过去几周，监视朝鲜网络的人士注意到该国与外界的连接时断时续，个别天朝鲜对外网站几乎全部下线，至少一个中心路由器在攻击下瘫痪。朝鲜恰好在这个时间点多次发射了导弹，因此有人怀疑对朝鲜网络的攻击可能来自于政府背景的黑客组织或网络战部队。《连线》报道，真正的幕后攻击者其实是一名无任何政府背景的美国黑客。朝鲜黑客组织此前对安全研究人员发动了一系列网络攻击窃取黑客工具和软件漏洞相关的情报，这位名叫 P4x 的黑客在一年前成为其中的一名受害者。他设法阻止了朝鲜黑客窃取有价值的情报，注意到美国政府对此类攻击没有任何明显的回应，因此决定自己动手。他提供了屏幕录像证明自己正在对朝鲜网络发动攻击。他在朝鲜的网络中发现了多个已知但未修复的漏洞，允许他使用脚本对服务器和路由器发动拒绝服务攻击。

HardenedVault 写道 "2022年1月25日，赛博堡垒（HardenedVault）创始人 Shawn Chang在第九界安天网络安全冬训营研讨会上分享了《开放基础架构安全防护:对抗复杂性》(视频）的议题，主要围绕基础架构的定义、用实际案例分析了高级防护的趋势、威胁建模过程中遇到的常见问题及打造开放的体系基础架构安全过程中关键性的组件等方面进行了介绍。2021年的公开披露信息来看，高级威胁有之前未见的两大趋势，规模化构建专注底层的攻击链条和更加精湛的攻击技术，Kaspersky针对2022年APT（高级可持续威胁）的趋势预测中直接指出了底层攻击的“热度”回归，"Bootkit is a new norm"沉积了数年之后再次进入主流视野。"

去年 12 月研究人员发现了据信是第一种由专业网络犯罪组织用 Rust 语言开发的勒索软件 ALPHV/BlackCat。相比 C 或 C++ 语言 Rust 是一种更安全的编程语言，用 Rust 开发的程序更难找到常见的编程漏洞，如果有更多网络犯罪组织切换到 Rust 语言，将会加大安全公司发现勒索软件漏洞的难度。Krebs on Security 援引消息来源报道，ALPHV/BlackCat 的一名开发者网名叫 Binrs，曾在俄语自我介绍有六年的 Rust 开发经验。

最新版本的 Android 恶意程序 BRATA 能在窃取数据之后将设备恢复到出厂设置，抹掉设备上的所有数据掩盖其活动痕迹。BRATA 在 2019 年最早被发现时属于一种 Android RAT（远程访问工具），主要针对巴西用户。安全公司 Cleafy 在 2021 年 12 月报告 BRATA 开始在欧洲等地出现，并增加了更多功能，它发展成为窃取电子银行登录凭证的恶意程序。其最新版本针对了英国、波兰、意大利、西班牙、中国和拉美的电子银行用户，每个变种针对了不同的银行，都使用了类似的混淆技术以躲避安全软件的检测。它会寻找设备上安全程序的痕迹，会在执行渗透前删除安全工具。

新勒索软件 DeadBolt 正在瞄准世界各地的 QNAP NAS 设备。攻击者声称利用了一个 0day 漏洞，承诺如果 QNAP 愿意支付价值 18.5 万美元的 5 比特币，他们将披露 0day 漏洞的细节。如果有人愿意支付价值 185 万美元的 50 比特币他们将披露 0day 漏洞细节并提供能解密所有加密文件的主密钥。受影响的 QNAP 设备会看到所有文件被加密，文件扩展名为 .deadbolt。设备登录页面会显示勒索信息，要求受害者支付价值约 1100 美元的 0.03 比特币。

英国国家犯罪局（NCA）的网络犯罪部门正在着手进行一项旨在教育儿童了解 DDoS 攻击后果的计划。正如 NCA 网站上一篇文章所解释的，最近的一项研究促使他们采取了此项计划，研究表明，年仅 9 岁的孩子在对他们所在学校的网络、网站和其他服务发起 DDoS 攻击。报告称，在疫情期间，此类攻击的数量急剧增加，可能会对在线学习活动造成干扰。

安全公司 Qualys 的研究人员在类 Unix 系统权限管理工具 Polkit 中发现了一个 root 提权漏洞，允许非特权用户获得系统的 root 权限。该漏洞被命名为 PwnKit，已存在了 12 年之久。从 2009 年起，Polkit 包含了一个内存破坏（memory-corruption）漏洞，利用漏洞比较简单，甚至部分账号能百分之百实现。已在存有漏洞的系统获得立足点的攻击者可以滥用该漏洞确保恶意负荷或指令能以系统最高权限执行。安全研究人员是在去年 11 月发现该漏洞的，在主要 Linux 发行版修复漏洞之后将其披露。Qualys 没有公布漏洞利用概念验证代码，但发布了一则漏洞利用视频。

白俄罗斯黑客周一宣布用勒索软件感染国营铁路系统的网络，只有白俄总统卢卡申科（Alexander Lukashenko）在俄罗斯军队对乌克兰发动可能入侵之前停止对其的援助，他们才会提供解密密钥。自称 Cyber Partisans（网络游击队）的组织在 Telegram 上写道：“在恐怖分子卢卡申科的指挥下，BelZhD(白俄罗斯铁路) 这些天允许占领军进入我们的土地。作为‘Peklo’网络行动的一部分，我们加密了 BelZhD 的大部分服务器、数据库和工作站，以减缓和破坏铁路的运行。备份已被破坏。”该组织还在 Twitter 上宣布了这次袭击。

该组织的一位代表在私信中表示，Peklo 网络行动针对特定实体和政府经营的公司，目标是向白俄罗斯政府施压，要求其释放政治犯，并阻止俄罗斯军队进入白俄罗斯，利用该国领土对乌克兰发动袭击。该代表写道：“政府继续压制白俄罗斯人的自由意志，监禁无辜的人，他们继续非法关押着……数千名政治犯。”“主要目标是推翻卢卡申科政权，维护主权，建设一个有法治、独立机构并保护人权的民主国家。”BelZhD 网站上的几项服务确实无法使用。如在线购票功能无法正常工作。该代表表示，除了票务和调度瘫痪之外，此次网络攻击还影响到了货运列车。据报道，俄罗斯一直通过铁路向与乌克兰接壤的白俄罗斯运送军事装备和人员。@belzhd_live 周五表示，在一周之内，超过 33 列满载装备和部队的俄罗斯军用列车抵达白俄罗斯，进行联合战略演习。@belzhd_live 是一个白俄罗斯铁路工人组织，跟踪着该国 5512 公里铁路的状况。该工人团体当时表示，预计在接下来的几天内，将总共有 200 个梯队抵达。

color 和 faker 开发者的 Marak Squires 本月早些时候通过加入无限循环故意破坏了这两个广泛使用的依赖库。在包管理器 NPM 上，colors 的周下载量超过 2000 万次，有近 19000 个项目依赖它；faker 的周下载量超过 280 万次，有超过 2500 个项目依赖它。在事故发生之后，GitHub 平台短暂封禁了其账号，在解封之后其发行权仍然被剥夺。faker 之后出现了社区管理的分支。Marak Squires 想要拿回发行权，他声称自己的邮件没有收到任何回应，而他有一百个包需要维护，“每个人都会不时犯下编程错误，没有人是完美的。”但无心之过和故意破坏显然是两码事，他的请求几乎无人支持，认为他的故意破坏损害了开源生态系统的信任原则。

Jetpack 安全研究人员发现了一起利用 WordPress 扩展的供应链攻击。Jetpack 来自 WordPress 母公司 Automattic。如果网站从 AccessPress Themes 网站下载了主题扩展，那么网站有可能遭到了入侵。如果是从 WordPress.org 下载了相同的主题扩展，那么它们应该是安全的。攻击者修改的是 AccessPress Themes 网站上托管的主题扩展，悄悄植入了后门。攻击者在主题目录中加入了一个脚本 initial.php，它充当了下载程序，能从 wp-theme-connect[.]com 下载和安装后门。一旦安装后门下载程序会自毁以隐藏其活动。安全研究人员对攻击起始时间有不同看法，Jetpack 的研究人员认为供应链攻击始于去年 9 月，但另一家安全公司 Sucuri 的研究人员 Ben Martin 认为攻击可以追溯到三年前。

卡巴斯基研究人员透露了植入到 UEFI 固件中的恶意程序 MoonBounce。该恶意程序被认为来自于 APT41 aka Winnti 或 Double Dragon。恶意程序修改了主板上名为 SPI flash 的元件，它不在硬盘上，因此格式化硬盘或更换硬盘不会清除恶意程序。修改后的固件镜像允许攻击者拦截引导序列的执行流，引入一个复杂的感染链。研究人员认为，黑客对 UEFI 系统的工作原理有着深刻的理解。感染链只在内存中运行，硬盘上没有留下攻击痕迹。黑客主要对 IT 行业、社交媒体、电信、非营利组织和医疗机构进行攻击。

未知身份的黑客入侵了瑞士一家为红十字会提供数据储存服务的承包商，窃取了 Restore Family Links 项目大约 515,000 名用户的个人数据。该项目被用于帮助因战乱、灾难或移民而分离的家庭成员团聚。红十字会发布新闻稿，请求攻击背后的黑客不要公开或出售数据，以免给已遭受苦难的人带来更多伤害。红十字会没有透露更多攻击细节，暂时不清楚攻击是勒索软件黑帮、国家支持黑客还是其他人所为。

微软上周释出的一月例行安全更新被发现引入了 bug，给企业客户制造了麻烦，会导致 VPN 连接失败。根据微软公布的信息，问题主要影响包含供应商 ID 的 IPSEC 连接，以及 L2TP 和IPSEC IKE VPN 连接，受影响操作系统包括 Windows 10、Windows 11，Windows Server v2022、20H2、2019 和 2016。最常见受影响的是 Windows 操作系统内置的 VPN 客户端，其它这些连接的第三方客户端也可能会出错。微软在本周释出补丁修复了这些问题。

知名字幕站 Opensubtitles 宣布遭到黑客入侵。事情始于 2021 年 8 月，黑客通过 Telegram 发送消息称能访问网站的用户表下载数据库，黑客勒索 1 BTC 换取不公开漏洞并承诺删除数据。黑客还提供了如何修复漏洞的方法。之后几个月风平浪静，但在 2022 年 1 月 11 日网站管理员再次收到了相同漏洞的勒索要求，可能来自第一位黑客的合作伙伴，漏洞事实上没有修复。1 月 14 日网站数据泄露，在获悉之后网站管理员立即锁定了所有账号并强制要求更改密码，18 日披露了这一安全事故。Opensubtitles 成立于 2006 年，当时对安全还不够重视，用户密码使用的 md5() 储存，没有加盐处理，弱密码会很容易破解。如果用户在其它网站重复使用了密码，网站管理员建议一同修改。

根据以色列商业媒体网站 Calcalist 的调查，以色列警方在未经授权的情况下，使用 NSO 集团备受争议的 Pegasus 间谍软件对包括政治家和活动人士在内的以色列公民进行电话侦听。报道称这些侦听针对的目标包括本地市长、反对前总理内塔尼亚胡（Benjamin Netanyahu）的政治抗议活动领袖以及前政府雇员。监控以色列公民需要法院监督，这些监控是在缺少法院监督的情况下进行的，对于数据如何使用也缺乏监督，以色列警方和一位政府部长明确否认这一说法。以色列日报《国土报（Haaretz）》的另外一则报道称，据报社看到的发票，NSO 集团在 2013 年向以色列警方开具了 270 万谢克尔（86.2万美元）的发票，显然是该计划的基本版本。以色列 NSO 集团设计了 Pegasus并将其出售给外国政府，虽然出现了许多滥用 Pegasus 的报道，但最近的报道标志着情况出现了重大变化，以色列人也成了侦听的目标。《卫报》从熟悉 NSO 授权的消息人士处了解到，虽然 NSO 出售给国外第三方客户的软件不能在国外针对美国和以色列的电话号码，但购买间谍软件的以色列执法机构——例如警方——可以针对以色列的手机号码。虽然报道没有提及消息来源，但它声称使用间谍软件的命令是由高级官员下达的，由警方的电子侦听专家执行。这一说法意义重大，因为它首次反驳了向以色列人做出的保证，即他们不会成为 Pegasus 的目标，对以色列人免于非法入侵的观点提出了质疑。

NordicTrack 公司的 X32i 跑步机售价高达 4000 美元，配备了 32 英寸的显示屏，客户在锻炼时可以观看各类视频。NordicTrack 一直尝试让客户订阅其母公司 iFit 的锻炼应用，限制观看外部视频。它有一个 God Mode 允许用户安装第三方应用，观看外部视频。从去年 10 月开始，NordicTrack 通过更新阻止客户使用 God Mode，不让客户访问 Netflix、YouTube 等流视频服务。这激怒了消费者。他们投诉指出，NordicTrack 的跑步机非常昂贵，他们本应该能完全掌控设备。NordicTrack 和 iFit 的发言人则回应称限制 God Mode 是出于安全考虑。客户开始寻找各种方法绕过 NordicTrack 的限制，目前最流行的做法是恢复出厂设置，配置路由器屏蔽 NordicTrack 推送自动更新。虽然出厂时安装的软件比较旧，但客户可以完全控制跑步机。

针对 Linux 设备的恶意程序数量去年增长 35%，这些恶意程序主要通过感染物联网设备组建僵尸网络发动 DDoS 攻击。运行不同 Linux 版本的物联网设备功能有限，但联合起来能发动规模惊人的 DDoS 攻击。除了发动 DDoS 功能，Linux 物联网设备还能用于挖掘加密货币，发送垃圾邮件等等。安全公司 Crowdstrike 的报告称，2021 年针对 Linux 系统的恶意程序数量比 2020 年增加了 35%；其中 XorDDoS、Mirai 和 Mozi 恶意程序家族占到了 22%；其中尤以 Mozi 数量最多，Mozi 恶意程序样本数量同比增长了 10 倍，XorDDoS 同比增长了 123%。

微软从乌克兰政府和私人计算机网络探测到一种高度破坏性的恶意程序，它似乎正在等待被触发。该恶意程序与 2017 年的 NotPetya 有几分相似，攻击目标也主要是针对乌克兰。NotPetya 伪装成勒索软件，但目的是破坏数据而非勒索比特币赎金。新的恶意程序与之类似，伪装成勒索软件要求赎金，但并不存在相关的加密货币地址。研究人员认为其目的旨在破坏而非勒索。恶意程序试图清空硬盘和破坏文件。乌克兰政府表示，已经恢复了大部分受影响的网站，没有个人数据被盗。

安全公司 Intezer 的研究人员发现了一个几乎所有杀毒软件都无法识别的跨平台后门 SysJoker。跨平台恶意程序相当罕见，绝大部分都是为特定平台如 Windows 开发的。SysJoker 是从头开始开发的，使用了 4 个独立的指令控制服务器，显示背后的攻击者投入了大量资源。其 Windows 和  macOS 版本的后缀是 .ts，表明它伪装成 Type script 应用通过 npm JS 库传播。 .ts 扩展名也可能意味着它伪装成视频流内容。研究人员发现，几乎所有的杀毒软件引擎都未能将其识别出来。

HardenedVault 写道 "近期相传已久关于Intel在新处理器中停止对SGX支持的消息得到了确认，第12代处理器将放弃所有SGX特性。Intel官方的解释是处于市场的考虑而最终作出的决定，会有包括蓝光防盗版DRM在内的诸多应用受到影响。Intel SGX（software guard extension）是自从2015年发售的第6代处理器Skylake中支持的，其主要目的是为了更好的解决云计算环境下云厂商和租户信任的问题，这种方案被称为飞地（Enclave），SGX自诞生之日起就引起了众多争议，赛博堡垒的可信/机密计算方案中对于SGX的失败的总结主要有几点：1）过度设计和实现导致复杂性失控。2）错的离谱的威胁模型，SGX的威胁模型中把操作系统和固件都当成不可信，但实际情况是操作系统可以轻松发起侧信道攻击，而CSME的“上帝模式“打破了诸多威胁模型中的假设。3）不可审计性，大部分核心组件都是闭源的所以几乎难以得到完备的审计结果。4）保护的应用的同时也可以用于保护恶意代码，这让恶意代码检测成为摆设。5）第三方证明服务推出的时间太晚。6）SGX内核主线化进程缓慢，2016年提交给Linux内核社区最终到了2021年才合并，而2020年关于SGX会停止支持的消息已经传出。7）市场过度宣传，这个问题在中国地区或许更突出，大厂不断鼓吹SGX可以成为"下一代"银弹级别的方案，实际情况是安全领域的总原则是没有银弹。"