五角大楼的采购主管警告军方及其承包商不要使用与俄罗斯和中国有关联的软件。五角大楼开始传阅一个被认为不符合国家安全标准的软件禁止购买清单。美国国防部是从六个月前开始编辑这个软件名单的。现在它正与三个主要的国防行业贸易协会——航天工业协会、国防工业协会和专业服务委员会——合作去警告大小型的国防承包商。详细的禁购软件名单没有披露。

微软安全博客披露了一起软件供应链攻击，软件巨人没有透露相关公司的名字。黑客入侵了一款 PDF 编辑器软件的字体包，利用它在用户机器上部署挖矿程序。这起事故的不同寻常之处是攻击涉及到供应链的供应链。PDF 编辑器供应商的网络没有受到攻击，遭到攻击的是它的供应商。黑客入侵了一家以 MSI 文件形式提供字体包的软件公司的云基础设施，在自己控制的服务器上复制了这家公司的云基础设施，拷贝和储存了所有 MSI 文件，然后反编译一个亚洲字体包的文件，植入了挖矿代码。利用一个未说明的弱点，攻击者能影响 PDF 编辑器使用的下载参数，将下载链接指向攻击者控制的服务器。因为 PDF 编辑器拥有系统权限，因此恶意代码也拥有用户机器的完整访问权限。

国有中远集团的美洲区计算机网络本周遭勒索软件攻击，48 小时后情况仍然没有好转。在周四发表的声明（PDF）中，中远集团称受影响的网络包括美国、加拿大、巴拿马、阿根廷、巴西、秘鲁、智利和乌拉圭。声明称，想要联络这些地区中远集团雇员的人必须改用特定的邮箱地址进行联络，该公司提供的邮箱地址除了中远集团自己的邮箱外，还有免费电邮服务 Yahoo、Gmail 和 Hotmail。勒索软件会通过加密计算机文件锁定系统，目前并不清楚中远集团遭到了哪种勒索软件的攻击。中远集团的代表通过 Twitter 表示，该公司已经初步隔离了所有区域性网络，在确认安全之后将逐步恢复连接。

安全博客 KrebsOnSecurity 报道，Google 从 2017 年初开始要求所有雇员使用物理密钥替代密码，此后该公司 8.5 万名雇员没有一位的工作相关帐户被成功钓鱼。物理安全密钥是基于廉价的 USB 设备，提供了双重认证（2FA）的一种替代方法。Google 发言人称，安全密钥是访问 Google 所有帐户的基础，自推行安全密钥以来，他们没有再接到账号遭到接管的报告。双重认证背后的基本思想是即使你的账号密码被盗，除非破解第二种认证方法，他们仍然无法登陆你的账号。

加州大学河滨分校的研究人员发表论文，公布了命名为 SpectreRSB 的新 Spectre 漏洞。和已披露的其它 Spectre 漏洞类似，SpectreRSB 利用了预测执行功能——这是所有现代 CPU 都包含的功能，通过提前计算操作和抛弃不需要的数据来改进性能。与其它 Spectre 漏洞不同的是，SpectreRSB 利用了返回堆栈缓冲（Return Stack Buffer，RSB），能从预测执行中恢复数据。研究人员表示他们使用 SpectreRSB 恢复了其它进程的数据，甚至欺骗 RSB 泄露 SGX 的秘密。该攻击适用于英特尔、AMD 和 ARM 的处理器。

思科上周修复了 25 个漏洞，其中一个补丁是移除 Cisco Policy Suite 中的后门账号 root。该漏洞允许攻击者使用 root 权限执行恶意操作。这是思科过去五个月曝光的第五个没有文档记录的后门账号。其它四个后门账号分别是在 Prime Collaboration Provisioning (PCP)、IOS XE 操作系统、Digital Network Architecture (DNA) Center,和 Wide Area Application Services (WAAS) 流量优化程序中发现的。大多数漏洞是思科自己在内部代码审查中发现的，这些后门账号看起来都是作为调试功能无意中留在系统中的。

英特尔本月修复了两个新的 Management Engine(ME)漏洞，两个漏洞分别编号为 CVE-2018-3627 和 CVE-2018-3628，其中 CVE-2018-362 是一个逻辑漏洞，允许执行任意代码，容易利用；缓冲溢出漏洞 CVE-2018-3628 更严重，它允许远程代码执行，而且不需要管理账号。自 2008 年起，英特尔处理器平台都内置了一个低功耗的子系统 ME，它包含了一个或多个处理器核心，内存，系统时钟，内部总线，保留的受保护内存，有自己的操作系统和程序，能访问系统主内存和网络。ME 能完全访问和控制 PC，能启动和关闭电脑，读取打开的文件，检查所有运行的程序，跟踪按键和鼠标移动，甚至能捕捉屏幕截图。英特尔称 Management Engine 是远程管理方案，而批评者认为它其实就是秘密后门。

Positive Technologies 的安全研究人员公布了缔奇智能扫地机器人的两个漏洞，允许攻击者使用超级用户权限执行恶意代码，完全控制设备。扫地机器人能变成物联网僵尸网络的一部分发动 DDoS 攻击，但更糟糕的是它能被用于监视屋主，因为它有 Wi-Fi 和夜视监控摄像头。安全研究人员称，所有的缔奇 360 摄像头智能扫地机器人都默认使用了一个管理密码 888888，而用户很少会修改默认密码。研究人员在五月份就通报了漏洞，但没有来自官方的回应，也不知道是否会有补丁。

华为路由器产品 HG53 去年曝出了一个远程代码执行的高危漏洞 CVE-2017-17215，攻击者可以向路由器 37215 端口发送恶意包来利用该漏洞远程执行任意代码。黑客从 7 月 18 日开始扫描路由器寻找存在漏洞的目标。NewSky Security 的研究人员称，在短短 24 小时内，黑客就利用该漏洞创建了一个包含 1.8 万华为路由器的僵尸网络。奇虎 360 的研究人员则认为数量没有 1.8 万，但至少超过 1 万。

微软负责安全的副总裁 Tom Burt 透露，该公司发现并帮助阻止了针对三名参加今年美国国会中期选举的候选人的网络攻击尝试。这是中期选举首个公开的网络干预案例。Burt 在 Aspen 安全论坛上称，他们发现一个假的微软域名被用于发动钓鱼攻击，元数据显示攻击针对的是三名候选人，他们都参加今年的中期选举。Burt 拒绝透露拒绝攻击目标的姓名，只是表示从间谍和中期选举的角度看他们可能是感兴趣的目标。微软关闭了假的域名并与联邦政府合作屏蔽了钓鱼信息。

黑客组织 MoneyTaker 本月初从俄罗斯 PIR Bank 窃取了大约 91 万美元。黑客对 PIR Bank 的攻击始于五月，他们首先入侵了银行分支的一个路由器，将其作为入口访问了银行的本地网络。当 MoneyTaker 入侵了 PIR Bank 主网络之后他们设法获得了 Automated Work Station Client of the Russian Central Bank（AWS CBR） 访问权限，生成了付款单，将钱转到提前准备好的钱骡子账号。7 月 4 日晚上，当银行雇员发现大笔未经授权的交易之后，他们要求监管机构屏蔽 AWS CBR 数字签名密钥，但他们未能及时阻止资金转移。大部分钱当天被转到了银行卡内并被钱骡子立即取出。攻击者使用了多种恶意程序，其中一种是 MoneyTaker v5.0，大部分恶意程序只存在内存里不会保存到硬盘内。

免费手游通过限制游戏内的资源如水晶或金币来赚钱，免费游戏玩家可以通过肝来缓慢积累资源，而付费玩家可以通过氪来快速获得优势。但氪金玩家未必是原价氪，而是可以通过其它方法，其中一种方法就是黑卡。黑卡就是被盗但仍然有效的信用卡，信用卡盗窃者可以通过手游的应用内购买快速洗钱。这种洗钱事实上已经自动化了，都不需要人干预。安全公司 Kromtech Security 的研究人员上个月发现了一个可以公开访问的数据库，其中包含了大量的信用卡号码和用户个人信息。他们对其进行检查后发现这个数据库可能属于信用卡盗窃者，进一步分析发现网络罪犯利用复杂的自动化系统通过免费手游的应用内购买从盗窃的信用卡洗钱。自动化系统在一个半月内处理了大约 2 万张信用卡，涉及到手游包括了《部落战争》和《皇室战争》，以及《漫威格斗冠军》。

弗吉尼亚理工、中国电子科技大学和微软研究院的研究人员发表论文《All Your GPS Are Belong To Us: Towards Stealthy Manipulation of Road Navigation Systems》，演示了对人类司机成功发动 GPS 欺骗攻击。为执行攻击，研究人员开发了能近实时工作的算法，使用了一个售价约 223 美元的便捷式 GPS 欺骗设备，该设备可以很容易安装在目标汽车或距离目标汽车最远 50 米的尾随汽车内。研究人员称，算法允许攻击者选择一个诱骗受害者的区域，能向目标汽车发送伪造的 GPS 输入信号，在地图上触发导航指令和路线显示。如果受害者跟随指令，那么汽车将会行驶到错误的路线或地点。研究人员在中国和美国实地测试了他们的算法，40 名参与者中有 38 名跟着导航去了错误的地点。研究人员认为这种方法能攻击任何启用 GPS 的公路导航系统。

黑客工具开发者 Colton Grubbs 承认他开发的管理软件能被用于恶意活动。Grubbs 在 2015 年到 2017 之间开发了工具 LuminosityLink，以 40 美元的价格出售给了 6000 多名客户。他在黑客论坛推销自己的工具，并通过网站 luminosity[dot]link 教用户如何隐藏身份，躲避杀毒软件的检测。起诉书称他的工具包含了多种恶意功能，允许购买者控制其他人的计算机，悄悄记录用户活动，浏览文件，记录凭证和用户信息。Grubbs 签署了认罪书，承认他知道部分购买者会恶意使用这个工具。他面临最长 25 年徒刑和 75 万美元罚款。

2018 年 7 月 4 日，因在狱中表现良好，力拓集团前中国高管胡士泰提前两年获释。2010 年他与三名同事被捕，被控窃取商业机密，他被判了十年徒刑，被关押在上海青浦监狱。中国政府指控其行为导致本国的钢铁行业损失 1000 亿美元。八年的今天，力拓并没有像 Google 那样离开中国，反而比以往任何时候更依赖于中国这个最大的铁矿市场。彭博商业周刊报道了这一事件背后的商业间谍活动。大约在 2008 年左右，力拓的高管注意到他们的计算机行为诡异，键盘指令滞后，电子邮件自动打开和关闭。力拓的董事会随后联络了英国的军情五处（MI5）。数周之后，MI5 的人找来该公司的代表，告诉对方通信不安全，有六个主权国家能监视力拓的通信，这六个国家大部分是友好的，但值得警惕是来自的中国监视。2012 年，MI5 处长 Jonathan Evans 公开透露一家英国公司因为国家支持的网络攻击而损失 13 亿美元，当时他没有透露这家公司的名字。2015 年记者 Gordon Corera 在其著作《Intercept》中透露这家公司就是力拓。多个消息来源称，攻击力拓的是 PLA 的一个部门。

域前置 (Domain fronting) 是一种隐藏连接真实端点来规避审查的技术，但 Google 云服务 App Engine（GAE）和亚马逊 AWS 服务最近都宣布关闭域前置功能，影响了包括 Tor 浏览器在内的大量反审查服务。然而不用担心，Cloudflare、Mozilla、Fastly 和苹果的开发者正在开发一种更好的反审查技术：加密服务器名称指示（Encrypted Server Name Indication）。CDN 等服务提供商加密其托管的所有域名，使用加密服务器名称指示网络中间人将只能知道客户端访问了特定的服务商，而不知道访问了什么域名。通过 IP 地址服务商信息早已一目了然。这项安全功能需要云服务如 GAE 和 AWS 支持才能使用。

官媒通报了多名受雇发动 DDoS 攻击的犯罪嫌疑人。DDoS 服务在地下黑客论坛很流行，而中国此类的情况则更“光明”些——嫌疑人主要通过 QQ 群接单，众所周知 QQ 群是一直受到官方监视，而中国所有的社交网络也都已推行了实名制。官媒报道称，犯罪嫌疑人除了受雇发动 DDoS 攻击外，还会选择目标网站发动攻击然后敲诈勒索。雇佣黑客发动 DDoS 攻击主要是为了打击竞争对手。报道称，有 12 人被采取刑事强制措施。

安全公司 Recorded Future 发现，一名黑客正在黑客论坛兜售敏感的军事文件，其中包括无人机 MQ-9 Reaper 的维护课程书籍，简易爆炸装置（IED）部署策略培训手册，M1 艾布拉姆斯坦克操作手册，乘务员培训和生存手册，以及坦克战术文件。黑客的要价不高，只需要 150 到 200 美元对于此类文件而言是比较低了。Recorded Future 接触了黑客，发现他是通过搜索引擎 Shodan 搜索特定型号的 Netgear 路由器，这些路由器使用了已知的默认 FTP 密码。黑客使用密码登陆了一些路由器，其中一部分路由器位于军事设施内。

两位安全研究人员发表论文《Speculative Buffer Overflows: Attacks and Defenses》（PDF），披露了两个新的 CPU 漏洞，他们将其命名为 Spectre 1.1 和 Spectre 1.2。英特尔和 ARM 已经证实其部分 CPU 受到了 Spectre 1.1 漏洞的影响，而 AMD 尚未对此发布声明。新漏洞类似先前披露的 Meltdown 和 Spectre CPU 漏洞变种，都是利用了预测执行功能——这是所有现代 CPU 都包含的功能，通过提前计算操作和抛弃不需要的数据来改进性能。研究人员指出，Spectre 1.1 攻击利用预测执行传递代码溢出 CPU 存储缓存缓冲区，写入和执行恶意代码从先前保护的 CPU 内存区提取数据。Spectre 1.1 与 Spectre 1 和 Spectre 4 很相似。Spectre 1.2 则能被利用写入代码到只读标记保护的 CPU 内存区。

安全公司 FireEye 表示，柬埔寨大选在即，一个中国黑客小组盯上了柬埔寨的反对派议员、政治机构、非政府组织以及媒体。FireEye 称，在柬埔寨即将于 7 月 29 日举行大选前，一个名为TEMP.Periscope 的网络间谍活动小组正使用一系列黑客工具获取柬埔寨个人和机构的计算机账户权限。这个小组连接到位于中国海南的服务器。FireEye 表示，这个小组在柬埔寨大选前很久就处于活跃状态了，并称该小组是近几个月最活跃的中国网络间谍小组之一。“我们预计其黑客活动能让中国政府纵览柬埔寨大选和政府运作，”FireEye 表示。中国政府否认其支持黑客攻击。