针对阿尔巴尼亚政府的网络攻击在 7 月中旬导致政府网站和公共服务中断数小时。俄罗斯被认为是最可能的攻击嫌疑人，但安全公司 Mandiant 本周公布的研究报告认为伊朗才是攻击发起者。自由伊朗世界峰会计划于 7 月 23 日到 24 日在阿尔巴尼亚的 Albania 举行，而这一攻击发生在会议前的 7 月 17 日。随后峰会在开始前一天因所谓的恐怖主义威胁而推迟。研究人员称，攻击者部署了 Roadsweep 家族的勒索软件，可能利用了一个先前未知的后门 Chimneysweep，以及 Zeroclear 删除程序的新变种。伊朗此前主要在中东地区特别是以色列从事网络黑客活动。但针对阿尔巴尼亚的网络攻击不是为了窃取数据，而是为了破坏，影响到阿尔巴尼亚人的日常生活，是为了迫使阿尔巴尼亚政府回应。

Gitlab 被发现有一项禁止使用 Microsoft Windows 的公司政策。微软旗下的 GitHub 是 Gitlab 最主要的竞争对手。Gitlab 表示它允许员工使用 Linux 和苹果 macOS，而禁止使用 Windows 的理由是它是份额最高的桌面系统，因此也是间谍软件、病毒和勒索软件的最主要目标。Windows 家庭版的安全性难以保障，因此不符合公司安全准则。苹果的电脑是首选，如果熟悉 Linux 也可选择戴尔公司的 Linux 笔记本电脑。

HardenedVault 写道 "2018的币热间接或者直接的导致Security Chain中止，但其涉及到的技术并未停止进化，随着web3(x?)的崛起一些技术再次派上的用场，HardenedVault（赛博堡垒）以安全为视角对下一代数据中心和Web3进行了一些讨论，文章谈到了从数据中心到云计算的“计算”维度，对极端去中心化（BTC/XMR） vs. 邦联化在效率方面的折中进行了分析以及对于下一代数据中心安全和Web3的关系以及技术上的挑战进行了探讨。互联网的未来，Web3的终极形态以及下一代数据中心都是令人兴奋的议题，但其中的挑战也是不言而喻的，这些挑战几乎涉及到所有的基础架构安全领域，包括硬件，固件，操作系统，密码通讯协议等。黑客和密码朋克社区再一次踏上远征，最终的结果依然会是无数个体选择的涌现，个体的力量的大小取决于能承受多少”真相“，而这又回到了个体面对人生时红蓝药丸的选择：真实的荒漠还是虚幻的荣耀。真实的荒漠，就以这个作为这篇以赛博堡垒视角讨论下一代数据中心的结尾，之前有不少反馈问我们对Web3的看法，如果直接让读者去读Security Chain的白皮书可能会劝退大部分人，况且Security Chain毕竟早已是历史，这篇文章希望能在技术和哲学之间有一个平衡，祝老派黑客和密码朋克继续在世俗的世界中去实现那神圣的愿景。"

安全公司 Volexity 的研究人员发现了针对 Gmail 的新攻击，能绕过密码和 2FA 阅读所有邮件。朝鲜黑客组织 SharpTongue（与 Kimsuky APT 组织有关联）部署了名为 SHARPEXT 的恶意程序能从基于 Chromium 的浏览器（包括 Chrome、Edge 和韩国的 Whale）中窃取 Gmail 和 AOL 的电邮。Kimsuky 自 2012 年起开始活跃，被认为从事情报收集工作，主要攻击目标位于美国、日本和韩国。SharpTongue 的攻击目标与之类似，它的恶意程序 SHARPEXT 能绕过密码和 2FA，通过 VB 脚本在浏览器上秘密安装扩展，在用户阅读邮件时抓取邮件数据。恶意程序运行在 Windows 系统上，使用 Firefox 等非 Chromium 浏览器可避开攻击。

过去十年生活在基辅过去几个月因战争逃到波兰的美国安全研究员 Jeremiah Fowler 随机调查了暴露在网上 100 个俄罗斯数据库，发现其中 92 个遭到了松散黑客组织匿名者的破坏。黑客使用了类似 MeowBot 的脚本，将文件夹重命名为诸如 putin_stop_this_war、stop war, no war, HackedByUkraine 等名字，并删除文件的内容。匿名者声称入侵了逾 2500 个俄罗斯和白俄网站，泄露了大量数据，这些数据可能需要数年时间才能完成评估。安全公司 Cyberint 的研究员 Shmuel Gihon 称泄露的数据是如此之多，他们现在不知道如何处理。黑客攻击的直接结果是俄罗斯的网络安全防御系统比以前认为的要薄弱得多。匿名者组织还为乌克兰提供渗透测试服务，在俄罗斯利用前发现漏洞。

Blockade Australia 的澳大利亚气候活动人士 Greg Rolles 被禁止使用加密应用，被要求让警察检查他的电脑和手机，告诉警方密码。Blockade Australia 的活动人士曾在今年早些时候在新南威尔斯针对港口和货运火车举行抗议。警方以未经授权的抗议和扰乱交通为由逮捕了逾 30 人，作为保释条件他们被施加了非常严格的技术限制，他们不能使用 Signal、Telegram 或 WhatsApp 等加密应用，只能用一部手机。法律专家认为这些措施非同寻常、过于极端。加密禁令也过于模糊，电子前哨澳大利亚的一位发言人指出，加密无处不在，是现代通信技术安全的基础。

留给系统管理员打上新披露漏洞修复补丁的时间比以前认为的要短得多。安全公司 Palo Alto 发布的事故响应报告（Incident Response Report）称，黑客一直在监视安全公司的新漏洞披露报告，通常在 CVE 公布 15 分钟后就开始扫描漏洞，在数小时内就能观察到首次漏洞利用尝试。Palo Alto 以 2022 年 5 月 4 日披露的 F5 BIG-IP 远程执行漏洞 CVE-2022-1388 为例，在 CVE 公布 10 小时内就记录到了 2552 次扫描和漏洞利用尝试。这场攻防大战每年留给任意一方的时间都越来越短。Palo Alto 的报告称 ，2022 年上半年利用最多的漏洞是 ProxyShell 占 55%，其次是阿里巴巴发现的 Log4Shell 占 14%，SonicWall 7%，ProxyLogon 5%。

由欧洲刑警组织、荷兰国家警察局以及多家网络安全和 IT 公司于 2016 年联合发起的 No More Ransom 项目至今帮助逾 150 万勒索软件受害者不需要支付赎金就成功解密文件，挽回损失约 15 亿美元。No More Ransom 项目支持包括简体和繁体中文在内的逾三十种语言，到目前为止提供了 165 个勒索软件变种的 136 个免费解密工具。

卡巴斯基的研究人员报告了一种隐藏在主板 UEFI 镜像难以根除的恶意程序 CosmicStrand，该恶意程序的早期版本被奇虎 360 的研究人员称为谍影木马。该恶意程序的开发者被认为使用汉语。奇虎的研究人员在 2017 年报告，谍影木马会感染 UEFI 兼容模式的 BIOS 引导模块，UEFI+GPT 模式不受影响，恶意代码可能是由编程器刷入主板 BIOS，通过电商渠道贩卖流通。卡巴斯基发现的 CosmicStrand 感染了华硕和技嘉的主板，攻击者通过一个修改版的 CSMCORE DXE 驱动注入到固件中，受害者分布在中国、伊朗、越南和俄罗斯。

澳大利亚公司 Atlassian 开发的企业维基软件 Confluence 被发现有硬编码密码，更糟糕的是密码还被泄露了。存在硬编码的应用是 Questions for Confluence，它在安装时会创建名叫 disabledsystemuser 的账号，旨在帮助管理员在应用和 Confluence 云服务之间转移数据。Atlassian 承认未经授权的远程攻击者在知道硬编码密码之后可登陆 Confluence 访问用户组能访问的任何页面。受影响的版本是 Questions for Confluence versions 2.7.x 和 3.0.x。用户可搜索是否存在 User: disabledsystemuser，Username: disabledsystemuser 和 Email: dontdeletethisuser@email.com。

台湾艺人和赛车手林志颖周五上午 10 时 51 分行经桃园市芦竹区中正桥往桃园方向时，因不明原因自撞电线杆后，整台车起火燃烧。林志颖和儿子受伤送医。桃园市政府消防局表示，救护人员到场时林志颖并未受困，初步了解伤势无生命危险，目前在林口长庚医院接受治疗。目前尚无汽车是否启用自动驾驶等消息。

Google Threat Analysis Group (TAG)的安全工程师 Billy Leonard 发现俄罗斯 APT 组织 Turla 的黑客使用支持乌克兰的开发者所开发的工具 StopWar Android app 创造了假的 Cyber Azov DDoS 工具。俄罗斯黑客在应用的下载页面呼吁人们联合起来帮助阻挡俄罗斯的入侵，下载该 Android 应用对俄罗斯网站发动 DDoS 攻击。但该工具并不能真的发动 DDoS 攻击，它只向目标网站发送一次 GET 请求。

研究人员在广泛使用的汽车 GPS 追踪器 MiCODUS MV720 中发现 6 个漏洞，受影响汽车多达 150 万辆，遍及 169 个国家。黑客控制 MV720 之后可通过它跟踪或瘫痪汽车，或收集路线信息和操纵数据。黑客对其发动的攻击还可能会影响到国家安全，如国有的乌克兰运输机构就使用 MV720。安全公司是在 2021 年 9 月 9 日发现了漏洞（PDF），尝试立即联络 MiCODUS 但发现很难找到接收安全报告的合适人选。MiCODUS 是一家深圳公司，它至今没有提供修复方案，相关追踪器仍然受到漏洞影响。受影响的用户应停用和切换到替代的产品。

加拿大多伦多大学公民实验室报告，以色列公司 NSO Group 的 Pegasus 间谍软件被用于攻击泰国抗议者。泰国在 2020 年爆发过一轮反对军政府的抗议行动，抗议者史无前例的呼吁改革君主制。而根据泰国法律，批评君主制是非法的。公民实验室报告对泰国抗议者的间谍软件攻击发生在 2020 年 10 月和 2021 年 11 月之间。苹果公司在 2021 年 11 月 23 日开始向受攻击的泰国用户发出警告。收到通知的用户联络了公民实验室，实验室的调查发现至少有 30 名抗议者感染了 Pegasus，其中包括这场民主运动中的关键人物。受害者中有许多曾多次遭到逮捕或拘禁，或被起诉大不敬罪名。

安全研究人员报告，恶意程序正以工业系统为感染目标将工控设备变成僵尸网络的一部分。工控设备存在大量密码丢失的情况，比如工程师在离开公司后未留下密码而接替者很晚才知道。研究人员发现了一种针对 PLC--DirectLogic 06 工控设备的密码恢复工具，它利用了现已经修复的漏洞恢复密码。但除了恢复密码它还会安装名为 Sality 的恶意程序，将工控设备变成僵尸网络的一部分，每半秒检查一次感染工作站的剪切板寻找加密货币钱包地址相关的数据，发现之后用黑客自己的钱包替换。

微软安全团队披露了一个以中小企业为勒索目标的朝鲜黑客组织 DEV-0530，该组织自称 H0lyGh0st，使用同名勒索软件入侵企业勒索赎金。DEV-0530 采用的策略和其它勒索软件组织类似，维护了一个 .onion 暗网网站与受害者沟通，在入侵之后，用扩展名 .h0lyenc 加密文件，然后索要比特币赎金。该组织也采用了双重勒索，威胁在社交网络披露企业数据或将数据发送给其客户。微软认为 DEV-0530 与朝鲜黑客组织 PLUTONIUM (aka DarkSeoul 或 Andariel)有关联，该组织使用了 PLUTONIUM 开发的工具。

联想释出固件更新修复三个漏洞，这些漏洞影响超过 70 款笔记本型号。漏洞编号分别为 CVE-2022-1890、CVE-2022-1891 和 CVE-2022-1892，分别影响 ReadyBootDxe、SystemLoadDefaultDxe 和 SystemBootManagerDxe 驱动。安全公司 ESET 称，漏洞能被利用在设备启动早期阶段实现任意代码执行，允许攻击者劫持操作系统执行流和禁用部分重要安全功能。漏洞是由于 DataSize 参数不充分验证导致的。

日本游戏发行商万代南梦宫证实遭黑客入侵，称黑客在 7 月 3 日入侵了不含日本的多个亚洲地区办事处内部系统，它正在调查数据泄露情况。万代南梦宫旗下的知名游戏包括《Elden Ring》、《Dark Soul》系列、吃豆人、铁拳系列等等。在南梦宫证实之前，勒索软件组织 BlackCat 声称在入侵行动中窃取到了企业数据，它尚未在其数据泄露网站公开窃取的南梦宫数据。AlphV/BlackCat 从去年 11 月开始活动，被认为是更换了新名字的 DarkSide/BlackMatter 勒索软件组织。

斯里兰卡深陷经济危机，总统戈塔巴雅·拉贾帕克萨和总理拉尼尔·维克勒马辛哈先后宣布将辞职，总统官邸上周六被抗议者占领，总统本人预计将会流亡海外。这场危机的一部分是一场匆匆忙忙展开的全国有机农业试验。因为缺乏购买化肥的资金，拉贾帕克萨的政府去年四月下令禁止进口化肥和杀虫剂，命令全国 200 万农民转向有机农业。尽管宣称有机农业的产量能与传统农业相当，但仅仅六个月国内大米产量就下降了 20%。斯里兰卡的大米本来能自给自足，但现在却被迫进口 4.5 亿美元的大米，而大米的价格也因此飙升了 50%。主要出口和外汇来源的茶叶也深受其害。随着茶叶产量的下降，政府在去年 11 月解除了对茶叶等出口产品的化肥禁令。因农民抗议、通货膨胀和货币崩溃，政府最终完全废除了对茶叶等作物的政策。政府为此向农民提供了数亿美元的赔偿，但无法弥补禁令导致的损失。据估计仅茶叶产量的下降就造成了 4.25 亿美元的经济损失。

金山软件 WPS 官方微博发表声明，“近期一位用户分享的在线文档链接，涉嫌违规，我们依法禁止了他人访问该链接。此事被讹传为#WPS# 删除用户本地文件。为此，我们特地声明：WPS作为一个发展了30多年的办公软件，始终把用户体验和保护用户隐私放在第一位。关于删除用户本地文件的说法纯属误导，我们将保留通过法律途径维护合法利益的权利。”网文作者也发表声明，“我本地文件可以打开，但是打开版本不是最新保存的，它给我自动同步，检测错文件，原文件没有问题...”