Google 周一将拼多多的多个应用标记为恶意程序，Android 手机使用的安全机制 Google Play Protect 将阻止用户安装拼多多应用，对于已经安装的应用，Google 将建议用户卸载。Google 同时出于安全理由从官方应用商店 Play Store 下架了拼多多应用。在这之前，中国安全研究人员披露拼多多应用包含有恶意功能，能利用漏洞提权阻止卸载并能监视用户。拼多多尚未对此次事件发表评论。

美国 FBI 周三逮捕了一名纽约男子，他被控运营了暗网网络犯罪论坛 BreachForums，该论坛是世界最大的出售被盗数据的网站之一。FBI 于周三下午 4:30 左右逮捕了名叫 Conor Brian Fitzpatrick 的男子，他被认为就是 BreachForums 的管理员 Pompompurin。记录显示，他最后一次访问 BreachForums 是在周三下午 3:53，也就是被捕前不久。BreachForums 托管了近千家企业的被盗数据库。数据库通常包括有个人信息，如姓名、电子邮件和密码。Fitzpatrick 以 30 万美元保释金获释，他将于 3 月 24 日出庭。

Google Project Zero 研究人员在广泛使用的三星 Exynos 调制解调器芯片中发现了 18 个漏洞，其中四个漏洞允许攻击者在只知道受害者电话号码的情况下，在基带水平远程入侵手机，不需要发生任何用户交互。受影响的芯片组包括： Exynos Modem 5123、Exynos Modem 5300、Exynos 980、Exynos 1080 和 Exynos Auto T5123，受影响的产品包括：三星 S22, M33、M13、M12、A71、A53、A33、A21、A13、A12 和 A04 系列，Vivo S16、S15、S6、X70、X60 和 X30 系列，Google Pixel 6、6 Pro、Pixel 6a、Pixel 7 和 7 Pro，任何使用 Exynos W920 芯片组的智能手表，任何使用 Exynos Auto T5123 的汽车，等等。研究人员表示，在补丁释出前，受影响设备可通过在设置里关闭 Wi-Fi 呼叫和 Voice-over-LTE (VoLTE)保护自己。

微软周二释出了三月例行安全更新，修复了 74 个漏洞，其中两个是正被利用的 0day——CVE-2023-23397 的危险得分 9.8/10，是 Microsoft Outlook 中的一个提权漏洞，微软没有公开漏洞细节，但披露它正被俄罗斯黑客用于攻击欧洲的政府、能源和军事部门；CVE-2023-24880 是一个 Windows SmartScreen 绕过漏洞，它的危险得分比较低只有 5.4/10，它正被勒索软件组织利用。

今年 2 月，俄罗斯勒索软件组织 BlackCat 入侵了 Lehigh Valley Health Network（LVHN）医院集团旗下的一个诊所，访问了接受放射肿瘤治疗的病人照片系统。LVHN 拒绝了该组织提出的赎金要求。数周后，BlackCat 在其暗网勒索网站上发表声明，威胁公开窃取的病人数据。它随后公布了三张癌症患者接受放射性治疗的屏幕截图和七份包含患者信息的文件。这些照片相当私密，从不同角度拍摄了患者裸露的乳房。安全研究人员表示，随着愈来愈多的组织拒绝支付赎金，勒索软件组织在勒索赎金上开始采取极端的做法。另一个勒索软件组织 Medusa 本周二公布了上个月攻击 Minneapolis Public Schools（MPS）中窃取的样本数据，其中包括性侵指控相关的文件和涉及的男女学生名字。Medus 要求支付 100 万美元赎金，MPS 表示它未支付赎金。

在一黑客在网络犯罪论坛宣布出售 160 Gb 大小的数据之后，宏碁证实它遭到了入侵，但否认有消费者数据被盗。宏碁称它最近发现了一起安全事故，维修技工使用的一台文档服务器遭到未经授权访问。调查还在进行之中，目前无迹象表明该服务器储存有消费者数据。黑客以门罗币出售这批被盗的数据，称包含有机密幻灯片、员工手册、机密产品文档、二进制文件、后台基础设施信息、磁盘镜像、替换的数字产品密钥和 BIOS 相关信息。黑客称这些数据是在 2 月中旬窃取到的。这不是第一次宏碁发生数据泄露安全事故，它在 2021 年发生过类似事故，有逾 60 GB 数据被盗。

LastPass 的严重安全事故本可以避免。攻击者利用了该公司一高级工程师家用电脑上安装的 Plex 软件的一个已知漏洞，而该漏洞早在 2020 年 5 月 7 日就修复了，但不知道出于什么原因，这位工程师从未更新软件打上补丁。该漏洞允许能访问服务器管理员 Plex 账号的人通过 Camera Upload 功能上传恶意文件，利用服务器数据目录位置与 Camera Upload 允许上传的库重叠，让 Plex 媒体服务器执行该恶意文件。Plex Media Server v1.19.3 修复了该漏洞，而到攻击者利用漏洞入侵工程师的电脑时 Plex 都发布了 75 个版本。

安全公司 ESET 报告，黑客组织 Mustang Panda aka TA416 和 Bronze President 部署了一种新的后门程序 MQsTTang。恶意程序主要通过钓鱼邮件传播，通过一个 GitHub 软件库下载负荷，它会在注册表增加一个启动时运行的注册表项去实现持久存在。为了躲避监测它利用了 MQTT 协议去进行指令通信。MQsTTang 还会检查主机上是否存在调试器或监控工具，如果有发现，它会相应的改变行为。

国内的一个独立安全研究机构 DarkNavy 发表文章披露，国内一家互联网巨头的 APP 利用了 Android 系统漏洞提权使其难以卸载。报道没有公开相关公司的名字，但称得上巨头也就那四五家公司。报道称，该 APP 首先利用了多个厂商 OEM 代码中的反序列化漏洞提权，提权控制手机系统之后，该 App 即开启了一系列的违规操作，绕过隐私合规监管，大肆收集用户的隐私信息（包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等）。之后，该 App 利用手机厂商 OEM 代码中导出的 root-path FileContentProvider， 进行 System App 和敏感系统应用文件读写；进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活，修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载；随后，还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码，进行更加隐蔽的长期驻留；甚至还实现了和间谍软件一样的遥控机制，通过远端“云控开关”控制非法行为的启动与暂停，来躲避检测。

新闻集团以及旗下的媒体 WSJ 披露，疑似中国黑客在其网络中活动了近两年时间。新闻集团是在 2022 年 2 月首次披露它遭到了黑客入侵，Google 旗下的安全子公司 Mandiant 协助它进行调查。调查显示，在 2020 年 2 月到 2022 年 1 月之间，未授权方从受影响系统的个人账号内访问了企业文档和邮件，其中包含有个人信息。黑客的目的主要不是为了个人信息，而是情报收集。新闻集团没有发现与数据泄露相关的身份盗窃或欺诈。黑客窃取到的个人信息包括员工姓名、出生日期、社会安全号码、驾驶执照号码、护照号码、金融账户信息、医疗信息和健康保险信息等等。

提供密码管理服务的 LastPass 更新了去年发生的严重安全事故的最新调查结果：它的一名高级工程师的家用电脑遭到黑客入侵，而这名员工拥有企业密码库的访问权限。LastPass 称，8 月 12 日到 26 日之间，未知黑客窃取到了一名高级 DevOps 工程师的有效凭证。黑客利用了第三方媒体软件包的漏洞入侵了该工程师的家用电脑，植入了按键记录器，窃取到主密码。该工程师是 LastPass 四名能访问企业密码库的工程师之一。在进入企业密码库之后，黑客导出了所有条目，其中包括 AWS S3 LastPass 产品备份的密钥。匿名消息来源透露，黑客利用的媒体软件是 Plex，而 Plex 在去年 8 月 24 日披露遭到了入侵，但暂时还不知道两起安全事故是否存在关联。

根据 Google 子公司 Mandiant 的报告，勒索软件黑帮在过去的一年里不太成功。Mandiant 响应的勒索软件事件减少了 15%。而勒索软件组织索要的赎金平均金额下降了 28%，从一年前的 570 万美元减少到 410 万美元。另一家安全公司 CrowdStrike 认为原因包括勒索软件黑帮的成员遭到逮捕，比特币等加密货币的币值下降，等等。根据 Chainalysis 的分析，2022 年勒索软件组织的总收入从 2021 年的 7.656 亿美元下降到 2022 年的大约 4.568 亿美元，下降了 40.3%。受害者支付赎金的概率也在下降。这种情况导致了勒索软件组织也发生了裁员事件，有报道称前勒索软件组织 Conti 的成员解雇了 45 名客服。这些客服是实施网络骗局的一部分。

安全公司 Resecurity 披露了针对数据中心运营者的网络攻击。Resecurity 称总部位于上海的万国数据控股公司和总部位于新加坡的新科电信媒体全球数据公司的数据中心登陆凭证遭到窃取，它已经通知了新加坡和中国的国家计算机应急响应小组。相关数据中心的登陆凭证等信息发布在暗网网站 RAMP 上。万国数据和新科电信有两千个客户受到影响，Resecurity 称黑客登陆了至少五个客户的账号，包括一个中国外汇和债务交易平台以及四个印度的账户。Resecurity 还表示它渗透进入了该黑客组织，发现了它收集了全球知名企业的登陆凭证，其中包括阿里巴巴、亚马逊、苹果、宝马、高盛、华为、微软和沃尔玛。

Web 托管巨头 GoDaddy 证实它遭到了持续多年的入侵，源代码失窃服务器也被安装恶意程序。GoDaddy 是在去年 12 月初收到客户报告其网站被重定向到随机域名后发现未知攻击者入侵了它的 cPanel 共享托管环境。它的调查显示攻击者在它的服务器上活跃了多年，近几年披露的多起安全事故都与此相关。黑客在它的服务器上安装了恶意程序，还窃取到部分服务相关的源代码。它在 2021 年 11 月和 2020 年 3 月披露的安全事件都与此相关。其中 2021 年 11 月的事件影响到了它管理的 120 万 WordPress 客户，攻击者利用一个窃取的密码入侵了它的 WordPress 托管环境，窃取到了客户的邮件地址、管理员密码、sFTP 和数据库凭证，以及部分 SSL 私钥。

安全公司赛门铁克的研究人员发现一种恶意程序滥用微软 IIS 的一项功能隐蔽的渗出数据和执行恶意代码。微软 IIS（Internet Information Services）是广泛使用的 Web 服务器，它的一项功能叫 Failed Request Event Buffering（FREB），旨在帮助管理员诊断错误，FREB 能从缓存中将部分错误相关的请求写入磁盘。黑客找到了滥用该功能的方法，攻击者首先需要入侵运行 IIS 的 Windows 系统，启用 FREB，通过将恶意代码注入 IIS 进程内存劫持执行，它随后就能拦截所有 HTTP 请求，寻找特殊格式的请求，这种特殊的请求能以隐蔽的方式执行远程代码，系统上没有可疑文件或进程在运行。研究人员将这种恶意程序命名为 Frebniis。

现代和起亚正在向数百万辆汽车提供免费软件更新，以应对 TikTok 上病毒式传播的“起亚挑战（Kia Challenge）”视频。该视频助长了汽车盗窃案，起亚挑战视频被认为导致了数百起汽车盗窃，至少 14 起车祸和 8 起死亡事故。被称为 the Kia Boyz 的盗车贼发布了视频，详细介绍了如何使用 USB 线等简单工具绕过汽车的安全系统。盗车非常容易，2015-2019 年款的现代和起亚汽车缺乏电子防盗控制系统以阻止盗车贼闯入和绕过点火装置，该功能在其它厂商同期的汽车中几乎是标配。现代及其子公司起亚释出的软件更新，将警报声长度从 30 秒延长到 1 分钟，且需要车钥匙插入点火开关才能启动汽车。

CDN 服务商 Cloudflare 披露了发生在周末的一次流量创记录的 DDoS 攻击，在峰值期间攻击流量每秒请求数超过了 7100 万。这是有记录以来规模最大的 HTTP DDoS 攻击，比之前的记录每秒请求数 4600 万高 35%。攻击源头来自逾 3 万 IP 地址，被攻击的网站包括游戏服务商、加密货币公司、托管服务商和云计算平台。Cloudflare 称，过去一年 DDoS 攻击频率在显著增加，HTTP DDoS 攻击年度增加 79%，规模超过 100 Gbps 的攻击次数季度增加 67%，持续时间超过 3 小时的攻击次数季度增加 87%。勒索性质的 DDoS 攻击也有显著增加。

丰田正在召回 16,680 辆 2021 年款混动汽车 RAV4 Primes，以修复可能导致牵引电池过度放电的软件 bug，该 bug 最终会导致混动系统关闭。该问题主要在寒冷天气下发生。当 RAV4 Primes 只用电池不使用内燃机的情况下行驶，快速踩下踏板加速，电池有可能降到特定阈值下。如果发生这种情况，汽车会显示错误信息，混动系统将关闭，汽车将失去动力。

Shawn the R0ck 写道：安全多方计算（Secure multi-party computation，简称MPC或者SMPC）起源于 A. Shamir, R. Rivet and L. Adleman 在1979年对于秘密分割问题的研究，其后姚期智（Andrew Yao）于 1982 年提出百万富翁问题和于 1986 年正式提出的 Garbled Circuit Protocol,成为了今天意义上多方计算的基础，Web3.0 的兴起让业界关注使用多方计算解决资产管理和跨链等场景的问题，SMPC 在多台计算节点之间分配签名过程，每台计算机都拥有一份代表密钥份额的私有数据，它们共同合作以分布式方式签署交易以降低单点失败的风险，但实际情况是这样吗？HardenedVault 的 Vault Labs 近期针对 SMPC 中安全假设，Oblivious transfer，同态加密，零知识证明，Shamir 秘密分割，Feldman-VSS，Paillier算法，EdDSA以及MPC-CMP等SMPC的主要特性进行了分析，以此为基础得出以下结论：1）建立合理威胁模型的前提是SMPC实现本身遵循密码学最佳实践。2）有一些厂商宣称的SMPC方案是去中心化的，但实际上是基于特权设置不仅会导致单点失败风险，而且可以让攻击者具备制造假签名的能力，用户需要仔细确认技术参数。3）即使没有特权节点，SMPC也并不能一劳永逸的解决单点失败风险的问题，因为系统安全问题依旧存在。4）没有银弹，高度依赖TEE（可信执行环境）并不是理性的选择，魔鬼在细节中。

社交网站 Reddit 披露了一起安全事故，称其员工遭到复杂且高度针对性的钓鱼攻击。它是在 2 月 5 日察觉到这起攻击，攻击者在窃取到一名雇员的登陆凭证之后访问了部分内部文档、代码、仪表盘和业务系统，但没有迹象表明访问了主生产系统，用户密码和账号仍然是安全的。Reddit 称泄露的主要是企业联系人以及前和现员工的联络信息，它建议用户为保护账号安全启用 2FA。