微软的代码签名流程能被攻击者的利用。G Data 的安全研究人员本月早些时候收到了一个可能的误报：由微软签名的 NetFilter 驱动程序。从 Windows Vista 开始，在内核模式中运行的任何代码在公开发布前都需要经过微软的测试和签名，以确保操作系统的稳定性。没有微软签名的驱动程序默认是无法安装的。但安全研究人员在仔细分析后发现，Netfilter 是一个 rootkit 恶意程序，能自我更新和向攻击者的 IP 发送信息。WHOIS 查询显示，该 IP 地址属于宁波卓智创新网络科技有限公司。微软表示正在调查这起事件，它称攻击者通过 Windows Hardware Compatibility Program 项目递交驱动签名，它已经吊销了递交者的账号，评估其递交寻找恶意程序的其它信号。该恶意程序针对的是中国地区的游戏玩家。

安全研究人员在戴尔预装在其 Windows PC 上的 SupportAssist 软件的 BIOSConnect 功能中发现了 4 个安全漏洞，允许攻击者在受影响设备的 BIOS 中远程执行代码，控制设备的引导过程。这些漏洞影响戴尔 129 个型号的三千万台 PC。四个漏洞之一是 BIOS 到戴尔的不安全 TLS 连接 (CVE-2021-21571) ，其余三个是溢出漏洞(CVE-2021-21572，CVE-2021-21573 和 CVE-2021-21574）。

BBC 国际频道制作了 10 集播客《The Lazarus Heist》（YouTube），试图还原 2016 年发生的孟加拉银行大劫案。这宗抢劫央行大案现在被认定是朝鲜黑客组织 Lazarus 所为。2016 年 2 月，黑客向 SWIFT（环球银行金融电信协会网络）发出 35 条欺诈指令，要求将 10 亿美元从美国纽约联邦储备局转入孟加拉央行账户，5 条被确认，成功转走 1.01 亿美元，但另 30 条涉及 8.5 亿美元的转款指令被纽约联储局拒绝，因为指令中发现拼写错误。流向菲律宾的 8100 万美元赃款尚未全数追回，但流向斯里兰卡的 2000 万美元已追回。黑客作案从 2 月 4 日周四孟加拉时间晚上 20:00 时开始，纽约时间是周四上午，正常工作时间。孟加拉银行周五、周六休息，等到发现黑客袭击时，已经是纽约的周末。选择周四晚上作案显然是有精心考虑的。

安全研究人员在 Python 软件包仓库 PyPI 发现了伪装成合法程序包含挖矿软件的恶意包。这些恶意软件包利用输错名字的方式安装到受害者计算机上，例如一个流行的软件包叫 matplotlib，攻击者上传了名字相似的软件包 mplatlib 或 maratlib。恶意代码包含在 setup.py 文件内，会在计算机上安装挖矿程序 ubqminer 或 T-Rex。这些恶意软件包共下载了约 5000 次，由同一位用户上传，最早上传是在 4 月份。其它流行的软件包库发现过类似的攻击。

黑客删除了 NewsBlur 网站的所有 Mongo 数据库，将下载的 250 GB 数据作为“人质”进行勒索。NewsBlur 提供 RSS 在线阅读服务，创始人在 HN 上解释说，当时他正在切换 Mongo 服务器，他的 ufw 防火墙本来设置禁止外部 IP 访问内部服务器，但由于 Docker 的问题导致了 Mongo 服务器可以公开访问，一个黑客或者脚本小子在大约 3 小时后扫描到了公开的 Mongo 数据库，因此下载并删除了数据库。NewsBlur 表示会很快通过备份恢复服务。

安全公司 Cybereason 的研究发现，选择支付赎金的绝大部分组织会再次遭到勒索软件攻击，而且很多时候是同一个勒索软件组织。Cybereason 发现，支付赎金的组织有八成会再次遭到攻击，大约半数为相同的攻击者。研究还显示，在遭到勒索软件攻击之后采取的应对方法主要包括安全意识培训和安全操作。预防是确保组织不会成为受害者的最佳策略。

Prossimo 项目宣布与 Miguel Ojeda 签订合同使用 Rust 语言全职开发 Linux 内核，合同期为一年。这一项目得到了 Google 的资助。Rust 是一种高性能、内存安全的语言，而软件项目发现的大部分漏洞都属于内存安全相关漏洞，用 Rust 开发内核将有助于改进内核的内存安全。Linux 内核是现代互联网的心脏，位于网络数据和其它形式输入数据处理的第一线，它的漏洞将会产生广泛的影响。Linux 主要是用 C 语言开发的，C 不是一种内存安全的语言，缓冲溢出和释放后使用等内存安全漏洞是需要经常关注的问题，用 Rust 语言开发部分 Linux 组件如驱动将有助于消除内存安全漏。

安全研究员 Andrew Brandt 发现了一种不同寻常的恶意程序，设计专门打击软件盗版。被称为 Vigilante 的恶意程序通过盗版网站传播，受害者下载和执行后会将执行的文件名和 IP 地址发送给攻击者控制的服务器，然后修改主机的 Hosts 文件将一千多个盗版网站的域名指向本地地址 127.0.0.1，受害者如果不手动修改 Hosts 文件删除相关条目的话将会无法再访问盗版网站。被屏蔽的盗版网站包括了海盗湾 thepiratebay.com 等。

乌克兰警方与韩国警方合作逮捕了勒索软件黑帮 Clop 的六名嫌疑人，扣押了大量现金、包括特斯拉和梅塞德斯在内的汽车，以及大量苹果电脑。Clop 据报道去年以韩国 E-Land 集团为目标，在 12 个月内窃取到 200 万信用卡信息。在进入该公司内网之后 Clop 部署了远程访问木马 Flawedammyy。趋势科技称，在最臭名昭著的勒索软件黑帮 Conti、Doppelpaymer、Egregor、Clop 和 REvil 中，Clop 在网上公开了 5 TB 窃取的数据，超过其它勒索软件黑帮。它攻击的美国目标包括了斯坦福大学医学院、马里兰大学和加州大学。

勒索软件组织通常在俄罗斯等东欧国家境内运营，随着勒索软件对西方国家基础设施的挑战日益严峻，七国集团成员国发表联合声明，呼吁俄罗斯等国打击其境内的勒索软件组织。七国集团包括加拿大、法国、德国、意大利、日本、英国和美国。在这之前，Colonial Pipeline 因勒索软件攻击一度关闭了美国东海岸的燃油管道，而肉制品供应商 JBS Foods 在勒索软件攻击之后美国和澳大利亚的牛肉供应出现了问题。

一组黑客组合利用 Slack 和社会工程技术从 EA 公司窃取到了 FIFA 21 和 Frostbite 引擎的源代码。黑客声称共窃取到了 780GB 数据，他们正在多个地下黑客论坛兜售源代码。黑客透露，他们首先花了 10 美元购买了能用于访问 EA Slack 频道的 cookies，在使用窃取的 cookies 访问 EA Slack 频道后，他们向 IT 支持发信息称因为昨晚的派对手机丢失了，黑客请求 IT 支持发送新的多因素认证令牌。黑客称这一社会工程方法让他们两次得手。一旦利用认证令牌进入 EA 的企业内网，他们发现了 EA 开发者用于编译游戏的服务器。

今年早些时候，波兰游戏开发商 CD Projekt Red 遭到了勒索软件的攻击，黑客在勒索通知中宣称他们窃取了《赛博朋克 2077》、《巫师3》、《巫师之昆特牌》以及未发布版本的《巫师3》的源代码，以及一些企业内部文件。有消息称 CD Projekt 支付了赎金。但过去几天，黑客窃取的 762 GB 的游戏源代码出现（不推荐下载）了 BT 网站上，玩家还在源代码中发现了一些与审查相关的代码。CD Projekt 现在发表声明证实它的源代码在网络中开始流传，问题比此前预计的更严重，它的雇员/前雇员信息也遭到泄露。

NordLocker 公司的安全研究人员发现了一个包含敏感数据容量高达 1.2TB 的数据库，这些数据被认为是未知恶意程序从被感染的设备上窃取的。数据库包含了 2600 万登陆凭证，超过 20 亿浏览器 cookies，660 万文件，部分文本文件储存了密码。此外还有 100 多万图像，65 万 Word 和 PDF 文件，以及屏幕截图和设备摄像头拍摄的图像。恶意程序还收集了消息、邮件、游戏和文件共享应用相关的数据。这些数据来自了 300 万台被感染的 PC，时间是从 2018 年到 2020 年。安全分析师认为恶意程序的目的很可能是为了窃取加密货币。窃取的密码已经上传到了 Have I Been Pwned。

微软周二释出的例行安全更新修复了 49 个安全漏洞，其中 6 个正被利用。6 个 0day 漏洞：CVE-2021-33742 是 Windows HTML 组件的远程代码执行漏洞；CVE-2021-31955 是 Windows Kernel 的信息暴露漏洞；CVE-2021-31956 是 Windows NTFS 提权漏洞；CVE-2021-33739 是 Microsoft Desktop Window Manager 的提权漏洞；CVE-2021-31201 和 CVE-2021-31199 是 Microsoft Enhanced Cryptographic Provider 的两个提权漏洞。提权漏洞对攻击者具有高价值，一旦攻击者获得初始立足点之后他们通过提权获得系统或域级别的访问权限。

调查网络攻击的安全公司 Mandiant 的高级副总裁 Charles Carmakal 称，黑客是在 4 月 29 日通过一个 VPN 账号进入美国最大燃油管道公司 Colonial Pipeline 的内网。VPN 允许雇员远程访问公司内网。该账号当时已经不再使用了，但仍然能用于访问内网。账号使用的密码曾被泄露到暗网，这意味着一位 Colonial Pipeline 雇员可能有另一个使用相同密码的泄露账号。至于黑客是如何获得密码 Carmakal 表示无法确定。该 VPN 账号没有使用多因素身份验证，因此黑客只要使用账号名和密码就能进入内网。调查人员不知道黑客是如何获得正确的用户名的。Carmakal 称他们没有发现公司雇员曾遭到钓鱼攻击。5 月 7 日凌晨 5 点，Colonial 控制室的一名雇员看到了勒索通知，他通知了上司，上司随后开始了关闭管道的程序。上午 6:10，全部燃油管道被关闭。

WordPress 强制对五百多万使用 Jetpack 插件的网站执行安全更新。Jetpack 是一个非常受欢迎的 WordPres 插件，提供了免费的安全、性能和管理功能，包括暴力破解保护、网站备份、安全登陆、恶意程序扫描等。它的活跃安装量超过了五百万，由 WordPress 母公司 Automattic 开发和维护。新发现的安全漏洞影响自 2012 年发布 Jetpack 2.0 起的所有版本。开发团队未发现漏洞正被利用，但随着安全更新的释出，漏洞被利用只是时间问题。

富士胶片发表声明称其服务器遭到未经授权访问，它因此关闭了部分网络断开了与外部的通信。富士称它是在 6 月 1 日晚上了解到可能遭到勒索软件的攻击。它没有披露是遭到哪个勒索软件的攻击。安全研究人员称富士上个月曾感染了木马 Qbot，而 Qbot 恶意程序团队目前正与勒索软件组织 REvil 密切合作。最近对世界最大肉品供应商 JBS 的勒索软件攻击被认为就来自于 REvil。

如果网站支持 HTTPS，Microsoft Edge 通过 HTTP 访问该网站时将自动切换到 HTTPS。该功能已包含在测试版本中，正在推送给部分挑选的 Microsoft Edge 92 用户。自动切换到 HTTPS 连接将能阻止中间人攻击，防止流量纂改。如果 Microsoft Edge 用户现在就想启用该功能，可以打开 edge://settings/privacy，启用 Automatically switch to more secure connections with Automatic HTTPS。

世界最大的肉加工企业 JBS 遭到勒索软件攻击，公司临时关闭了位于澳大利亚、加拿大和美国的部分运营，有数千工人受到影响。勒索软件组织被认为来自俄罗斯。美国白宫表示 FBI 正对此展开调查。俄罗斯副外长 Sergei Ryabkov 告诉当地媒体拜登当局已联络莫斯科讨论网络攻击。JBS 于 1953 年在巴西创办，在 15 个国家拥有超过 150 家工厂，雇佣了超过 15 万员工。该公司表示其备份系统没有受到影响。

微软表示，去年年底发现的 SolarWinds 供应链攻击背后的黑客组织现在正瞄准政府机构、智库、顾问公司和非政府组织。微软称，源自俄罗斯的 Nobelium 与2020年攻击 SolarWinds 客户的幕后黑手是同一个行动者。“这一波攻击的目标是 150 多个不同组织的大约 3,000 个电子邮件账户。”至少有四分之一的目标组织参与了国际发展、人道主义问题和人权工作。微软说， Nobelium 通过侵入美国国际发展署(USAID)使用的电邮营销账户发起了本周的攻击，并从那里对许多其他组织发起了网络钓鱼攻击。