安全公司 Mandiant 分析了 2021 年 0day 漏洞利用。0day 漏洞是指在发现时未修复或此前未知，因此在修复补丁释出前会有一个时间空挡，黑客可乘着空挡利用漏洞发动攻击。2021 年共发生了 80 起 0day 漏洞利用案例，比 2020 年和 2019 年之和还要多 18 起，其中中国黑客利用了 8 个，俄罗斯用了 2 个，朝鲜用了 1 个。最著名的案例是黑客组织 Hafnium 使用了微软 Microsoft Exchange 服务器的 4 个 0day 访问西方组织的电邮通信。勒索软件组织 HelloKitty 利用了 SonicWall SMA 100 VPN 的 1 个 0day。微软、苹果和 Google 软件的 0day 利用占到了所有攻击的四分之三。

安全公司 Check Point 的研究人员发现了一个高危漏洞允许攻击者控制数百万计的 Android 设备。该漏洞属于越界漏洞，存在于 ALAC—Apple Lossless Audio Codec—编解码器中。ALAC 是苹果在 2004 年推出的音频格式，用于提供无损音频。苹果多年来一直在更新自己的私有版本修复安全漏洞，而高通和联发科则使用了一个开源版本，但这个开源版本自 2011 年以来就没有更新过。绝大部分 Android 设备都使用高通或联发科的移动芯片组。黑客可利用该漏洞强迫解码器执行恶意代码。研究人员估计 2021 年销售的智能手机中有三分之二存在该漏洞。高通和联发科去年就释出了补丁，如果 Android 设备的最新补丁是在 2021 年 12 月之后，那么漏洞已经修复。

Google Project Zero 回顾了 2021 年 Android 平台发现的 0day 漏洞。7 个 0day 中有 5 个针对的是 GPU 驱动，如果对 Android 生态系统及其碎片化有所了解的话，这一结果并不令人惊讶。Android 生态系统是相当零碎的，有众多不同的版本，不同的厂商定制。攻击者如果想要拥有攻击 Android 设备的能力，将需要维护很多不同的漏洞才能覆盖相当大比例的 Android 设备。但如果攻击者选择针对 GPU 内核驱动，那么他们只需要两个漏洞。因为绝大部分 Android 设备使用两种 GPU 之一：高通 Adreno GPU 或 ARM Mali GPU。

联想释出最新固件修复三个 UEFI 漏洞。三个漏洞都是 ESET 的研究人员发现的，其中两个允许攻击者关闭储存 UEFI 固件的 SPI 闪存芯片的安全保护，关闭 UEFI Secure Boot 功能。第三个漏洞则允许本地攻击者提权执行任意代码。三个漏洞影响超过 100 个型号联想笔记本电脑，其中包括 IdeaPad 3、Legion 5 Pro-16ACH6 H 和 Yoga Slim 9-14ITL05，受影响用户数以百万计。攻击者需要从本地利用这些漏洞，因此利用的门槛相当高。尽管如此，用户应该尽快更新固件。

加拿大多伦多大学公民实验室称，有证据显示英国政府官员成为以色列间谍软件 Pegasus 的攻击目标，其中包括首相官邸所在的唐宁街十号。它已经将这一发现报告给了英国政府。另一个受攻击目标是外国联邦和发展办公室（Foreign Commonwealth and Development office）。被怀疑发动攻击的人与阿联酋、印度、塞浦路斯和约旦有关联，首相官邸的间谍软件感染与阿联酋有关。NSO Group 销售 Pegasus 需要获得以色列国防部的批准，而在销售之后该公司也会密切监视客户对间谍软件的使用，但越来越多的证据显示，根本不存在所谓的“密切监视”。

美国联邦机构 CISA、NSA、FBI 和能源部联合发表声明，对政府支持黑客攻击工业控制系统发出警告。警告称，黑客能使用定制模块化恶意软件扫描、破坏和劫持工业控制系统（ICS）和监测控制和数据采集（SCADA）设备。有可能被破坏和劫持的设备包括施耐德电气的 MODICON 和MODICON Nano PLC，欧姆龙 Sysmac NJ 和 NX PLC，以及 Open Platform Communications Unified Architecture (OPC UA)服务器。过去几年，越来越多的有政府背景的黑客选择以工控系统作为攻击目标，而工控系统是基础设施的重要组成部分。

过去 50 天乌克兰对俄罗斯士兵执行了 8000 多次面部扫描，然后根据结果联络了数百名家属。乌克兰使用的是美国公司 Clearview AI 的面部识别软件。Clearview AI 向乌克兰免费提供了它的服务，它的数据库有十分之一的数据来自于俄罗斯最大的社交网络。

Google 释出紧急更新修复 Chrome 浏览器的两个漏洞，其中之一是正被攻击者利用的 0day 漏洞。这是今年至今 Google 第三次释出紧急更新。编号为 CVE-2022-1364 的漏洞属于类型混淆漏洞，此类漏洞是指程序用一种类型分配资源，但之后用一种不兼容的类型访问资源，在 C 或 C++ 语言中该漏洞会导致内存访问越界。该漏洞可能会导致浏览器崩溃或触发逻辑错误，攻击者可利用该漏洞执行任意代码。

思科披露了一个高危等级 10/10 的漏洞 CVE-2022-20695，影响其 Wi-Fi 管理软件 Wireless LAN Controller (WLC)。思科称，漏洞是因为 密码检查算法的不正确实现导致的，攻击者可以通过构造凭证利用漏洞登陆受影响的设备。受影响的思科设备需要尽快更新到最新版本。

微软 Detection and Response Team (DART) 和 Threat Intelligence Center(MTIC) 的研究人员披露了黑客组织 Hafnium 如何利用 Windows 任务调度程序植入持久性后门的方法。任务调度程序通常被 IT 管理员用于自动化琐碎的任务如更新程序、整理文件系统和启动特定应用。黑客滥用该功能创建隐藏任务，让被入侵的设备在重启之后仍然能远程访问：一旦重启，隐藏任务会与 Hafnium 的指令服务器重新建立后门连接。为了隐藏该任务，恶意程序通过令牌盗窃获得 SYSTEM 级权限，删除任务的安全描述项注册表值，在 GUI 和任务调度中将会看不到该任务，只有手动检查注册表才能发现隐藏任务。

名叫 NB65 的黑客组织过去一个月使用 Conti 泄露的勒索软件源代码创建自己的勒索软件去攻击俄罗斯公司。俄罗斯机构很少受到勒索软件攻击，这种情况被认为是出于一种默契，俄罗斯黑客通过不攻击本国机构而让执法机构对外国的攻击视而不见。NB65 攻击的机构包括了 Tensor、俄罗斯宇航局、电视广播公司 VGTRK 等。其中对 VGTRK 的攻击最引人注目，黑客窃取了 786.2 GB 数据，包括 900,000 电邮和 4,000 文件，发布在 DDoS Secrets 网站上。Conti 的源代码是在该组织公开支持俄罗斯后被支持乌克兰的成员泄露的。

2 月 24 日在俄罗斯攻击乌克兰的同一时间，Viasat 公司位于欧洲和乌克兰的卫星终端突然离线，德国数千风力涡轮机失去了用于远程控制和管理的卫星网络。本周 Viasat 提供了这起安全事故的更多细节。攻击者利用了 VPN 访问了该公司的 KA-SAT 卫星网络，通过搜索其内网找到了管理和运营的特定网络，同一时间向用户的调制解调器发送破坏指令覆写 Flash 存储器。根据上传到 VirusTotal 的样本，擦除器恶意软件是通过恶意固件更新推送给用户的。换句话说这本质上是又一起供应链攻击事故。

GitLab 修复了一个高危漏洞，该漏洞影响 GitLab Community Edition (CE) 和  Enterprise Edition (EE)，允许远程攻击者使用硬编码密码控制用户账号。硬编码密码 123qweQWE!@#000000000 是意外加入到代码中，GitLab 督促用户立即升级到最新的 14.9.2、14.8.5 或 14.7.7 版本以防止潜在的攻击。它还重置了部分用户的密码，表示尚未发现有证据显示攻击者利用该漏洞控制用户账号，此举旨在防患未然。

苹果周四释出了补丁修复了两个 0day 漏洞。漏洞是由一名未公开名字的研究人员发现的：第一个漏洞 CVE-2022-22675 位于 macOS Monterey 和 iOS 或 iPadOS 中，与越界写（out-of-bounds write）问题有关，允许黑客使用内核权限执行恶意代码；第二个漏洞 CVE-2022-22674 也是与越界写问题有关，会导致内核内存泄露。苹果表示这两个漏洞可能正被利用。CVE-2022-22674 和 CVE-2022-22675 是苹果今年修复的第 4 和第 5 个 0day 漏洞。

因俄罗斯电信公司 RTCOMM 的 BGP 配置错误，部分 Twitter 的流量短暂路由经过俄罗斯。周一的这起事故持续了约 45 分钟，直至 RTCOMM 停止广播错误路由为止。网络分析公司 Kentik 的 Doug Madory 认为这起事故的起因是俄罗斯政府试图阻止本国网民访问 Twitter，但可能是由于意外，RTCOMM 的变更路由影响到了整个互联网。他认为 RTCOMM 试图通过修改 BGP 丢弃特定 IP 范围内的流量，接受错误 BGP 广播的 ISP 会将特定 Twitter IP 空间路由到俄罗斯，然后被丢弃。他不认为俄罗斯尝试发动中间人攻击。

黑客被发现入侵 WordPress 网站植入恶意脚本，利用网站访客对多个乌克兰域名发动 DDoS 攻击。被攻击的网站包括乌克兰政府机构、智库、International Legion of Defense of Ukraine 的招募网站等。当用户访问被植入恶意脚本的网站，浏览器会加载脚本对被攻击域名发出 HTTP GET 请求，并发连接数一次最多 1000 次。DDoS 攻击发生在后台，用户察觉不到，最多感觉到浏览器访问缓慢。安全研究员 Andrii Savchenko 称有数百个 WordPress 网站植入了这一恶意脚本。

匿名者黑客组织（Anonymous）声称窃取并泄露了雀巢的大量数据。雀巢予以否认，称数据实际上是几周前自己泄露的。Anonymous 本周声称从这家全球食品和饮料集团窃取并泄露了 10GB 的数据。Anonymous 表示，它在惩罚雀巢，因为它不愿撤出俄罗斯。Anonymous 称，这些数据包括内部电子邮件、密码和雀巢的客户信息，数据于周二发布到网络上。根据雀巢发言人的说法，这完全是谎言。“最近关于雀巢遭到网络攻击以及随后的数据泄露的说法是没有根据的。”这位发言人解释说，网上流传的大量数据实际上是该公司今年早些时候犯下的一个错误的产物：“这与二月份的一个事件有关，因为无心之失，一些随机且主要是公开可用的 B2B 测试数据短时间内可以在线访问。”公司发言人解释说，这些数据，其中一些已公开，另一些尚未公开，意外地在互联网上公开了数周。该发言人表示：“一些主要公开的数据（例如，公司名称和公司地址以及一些企业电子邮件地址）在有限的时间（几周）内错误地在网络上公开。我们的安全团队当时检测到了这个问题，并进行了适当的审查。这些数据是为 B2B 测试网站准备的，目的是为了进行一些功能检查。”

英国警方逮捕了与 Lapsus$ 黑客组织有关联的 7 名嫌疑人。他们的年龄在 16 到 21 岁，现已经释放，警方表示调查还在继续。在这之前，一名住在英国牛津的少年被怀疑是 Lapsus$ 的主谋。这位名叫 WhiteDoxbin 的少年曾购买了一个专门曝光和分享个人身份信息的网站 Doxbin，但因为管理不善最终将网站转让给了原拥有者，但在放弃前他通过 Telegram 公开了整个 Doxbin 网站数据集，作为报复 Doxbin 社区公开了 WhiteDoxbin 的个人信息，包括家庭地址、社会媒体照片，其父母的信息。警方没有确认这位少年是否在被捕名单之中。Lapsus$ 的活动都是在 Telegram 频道进行，几乎没有掩盖其痕迹。

Lapsus$ 组织最近成功入侵了多家知名企业，其中包括英伟达和微软。安全研究人员在调查后认为，住在英国牛津与母亲生活在一起的 17 岁少年是 Lapsus$ 的主谋。Lapsus$ 窃取到了部分微软产品源代码，但源代码的下载并没有完成，黑客在完成下载前就在其 Telegram 频道披露了消息，让微软有机会终止下载。LAPSUS$ 的活动至少是从 2021 年 11 月开始，一名核心成员使用了化名 Oklaqq 和 WhiteDoxbin 在 Reddit 上招募企业内部人士，以一周最高付费 2 万美元进行收买。LAPSUS$ 没有建立暗网网站，其运作完全是通过其 Telegram 频道。WhiteDoxbin 曾收购了一个专门曝光个人身份信息的网站 Doxbin，但因为管理不善最终将网站亏损转让给了原拥有者，但在放弃前他通过 Telegram 公开了整个 Doxbin 网站数据集，作为报复 Doxbin 用户公开了 WhiteDoxbin 的个人信息，包括从他家外面拍摄的视频。Doxbin 用户透露 WhiteDoxbin 通过买卖 0day 漏洞发家，积累了超过 300BTC，价值约 1400 万美元。由于他的年龄只有 17 岁，尚未受到正式指控，媒体没有公开他的名字，但去了他的家询问了他的母亲。其母表示对其活动不知情，表示家庭受到骚扰，拒绝让儿子接受采访，称正在联络警方。Lapsus$ 的另一名成员被认为是住在巴西的少年。

安全公司 Avast 的研究人员发表报告《Operation Dragon Castling》，称攻击者利用金山办公软件 WPS Office 的漏洞，攻击东南亚尤其是台湾香港菲律宾的博彩公司。鉴于攻击者的娴熟技术和使用的先进工具，研究人员怀疑是某个 APT 组织在搜集情报或获取经济利益。攻击者使用的策略包括向目标公司的支持团队发送邮件，要求他们检查软件的 bug，邮件附带了一个感染了病毒的安装程序。攻击者使用的另一种方法是假的 WPS 更新程序 wpsupdate.exe，该更新程序从属于金山的域名 update.wps[.]cn 下载，但域名对应的 IP 地址 103.140.187.16 不属于金山公司所有。研究人员猜测是它是攻击者使用的假更新服务器。该更新程序会通过侧加载（sideloading）安装两个恶意程序建立后门控制被感染计算机。