剑桥大学的研究人员发表论文，介绍了在源代码中隐藏人眼看不见的漏洞的攻击方法。POC 攻击代码已发布在 GitHub 上。这种被称为 Trojan-Source 的攻击方法利用的是字符编码标准 Unicode 中的微妙之处，利用方向覆盖、同形异义等创造出对编译器和人类代码审查员视觉上存在差异的源代码，人眼看不出漏洞，但对编译器来说逻辑编码顺序和显示的顺序是不同的。这种攻击方法对 C、C++、C#、JavaScript、Java、Rust、Go 和 Python 都有效，研究人员已经将漏洞报告给了相关项目。

Hive 勒索软件新变种能加密 Linux 和 FreeBSD 系统，但新变种还在开发之中，功能缺乏。安全公司 ESET 的研究人员发现，Hive 的 Linux 变种存在严重 bug，恶意程序在执行时加密会完全失败。Linux 变种只支持一个命令行参数，而它的 Windows 版本支持 5 个执行选项，包括杀死进程，略过磁盘清理，绕过不感兴趣的文件等。Linux 变种如果不是以 root 权限执行的话会无法激活加密。Hive 勒索软件组织是从今年 6 月开始活跃，是众多开始将 Linux 服务器作为攻击目标的勒索软件组织之一。

据伊朗国家电视台报道，一场针对伊朗电子卡支付系统的网络攻击，扰乱了伊朗全国各地的燃油销售，迫使全国各地的司机在加油站排起长队。“发生的袭击……被视为一场大范围破坏，具有网络攻击的特征。”网络空间最高委员会秘书 Abolhassan Firoozabadi 周二晚间对国家电视台表示。Firoozabadi 表示攻击针对的是加油站的网络管理系统，与燃料的分配和生产无关，可能是某个国家发动的。伊朗没有给出涉嫌发动攻击的国家身份，也没有任何组织宣布对此次攻击负责。有大约 4000 个加油站受到攻击影响，大约 1700 个加油站在数小时内恢复运营。

安全公司 Bitdefender 的研究人员发现，一种流量重定向 Rootkit 恶意程序以某种方式通过了驱动程序认证程序， 获得了微软签发的数字签名证书。有效的证书让 Rootkit 能绕过操作系统的限制。窃取企业的数字证书在网络犯罪领域并不罕见，但直接从微软获取合法证书则令人困惑。安全研究人员猜测可能是犯罪分子尝试着递交驱动进行验证，然后不知为何通过了审核获得了证书。名为 FiveSys 的 rootkit 被认为主要通过捆绑破解软件传播，它会安装一个定制 root 证书将流量重定向通过一个代理服务器，它主要被用于攻击网游玩家，旨在窃取登陆凭证和劫持游戏内购买。网络游戏内的虚拟物品交易会涉及到大量资金。

据现任和前任美国官员透露，在夏天的一次勒索软件攻击中，数百家企业和机构的计算机被锁定。尽管 FBI 已秘密获得了能帮助解锁这些计算机的密钥，他们还是拖延了近三周，没有及时伸出援手。

密钥是通过访问发动袭击的俄罗斯犯罪团伙的服务器获得的。立即使用密钥能帮助受害者——包括学校和医院——避免分析师估计的大约数百万美元的恢复成本。但是在其他机构的同意下，FBI 没有这样做，部分原因是它计划开展一项行动打击这个被称为 REvil 的黑客组织，它不想打草惊蛇。而政府评估认为危害并不像最初担心的那么严重。

现任和前任官员表示，计划中的打击并未发生，因为美国政府还未出手，REvil 平台就在 7 月中旬下线，黑客在 FBI 有机会执行其计划之前就消失了……FBI 最终在 7 月 21 日同软件被感染勒索软件的 IT 公司 Kaseya 分享了该密钥——在攻击发生 19 天之后。Kaseya 要求新西兰安全公司 Emsisoft 创建一个新的解密工具，并在第二天公布了该工具。但对于部分受害者已为时过晚……

FBI 局长 Christopher A. Wray 上周二在国会作证时表示，延误的部分原因是因为与盟友及其他机构的合作。他表示：“我们是作为一个整体做出决定的，而不是单方面做出决定。”他还指出他必须限制自己的言论，因为调查还在进行之中……他还表示“测试和验证”解密密钥导致了延迟。他在参议院国土安全委员会听证会上表示，“开发一种可供受害者使用的工具需要很多工程工作。”

然而，Emsisoft 能迅速采取行动。Emsisoft 首席技术官 Fabian Wosar 表示，他们从 FBI 提供给 Kaseya 的内容中提取出密钥，创建了新的解密程序并对其进行了测试，这一切只花了 10 分钟。因为该公司熟悉 REvil 的勒索软件。Wosar 表示：“如果我们需要从头开始的话，大概需要花四个小时。”

报道沙特新闻并撰写了一本有关沙特王储 Mohammed bin Salman 书籍的《纽约时报》记者 Ben Hubbard 被以色列公司 NSO Group 的间谍软件 Pegasus 入侵。加拿大多伦多大学公民实验室周日披露，Hubbard 在 2018 年 6 月到 2021 年 6 月之间多次成为间谍软件的攻击目标，2020 年 7 月到 2021 年 6 月他的手机感染了 Pegasus，公民实验室对哪位 NSO Group 客户发动攻击没有下定论，但认为同一攻击者还在 2021 年入侵了另一名沙特活动人士的手机。Hubbard 的手机号码在 2019 年出现在 Pegasus 项目清单上。

电邮服务 Fastmail、Runbox 和 Poste 正遭到大规模 DDoS 攻击，攻击者要求支付比特币以停止攻击。Runbox 称，攻击流量超过了 50 Gbps，间歇性的屏蔽了客户对其服务的访问。向勒索者支付金钱并不能保证未来不会发生类似的攻击，只能让此类攻击变得更具有吸引力，增加未来发动 DDoS 攻击得可能性。相同得勒索者还攻击了 Fastmail 和 Poste。

俄罗斯勒索软件组织 REvil 本周再次下线，该组织运营者 0_neday 自称服务器遭到入侵。据路透报道，执法机构和情报人员采取行动阻止 REvil 继续伤害其它公司。美国特勤局网络犯罪调查顾问、VMWare 网络安全战略负责人 Tom Kellermann 称，FBI、特勤局以及其它志同道合的国家合作对勒索软件组织发动了破坏性行动，而 REvil 是主要目标。REvil 在今年 7 月曾下线了数个月，据报道当时美国的执法和情报机构入侵了 REvil 基础设施，至少获得了对部分服务器的访问权。上个月，0_neday 等人重新恢复服务时无意中重启了已被执法机构控制的内部系统。

2019 年以来，黑客一直在劫持知名的 YouTube 频道。有时他们会广播一些加密货币骗局，有时只是拍卖这些账户的访问权。现在 Google 详细揭露了这些受雇黑客过去几年用于入侵数千名 YouTube 内容作者的技术。

加密货币骗局和账户接管并不罕见；去年秋天的 Twitter 黑客事件就是一个例子。但针对 YouTube 帐户持续不断的攻击却因其广度和黑客使用的方法而引人注目。他们采用的是一种古老的策略，尽管如此，防御却非常棘手。

攻击都始于网络钓鱼。攻击者会向 YouTube 作者发送一封看似来自真实服务的电子邮件——例如 VPN、照片编辑应用程序或防病毒产品，并提出合作建议。他们提议进行标准的促销：向你的观众展示我们的产品，我们将向你支付费用。对于 YouTube 网红来说，这是每天都在发生的交易，网红借此获得收益。

然而点击链接下载产品会将他们带到恶意软件登录站点——而不是真正的交易站点。某些情况下，黑客会冒充 Cisco VPN 和 Steam 等知名网站，或者冒充专注新冠的媒体。Google 表示，它迄今发现了 1000 多个域名，这些钓鱼域名都是为感染不知情的 YouTube 用户建立的。这暗示出了此类攻击的规模。该公司还发现了 15,000 个与这些计划背后的攻击者有关的电邮账户。这些攻击者似乎并不是一伙的；Google 表示，在俄语论坛上有各种黑客都在宣传账户接管服务。

一旦 YouTube 用户下载了恶意软件，它就会从他们的浏览器中获取特定的 cookie。这些“会话 cookie”确认用户已成功登录到他们的账户。黑客可以将这些偷来的 cookie 上传到恶意服务器，让他们冒充已通过身份验证的受害者。会话 cookie 对攻击者来说特别有价值，因为它们不需要再经过登录流程的任何部分。

计算机制造商宏碁证实其在印度的服务器遭到入侵，它在台湾的部分系统也被黑客侵入。自称 Desorden 的黑客组织称从宏碁印度窃取了超过 60 GB 的数据，包括数百万客户的信息、零售商和分销商使用的登陆凭证、以及企业文件和财务报表。黑客还声称从宏碁台湾服务器上窃取到了该公司雇员的信息。宏碁虽然承认遭到入侵，但否认客户数据失窃。Desorden 通常会威胁在黑市出售窃取的数据来进行勒索。

一名黑客窃入侵了阿根廷政府 IT 系统，窃取了全国人口的 ID 数据库，而相关信息正在私下兜售。攻击发生在上个月，目标是国家人口登记处 RENAPER 的数据库。RENAPER 向居民发放国家身份证，它储存了可供政府机构查询 ID 信息的数据库。攻击者本月初首先通过 Twitter 账号 @AnibalLeaks 披露了 44 位阿根廷名人的 ID 卡照片和个人细节，其中包括总统 Alberto Fernández、多名记者和政客，足球明星梅西（Lionel Messi）和阿奎罗（Sergio Aguero）。阿根廷政府之后承认遭到入侵，但否认数据库被窃取。然而有证据显示黑客正在出售 RENAPER 完整数据库的访问权。数据库包含了居民的全名、家庭住址、出生日期、性别、身份证签发和到期日期、劳工身份代码、Trámite 号码、公民号码和政府照片 ID。

对 300 名美国 IT 决策者的调查发现，64% 的回应者是勒索软件攻击的受害者，而其中 83% 受害者支付了赎金。调查还发现，因勒索软件威胁 72% 增加了网络安全预算，93% 专门拨款应对勒索软件威胁。半数回应者称，勒索软件攻击导致他们收入减少和名誉受损，42% 的人称因攻击而丢失了客户，超过 30% 的人称被迫裁员。勒索软件攻击主要是通过邮件、其次是应用程序，第三是云端服务。

俄罗斯勒索软件组织 REvil 今年 7 月突然从暗网消失，但在 9 月再次现身。现在，REvil 的一位运营者 0_neday 在 XSS 论坛上称有人控制了该组织的 Tor 支付入口和数据泄露网站。0_neday 解释说，在 REvil 组织内部只有两个人——他和 Unknown 拥有 REvil 的域名密钥，Unknown 在 7 月消失被认为已经死亡，但上个周末有人用 Unknown 的密钥访问了 REvil 的域名。0_neday 声称 REvil 服务器被入侵，有人正在找他，表示要跑路了，“祝每个人好运”。专家认为，一种可能性是 Unknown “复活”不满意现状，还有一种可能性是在上一次关闭期间政府机构渗透进入了服务器获得了  Unknown 的密钥，决定现在采取行动。

研究人员证明，训练一种专用深度学习算法是可能猜出 41%的 4 位信用卡 PIN 码——即使受害者用手遮住了 ATM 机的键盘。发动攻击需要一个目标 ATM 机的复制品，因为训练算法了解不同密码键盘的特定尺寸和按键间距至关重要。接下来使用在 ATM 键盘上输入密码的视频，训练机器学习模型识别按键动作，猜测出可能的密码组合及其概率。

在实验中，研究人员收集了 5800 段来自 58 个不同地区/人种的人输入 4 位和 5 位 PIN 码的视频。预测模型运行在一台配备 128 GB RAM 的 Xeon E5-2670 以及三张 5GB RAM 的 Tesla K20m 上。通过三次尝试（通常是银行卡被扣留之前被允许的最大尝试次数），研究人员成功猜对了30% 的 5 位和 41% 的 4 位 PIN 码。模型可以根据非输入手的覆盖范围排除按键，评估两个按键之间的距离，从而根据另一只手的动作推测出按下的数字。摄像头的位置非常关键，尤其是在记录左撇子或者右撇子的人的动作时。隐藏在 ATM 顶部的针孔摄像机被认为是攻击者的最佳帮手。如果摄像头还能捕捉音频的话，该模型还能分辨每个数字按键声音反馈的细微差别，从而让预测更加准确。

四足机器人是机器人技术最有意思的发展之一。它们小巧灵活，能穿越轮式机器无法穿越的环境。所以把武器安装在这些机器人上面只是一个时间问题。美国公司 Ghost Robotics 制造的四足机器人 Vision 60 配备了轻武器公司 Sword International 的定制枪。枪本身（被称为 SPUR 或者“专用无人步枪”）的设计是打算安装在各种机器人平台上。它具有 30 倍光学变焦、用于在黑暗中定位的热像仪，有效射程为 1200 米。尚不清楚 Sword International 或 Ghost Robotics 目前是否在销售这种配备了武器的机器人。如果还没有开始的话，应该很快了。正如 Sword 网站上的营销文案夸耀的那样：“SWORD Defense Systems SPUR 是无人武器系统的未来，而那个未来就是现在。”

美国财政部上周五表示，今年前六个月，疑似遭到勒索软件攻击的赎金总额为 5.9 亿美元，比 2020 年全年报告的 4.16 亿美元更高。美国财政部表示，2021 年每月报告的勒索软件赎金交易平均金额为 1.023 亿美元，其中 REvil/Sodinokibi、Conti、DarkSide、Avaddon 和 Phobos 是报告中最常见的勒索软件病毒。为了阻止使用加密货币支付赎金，财政部告诉加密货币圈的成员，他们有责任确保不会“直接或间接”协助受到美国制裁禁令的交易。财政部的新指引说，加密货币行业在防止被列入黑名单的人利用虚拟货币逃避制裁方面，发挥着越来越重要的作用。

Google 委托网络安全公司 VirusTotal 分析了来自 140 个国家的 8000 万勒索软件样本，发布了勒索软件分析报告（PDF）。根据递交的样本数，以色列、韩国、越南、中国、新加坡、印度、哈萨克斯坦、菲律宾、伊朗和英国是受勒索软件影响最严重的十个国家。报告称，2020 年上半年在勒索软件即服务组织 GandCrab 的推波助澜下，勒索软件活动达到了其峰值。研究发现 2020 年第一季度来自 GandCrab 的勒索软件样本非常多，之后开始下降，它今天仍然活跃但其样本数量已经降低了几个量级。GandCrab 占到了 2020 年以来样本数的 78.5%，之后是 Babuk 和 Cerber，分别占样本数的 7.6% 和 3.1%。95% 的勒索软件文件是 Windows 可执行文件或 DLL，2% 是基于 Android。

最近对 Coinbase 用户的网络钓鱼行动表明，攻击者在盗取登录所需的一次性密码（OTP）上更聪明了。它还表明，网络钓鱼攻击者正试图注册数百万个新的 Coinbase 帐户，以找出与活跃帐户绑定的电邮地址。Coinbase 是世界第二大加密货币交易所，拥有来自 100 多个国家的约 6800 万名用户。现已失效的钓鱼网站 coinbase.com.password-reset[.]com（网站的默认语言是意大利语）针对的是意大利 Coinbase 用户。网络安全公司 Hold Security 的创始人 Alex Holden 认为，这个网站可以说相当成功。

他的团队设法发现了钓鱼网站的部分文件目录（目录文件隐藏得很糟糕），其中包括网站的管理页面。如屏幕截图所示，在网站下线之前，网络钓鱼攻击者至少捕获了 870 组凭据。每当有新受害者在钓鱼网站上提交凭据，管理面板都会发出一声响亮的“叮”——大概是为了提醒在网络另一端操纵骗局的人，又有新的“鱼”上钩了。每到这个时候，网络钓鱼攻击者就会手动按下一个按钮，让钓鱼网站向访问者询问更多信息，例如他们在移动应用程序上收到的一次性密码。Holden 表示：“这些人有能力从受害者那里实时索取进入其 Coinbase 帐户所需的任何信息。”按“发送信息”按钮会提示访问者提供其他的个人信息，包括他们的姓名、出生日期和街道地址。有了目标的手机号码，他们还可以点击“发送验证短信”按钮发送一条短信，要求访问者发回一次性密码。这个网络钓鱼组织似乎尝试过用超过 250 万意大利人的电子邮件地址来注册新的 Coinbase 账户，他们用这种方式找出意大利的 Coinbase 用户。他的团队设法恢复了受害者提交给网站的用户名和密码数据，几乎所有提交的电子邮件地址都以“.it”结尾。

此案的网络钓鱼攻击者可能没兴趣注册任何账户。他们知道用任何同现有 Coinbase 帐户绑定的电子邮件地址进行注册都会失败。在尝试了几百万次之后，钓鱼攻击者将新账户注册失败的电子邮件地址收集起来，并给这些邮件地址发送以 Coinbase 为主题的钓鱼电子邮件。Holden 的数据显示，该网络钓鱼团伙采用广撒网的方式，每天会进行数十万次的账户注册尝试。例如，在 10 月 10 日，骗子在Coinbase 的系统中检查了超过 216,000 个电邮地址。第二天他们又尝试注册 174,000  个新账户。

苹果加大力度抨击欧盟起草中的规定，称该规定将迫使其允许用户从其应用程序商店 App Store 之外安装软件，冒着网络犯罪份子和恶意软件带来的风险。苹果一直强烈抨击欧盟竞争事务执委维斯塔格提出的规定，该规定于去年宣布，旨在控制苹果、亚马逊、Facebook 和 Google。基于苹果执行长库克(Tim Cook)6月关于iPhone隐私和安全风险的评论，苹果周三发布了一份分析报告(PDF)，内容是有关于侧载(side-loading)的种种威胁。该报告称，“如果苹果被迫支持侧载，更多有害的应用程序会接触到用户，因为网络犯罪分子更容易锁定他们，即使侧载仅限于第三方应用程序商店。” 研究引用了网络安全服务提供商 Kaspersky Lab 的数据，数据显示每月有近 600 万次攻击影响了 Android 移动设备。

一名女子侵入了佛罗里达州一所飞行培训学校的系统，删除并篡改了飞机相关信息。据警方报告，在某些情况下，之前存在维护问题的飞机已经被篡改为适合飞行。学校的 CEO 称，这可能会将飞行员置于危险之中。现年 26 岁的 Lauren Lide 曾在佛罗里达 Melbourne 飞行培训学校工作，在父亲遭解雇之后，她于 2019 年 11 月底辞去了飞行运营经理的职务。法庭记录显示，几个月后，她侵入了前雇主的系统，删除并篡改了记录，显然是为了报复该公司。当地电视台最先报道了她被捕的消息。Melbourne 飞行培训公司 CEO Derek Fallon 于 2020 年 1 月 17 日报警，他 5 天前登录了公司用于管理和跟踪飞机的应用程序 Flight Circle 系统，发现有信息丢失。Melbourne 机场警方的一份文件显示，Fallon 发现有人删除了存在维修问题的飞机记录，检查提醒也全部被删除了，这意味着可能不安全的飞机被故意设置了适航。