构下，Linux内核通常被打包成bzImage格式，其中包含用于引导参数的部分填充数据结构，以及16位实模式，32位保护模式和64位长模式的多个阶段入口点（如果为amd64构建），最后一个阶段是自解压缩平面二进制文件，它将正确解压缩和执行gzip压缩的内核映像， 也以平面二进制的格式，存储在其数据段中。每个阶段都将初始化下一阶段的正确执行环境，将CPU切换到下一阶段可以工作的模式，然后执行下一阶段。当然，Linux内核能够从16位实模式启动，但它也允许引导加载程序为以后阶段准备执行环境（例如32位保护模式或64位长模式），并从相应的入口点执行Linux内核。例如，如果引导加载程序本身主要在 32 位保护模式下工作，那么从其 32 位保护模式入口点引导 Linux 内核将是最有效的方法，而为 amd64 构建的 Linux 内核将在使用 kexec 引导另一个为 amd64 构建的 Linux 内核时选择 64 位长模式的入口点。最近，QEMU 的一个bug导致 kexec 之后的内核崩溃，因为 kexec-ed 内核将无法解压缩压缩的 initrd。此错误仅影响在 QEMU 中使用压缩内联的新 Linux 内核。物理机器上的 kexec，以及在 QEMU 中使用压缩的 initrd 引导 Linux 内核的其他方法，均不受影响。

当然，在 QEMU 中，使用未压缩的initrd来创建新Linux内核是有效的，因此，如果您想在 QEMU中使用基于kexec的引导加载程序，则可能必须使用未压缩的initrd才能引导目标系统。HardenedVault（赛博堡垒）的Vault Labs使用此类方法成功完成了vTPM环境下的远程证明。"

Retbleed 是最近公布的 CPU 预测执行漏洞攻击，影响 ARM、英特尔和 AMD CPU。Linux 内核最近开始加入相关的修复补丁。VMware 工程师在 Linux 5.19 上测试了补丁，结果显示它导致了巨大的性能开销。在 ESX 上运行 Linux 虚拟机，使用单个 vCPU 时，计算性能下降最高 70% ，网络性能下降 30%，存储性能下降最高 13%。关闭补丁之后性能恢复到 Linux 5.18 的水平。如此巨大的性能开销会对应用性能产生影响。VMware 工程师是在英特尔 Skylake CPU 上进行的测试，较新的 CPU 解决了大部分相关问题。

勒索软件黑帮阎罗王（音 Yanluowang）声称从思科网络窃取了数以千计的文件，总容量 55GB，其中包括机密文件、技术图表和源代码。但阎罗王没有提供证据证明其说法，只是公布了一张访问思科开发系统的屏幕截图。思科证实，阎罗王勒索软件组织在今年五月的一次攻击中从企业网络窃取了部分数据，但否认有任何敏感数据被盗。思科称阎罗王盗取了一名雇员的 VPN 账号，访问了该雇员的 Box 文件夹，但在勒索软件尝试加密系统前攻击就被阻止了。阎罗王是一个最近出现的勒索软件组织。

根据一项对 641 名医疗行业 IT 和安全从业者自我报告调查《Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care》，网络攻击最常见的后果是手术和测试推迟，导致病人恢复结果不佳，并发症增加。对医院造成最严重后果的网络攻击类型是勒索软件攻击，报告称近四分之一的被调查机构病人死亡率上升，64% 的医疗机构手术或测试推迟，59% 的机构病人住院时间延长。报告称，89% 的接受调查的机构过去一年平均经历 43 次网络攻击。最常见的攻击类型是云端入侵、勒索软件、供应链攻击，以及商业电子邮件入侵或钓鱼。

Google 安全团队 TAG 跟踪了对乌克兰发动网络战的黑客组织 UAC-0098，认为有很多迹象显示 UAC-0098 的部分成员来自 Conti 勒索软件黑帮。UAC-0098 的攻击者最近从发动勒索软件攻击获取金钱转向了攻击乌克兰组织、乌克兰政府、欧盟人道主义和非营利组织。Google TAG 认为，UAC-0098 的活动代表了东欧地区黑客组织在经济动机和政府支持活动之间的模糊界限，他们会根据地区地缘政治利益而改变攻击目标。安全研究人员发现，UAC-0098 利用了 Conti 黑帮的私有后门 AnchorMail。

NAS 设备制造商 QNAP 发布安全警告，督促客户立即更新他们的联网存储设备，以防御勒索软件 DeadBolt 的攻击。DeadBolt 利用 QNAP NAS 设备上 Photo Station 软件的漏洞感染设备破坏用户储存的数以 TB 的数据。QNAP 督促客户禁用端口转发功能并更新固件修复漏洞。受影响的版本为：
QTS 5.0.1: Photo Station 6.1.2 及以上版本
QTS 5.0.0/4.5.x: Photo Station 6.0.22 及以上版本
QTS 4.3.6: Photo Station 5.7.18 及以上版本
QTS 4.3.3: Photo Station 5.4.15 及以上版本
QTS 4.2.6: Photo Station 5.2.14 及以上版本

对阿尔巴尼亚政府的网络攻击在 7 月中旬导致政府网站和公共服务中断数小时。俄罗斯一开始被认为是最可能的攻击嫌疑人，但上个月安全公司报告伊朗才是攻击发起者，伊朗的动机与自由伊朗世界峰会将在阿尔巴尼亚举行有关。 本周三阿尔巴尼亚总理 Edi Rama 宣布断绝与伊朗的外交关系，驱逐伊朗大使馆工作人员，他们被勒令在 24 小时内离开阿尔巴尼亚。此次针对阿尔巴尼亚政府的网络攻击被称为是一次国家侵略行动。这是已知第一次一个国家因网络攻击而断绝外交关系。

Chrome 释出紧急更新，修复正被利用的高危 0day 漏洞。该漏洞是 Mojo 组件数据验证不足导致的，编号为 CVE-2022-3075。基于 Chromium 的 Microsoft Edge 也释出更新修复相同的漏洞。最新的紧急更新是今年至今 Chrome 浏览器第六次修复 0day：CVE-2022-0609（二月）、CVE-2022-1096（三月）、CVE-2022-1364（四月）、CVE-2022-2294（七月） 和 CVE-2022-2856（八月）。

在全世界逾一百个国家经营 6,028 家酒店的洲际酒店集团证实遭到网络攻击，其房间预定功能等应用受到严重干扰。洲际酒店未提供更多细节，没有披露客户数据是否遭到窃取。它在声明中表示正在恢复受影响系统，暗示这可能是一次勒索软件攻击——勒索软件会加密网络中的系统。绝大部分勒索软件攻击除了加密系统还会窃取数据，以便于对受害者进行双重勒索。上个月，勒索软件黑帮 Lockbit 声称攻击了洲际酒店旗下的 Holiday Inn Istanbul Kadıköy。

上周五名叫 AgainstTheWest 的黑客组织在一个黑客论坛发帖声称入侵了 TikTok 和微信，称他们访问了一个阿里云实例，其中含有 TikTok 和微信用户数据。AgainstTheWest 称它访问了一个 790GB 大小的数据库，有 20.5 亿条记录，其中包括用户数据、平台统计、软件代码、cookies、身份令牌、服务器信息等等。TikTok 发表声明否认了黑客组织的说法，称黑客分享的源代码与该平台无关。微信尚未对此发表声明。