过去十年生活在基辅过去几个月因战争逃到波兰的美国安全研究员 Jeremiah Fowler 随机调查了暴露在网上 100 个俄罗斯数据库，发现其中 92 个遭到了松散黑客组织匿名者的破坏。黑客使用了类似 MeowBot 的脚本，将文件夹重命名为诸如 putin_stop_this_war、stop war, no war, HackedByUkraine 等名字，并删除文件的内容。匿名者声称入侵了逾 2500 个俄罗斯和白俄网站，泄露了大量数据，这些数据可能需要数年时间才能完成评估。安全公司 Cyberint 的研究员 Shmuel Gihon 称泄露的数据是如此之多，他们现在不知道如何处理。黑客攻击的直接结果是俄罗斯的网络安全防御系统比以前认为的要薄弱得多。匿名者组织还为乌克兰提供渗透测试服务，在俄罗斯利用前发现漏洞。

Blockade Australia 的澳大利亚气候活动人士 Greg Rolles 被禁止使用加密应用，被要求让警察检查他的电脑和手机，告诉警方密码。Blockade Australia 的活动人士曾在今年早些时候在新南威尔斯针对港口和货运火车举行抗议。警方以未经授权的抗议和扰乱交通为由逮捕了逾 30 人，作为保释条件他们被施加了非常严格的技术限制，他们不能使用 Signal、Telegram 或 WhatsApp 等加密应用，只能用一部手机。法律专家认为这些措施非同寻常、过于极端。加密禁令也过于模糊，电子前哨澳大利亚的一位发言人指出，加密无处不在，是现代通信技术安全的基础。

留给系统管理员打上新披露漏洞修复补丁的时间比以前认为的要短得多。安全公司 Palo Alto 发布的事故响应报告（Incident Response Report）称，黑客一直在监视安全公司的新漏洞披露报告，通常在 CVE 公布 15 分钟后就开始扫描漏洞，在数小时内就能观察到首次漏洞利用尝试。Palo Alto 以 2022 年 5 月 4 日披露的 F5 BIG-IP 远程执行漏洞 CVE-2022-1388 为例，在 CVE 公布 10 小时内就记录到了 2552 次扫描和漏洞利用尝试。这场攻防大战每年留给任意一方的时间都越来越短。Palo Alto 的报告称 ，2022 年上半年利用最多的漏洞是 ProxyShell 占 55%，其次是阿里巴巴发现的 Log4Shell 占 14%，SonicWall 7%，ProxyLogon 5%。

由欧洲刑警组织、荷兰国家警察局以及多家网络安全和 IT 公司于 2016 年联合发起的 No More Ransom 项目至今帮助逾 150 万勒索软件受害者不需要支付赎金就成功解密文件，挽回损失约 15 亿美元。No More Ransom 项目支持包括简体和繁体中文在内的逾三十种语言，到目前为止提供了 165 个勒索软件变种的 136 个免费解密工具。

卡巴斯基的研究人员报告了一种隐藏在主板 UEFI 镜像难以根除的恶意程序 CosmicStrand，该恶意程序的早期版本被奇虎 360 的研究人员称为谍影木马。该恶意程序的开发者被认为使用汉语。奇虎的研究人员在 2017 年报告，谍影木马会感染 UEFI 兼容模式的 BIOS 引导模块，UEFI+GPT 模式不受影响，恶意代码可能是由编程器刷入主板 BIOS，通过电商渠道贩卖流通。卡巴斯基发现的 CosmicStrand 感染了华硕和技嘉的主板，攻击者通过一个修改版的 CSMCORE DXE 驱动注入到固件中，受害者分布在中国、伊朗、越南和俄罗斯。

澳大利亚公司 Atlassian 开发的企业维基软件 Confluence 被发现有硬编码密码，更糟糕的是密码还被泄露了。存在硬编码的应用是 Questions for Confluence，它在安装时会创建名叫 disabledsystemuser 的账号，旨在帮助管理员在应用和 Confluence 云服务之间转移数据。Atlassian 承认未经授权的远程攻击者在知道硬编码密码之后可登陆 Confluence 访问用户组能访问的任何页面。受影响的版本是 Questions for Confluence versions 2.7.x 和 3.0.x。用户可搜索是否存在 User: disabledsystemuser，Username: disabledsystemuser 和 Email: dontdeletethisuser@email.com。

台湾艺人和赛车手林志颖周五上午 10 时 51 分行经桃园市芦竹区中正桥往桃园方向时，因不明原因自撞电线杆后，整台车起火燃烧。林志颖和儿子受伤送医。桃园市政府消防局表示，救护人员到场时林志颖并未受困，初步了解伤势无生命危险，目前在林口长庚医院接受治疗。目前尚无汽车是否启用自动驾驶等消息。

Google Threat Analysis Group (TAG)的安全工程师 Billy Leonard 发现俄罗斯 APT 组织 Turla 的黑客使用支持乌克兰的开发者所开发的工具 StopWar Android app 创造了假的 Cyber Azov DDoS 工具。俄罗斯黑客在应用的下载页面呼吁人们联合起来帮助阻挡俄罗斯的入侵，下载该 Android 应用对俄罗斯网站发动 DDoS 攻击。但该工具并不能真的发动 DDoS 攻击，它只向目标网站发送一次 GET 请求。

研究人员在广泛使用的汽车 GPS 追踪器 MiCODUS MV720 中发现 6 个漏洞，受影响汽车多达 150 万辆，遍及 169 个国家。黑客控制 MV720 之后可通过它跟踪或瘫痪汽车，或收集路线信息和操纵数据。黑客对其发动的攻击还可能会影响到国家安全，如国有的乌克兰运输机构就使用 MV720。安全公司是在 2021 年 9 月 9 日发现了漏洞（PDF），尝试立即联络 MiCODUS 但发现很难找到接收安全报告的合适人选。MiCODUS 是一家深圳公司，它至今没有提供修复方案，相关追踪器仍然受到漏洞影响。受影响的用户应停用和切换到替代的产品。

加拿大多伦多大学公民实验室报告，以色列公司 NSO Group 的 Pegasus 间谍软件被用于攻击泰国抗议者。泰国在 2020 年爆发过一轮反对军政府的抗议行动，抗议者史无前例的呼吁改革君主制。而根据泰国法律，批评君主制是非法的。公民实验室报告对泰国抗议者的间谍软件攻击发生在 2020 年 10 月和 2021 年 11 月之间。苹果公司在 2021 年 11 月 23 日开始向受攻击的泰国用户发出警告。收到通知的用户联络了公民实验室，实验室的调查发现至少有 30 名抗议者感染了 Pegasus，其中包括这场民主运动中的关键人物。受害者中有许多曾多次遭到逮捕或拘禁，或被起诉大不敬罪名。

安全研究人员报告，恶意程序正以工业系统为感染目标将工控设备变成僵尸网络的一部分。工控设备存在大量密码丢失的情况，比如工程师在离开公司后未留下密码而接替者很晚才知道。研究人员发现了一种针对 PLC--DirectLogic 06 工控设备的密码恢复工具，它利用了现已经修复的漏洞恢复密码。但除了恢复密码它还会安装名为 Sality 的恶意程序，将工控设备变成僵尸网络的一部分，每半秒检查一次感染工作站的剪切板寻找加密货币钱包地址相关的数据，发现之后用黑客自己的钱包替换。

微软安全团队披露了一个以中小企业为勒索目标的朝鲜黑客组织 DEV-0530，该组织自称 H0lyGh0st，使用同名勒索软件入侵企业勒索赎金。DEV-0530 采用的策略和其它勒索软件组织类似，维护了一个 .onion 暗网网站与受害者沟通，在入侵之后，用扩展名 .h0lyenc 加密文件，然后索要比特币赎金。该组织也采用了双重勒索，威胁在社交网络披露企业数据或将数据发送给其客户。微软认为 DEV-0530 与朝鲜黑客组织 PLUTONIUM (aka DarkSeoul 或 Andariel)有关联，该组织使用了 PLUTONIUM 开发的工具。

联想释出固件更新修复三个漏洞，这些漏洞影响超过 70 款笔记本型号。漏洞编号分别为 CVE-2022-1890、CVE-2022-1891 和 CVE-2022-1892，分别影响 ReadyBootDxe、SystemLoadDefaultDxe 和 SystemBootManagerDxe 驱动。安全公司 ESET 称，漏洞能被利用在设备启动早期阶段实现任意代码执行，允许攻击者劫持操作系统执行流和禁用部分重要安全功能。漏洞是由于 DataSize 参数不充分验证导致的。

日本游戏发行商万代南梦宫证实遭黑客入侵，称黑客在 7 月 3 日入侵了不含日本的多个亚洲地区办事处内部系统，它正在调查数据泄露情况。万代南梦宫旗下的知名游戏包括《Elden Ring》、《Dark Soul》系列、吃豆人、铁拳系列等等。在南梦宫证实之前，勒索软件组织 BlackCat 声称在入侵行动中窃取到了企业数据，它尚未在其数据泄露网站公开窃取的南梦宫数据。AlphV/BlackCat 从去年 11 月开始活动，被认为是更换了新名字的 DarkSide/BlackMatter 勒索软件组织。

斯里兰卡深陷经济危机，总统戈塔巴雅·拉贾帕克萨和总理拉尼尔·维克勒马辛哈先后宣布将辞职，总统官邸上周六被抗议者占领，总统本人预计将会流亡海外。这场危机的一部分是一场匆匆忙忙展开的全国有机农业试验。因为缺乏购买化肥的资金，拉贾帕克萨的政府去年四月下令禁止进口化肥和杀虫剂，命令全国 200 万农民转向有机农业。尽管宣称有机农业的产量能与传统农业相当，但仅仅六个月国内大米产量就下降了 20%。斯里兰卡的大米本来能自给自足，但现在却被迫进口 4.5 亿美元的大米，而大米的价格也因此飙升了 50%。主要出口和外汇来源的茶叶也深受其害。随着茶叶产量的下降，政府在去年 11 月解除了对茶叶等出口产品的化肥禁令。因农民抗议、通货膨胀和货币崩溃，政府最终完全废除了对茶叶等作物的政策。政府为此向农民提供了数亿美元的赔偿，但无法弥补禁令导致的损失。据估计仅茶叶产量的下降就造成了 4.25 亿美元的经济损失。

金山软件 WPS 官方微博发表声明，“近期一位用户分享的在线文档链接，涉嫌违规，我们依法禁止了他人访问该链接。此事被讹传为#WPS# 删除用户本地文件。为此，我们特地声明：WPS作为一个发展了30多年的办公软件，始终把用户体验和保护用户隐私放在第一位。关于删除用户本地文件的说法纯属误导，我们将保留通过法律途径维护合法利益的权利。”网文作者也发表声明，“我本地文件可以打开，但是打开版本不是最新保存的，它给我自动同步，检测错文件，原文件没有问题...”

一位网文作者在龙的天空论坛发帖，称其写的网文文稿被金山办公软件 WPS 锁定。作者自称是 WPS 的会员，WPS 是免费软件但会展示广告且很多功能需要开通会员付费使用。作者称尝试用 WPS 打开本地的稿子结果显示文件含有违禁内容禁止访问，作者称自己的稿子不涉黄不涉政怀疑未发布的稿子被 WPS 内部人员擅自窥探。人工审核不太可能，很有可能都是程序根据关键词自动搜索然后标记。作者在后续评论中称稿子在申述之后解除了锁定。

为了应对勒索软件等恶意程序，微软今年早些时候宣布计划改变 MS Office 办公软件处理宏的方式：如果文件使用的宏命令是从网上下载的，宏将会默认完全禁用。 2022 年 4 月起，这一改变将首先提供给 Office v2203 用户预览，6 月起推广到订阅版本 Microsoft 365 Office。但在上周，微软通知 IT 管理员，根据测试收到的用户反馈，它撤回了禁用 VBA 宏的计划。禁用宏可能破坏某些功能而导致微软决定回滚。如果 MS Office 的宏运行在沙盒模式下，未经用户许可不能访问其它任何文档，那么它构成的安全风险也就基本不存在了。

微软安全研究人员发现，一年前用 Go 语言编写的 Hive 勒索软件有了用 Rust 重写的新变种。Hive 于 2021  年 6 月出现，两个月后 FBI 对此发出警告。11 月，欧洲电子零售巨头 MediaMarkt 受到了 Hive 的攻击。这是另一个勒索软件即服务(RaaS)双重勒索团伙，该团伙最近一直在针对存在漏洞的 Microsoft Exchange 服务器和 RDP 服务器、窃取的 VPN 凭据和网络钓鱼部署勒索软件并窃取值得窃取的信息。Hive 迁移到 Rust 版本已进行了几个月，它吸取了 BlackCat 勒索软件的教训，后者也是用 Rust 编写的。Group-IB 研究人员在 3 月发现 Hive 将其 Linux 加密器（针对 VMware ESXi 服务器）转换为 Rust，让安全研究人员更难以窥看其与受害者的赎金对话。微软的分析表明，用 Rust 重写的 Hive 更加全面，支持在 3 月份提到的对加密方法的更改。微软指出，“它不是在加密的每个文件中嵌入一个加密密钥，而是在内存中生成两组密钥，用它们加密文件，然后将两组密钥加密并写入它所加密的驱动器的根目录，两者都使用 .key 扩展名。”

万豪酒店再次曝出用户数据泄露的事故。事故发生在 6 月，攻击者利用社交工程技术诱骗马里兰万豪酒店员工，获得了其电脑的访问权，但该公司表示黑客没有访问其核心系统。黑客自称窃取了 20 GB 的数据，其中包括客户的信用卡。万豪酒店此前在 2019 年承认黑客入侵了旗下喜达屋酒店预订系统，访问了 3.83 亿客户信息，有 525 万客户的未加密护照被窃取。