Twitter 本周遭遇了一次影响可能深远的大规模黑客攻击，未知攻击者劫持了众多名人高管政客、知名公司和数字货币交易平台的官方账号，欺骗性的诱惑用户向其钱包地址发送比特币。入侵的首个信号是交易所币安发帖称它将参与 CryptoForHealth 活动，向社区回馈 5000 BTC。随后其他名人的账号开始发布类似的帖子。安全博客 KrebsOnSecurity 报道，很多迹象显示幕后攻击者是以前精于利用 SIM swapping 劫持社交媒体账号的人。在一个专门讨论账号劫持的论坛 OGuser，Twitter 的大规模攻击发生前一位名叫 Chaewon 的用户发广告称，花 250 美元可以改变任何 Twitter 账号的电邮地址。Chaewon 保证说，如果无效可以全额退款。KrebsOnSecurity 援引消息源称，这位臭名昭著的 SIM swapper 曾用化名 PlugWalkJoe，其真实身份是 21 岁的英国利物浦人 Joseph James Connor。他现在在西班牙，因疫情无法回国。

英、美、加等国的安全机构发出警告，指有俄罗斯间谍正以英国、美国和加拿大等国的新型冠状病毒疫苗机构为目标进行情报工作。俄罗斯否认与事件有关。专家称，虽然克里姆林宫予以否认，但是俄罗斯间谍与此有关仍然是“合理的”。英国、美国和加拿大的机构表示，黑客利用了软件漏洞，进入一些较弱的电脑系统，还用 WellMess 和 WellMail 等恶意软件在被入侵的电脑里上载和下载文件。他们还被指会通过钓鱼攻击来骗取一些人的登录信息。相关黑客组织被指是 APT29，aka The Dukes 和 Cozy Bear。

美国时间周三，未知黑客劫持了 Twitter 上的名人和知名公司账号，同时发起比特币骗局，以回报社区 5000 BTC 的名义欺骗用户向其钱包地址转入比特币，声称会转出双倍。被劫持的账号包括了名人 Elon Musk、Kanye West、Jeff Bezos、Michael Bloomberg、Warren Buffett、Bill Gates、Barack Obama 和 Joe Biden，知名公司 Uber 和 Apple，数字货币平台 Gemini、Binance、KuCoin、Coinbase、Litecoin 的 Charlie Lee, Tron 的孙宇晨、Bitcoin、Bitfinex、Ripple 和 CoinDesk 等等。根据 Motherboard 的报道，问题根源似乎是 Twitter 的管理面板。暂时不清楚这次攻击是否有 Twitter 雇员参与或是否是外部第三方访问了管理面板。美国共和党参议员 Josh Hawley 已经致函 Twitter CEO Jack Dorsey，要求提供此次黑客攻击的更多信息。

微软本周二释出了例行安全更新，修复了 123 个安全漏洞，其中一个位于 Windows Server 属于高危蠕虫级漏洞，软件巨人警告可能很快它就会遭到利用，目前还没有任何有关该漏洞正被利用的报告。编号为 CVE-2020-1350 的漏洞为远程可利用 bug，危险等级 10/10，影响绝大部分 Windows Server 版本，攻击者通过发送特质 DNS 请求就可利用该漏洞安装恶意程序。它被称为蠕虫级漏洞是因为恶意程序无需用户交互就能在存在漏洞的计算机之间传播。其它 17 个高危漏洞影响 Office、Internet Exploder、SharePoint、Visual Studio 和 .NET Framework。

安全研究人员在中国供应商西迪特（C-Data）的 29 种光纤到户设备中发现了后门账号。安全研究员 Pierre Kim 和 Alexandre Torres 在西迪特的 FTTH OLT 设备固件中发现了 7 个漏洞，其中最严重的是硬编码的 Telnet 后门账号。这些账号允许攻击者连接设备，为攻击者提供完整的管理员命令行访问权限。不同型号的设备有着不同的后门账号，其中包括 suma123/panger123、debug/debug124、root/root126 和 guest/[empty]。研究人员没有通知西迪特就公开了这项发现，他们认为部分后门是供应商有意加入的。

根据 App Annie 的数据，在香港国安法生效之后安全消息应用 Signal 成为香港地区苹果和 Google 应用商店下载量最高的应用。Signal 最吸引人的功能是端对端加密，被广泛认为是最安全的加密消息应用。端对端的加密和解密是在通讯端的双方进行的，因此服务商也无法知道会话内容，这能有效防止第三方监听。Signal 的其它功能包括阅后即焚，以及最小化用户数据收集。当其它社交服务纷纷表示暂停香港政府的用户数据请求，Signal 表示它根本没有用户数据可以提供。

你正在使用的家用路由器非常有可能存在众多的安全隐患，需要尽可能快的更新固件，如果厂商有新固件释出的话。德国 Fraunhofer Institute for Communication 最近测试了 127 款家用路由器，其中 91% 运行了某个版本的嵌入式 Linux 系统。研究人员发现，没有一款路由器免于安全漏洞，其中许多款存在数以百计的安全问题。四分之一的路由器超过一年时间没有收到任何安全方面的更新，部分路由器没有收到更新的时间长达五年。研究人员称，部分路由器很容易被破解，或存在用户无法改变的已知硬编码密码。知名路由器厂商 D-Link、TP-Link 和 Linksys 在定期更新上远远落在后面，其中 Linksys 的一款路由器 WRT54GL 使用的是 2002 年释出的 Linux 内核版本 2.4.20，存在 579 个高危漏洞。

勒索软件很常见，但针对苹果 Mac 计算机的勒索软件不常见，因此安全研究员 Dinesh Devadoss 本周发现的针对 Mac 的勒索软件 ThiefQuest 引发了广泛关注。ThiefQuest 除了是勒索软件外还包括一组间谍软件功能，能从被感染的计算机上获取文件，搜索密码和加密钱包数据，能运行键盘记录器抓取密码、信用卡号码、或其他用户输入的金融信息。它还能充当后门，重启后仍然会留在系统中。Jamf 公司的首席安全研究员 Patrick Wardle 认为，这个勒索软件最初是作为 Mac 恶意程序开发的，只是为了获得额外的收入而加入了勒索软件功能。ThiefQuest 目前主要通过盗版的 Mac 软件传播。

微软本周释出了计划外的安全更新，修复了两个漏洞，其中一个为高危漏洞。不同于绝大多数 Windows 10 补丁，最新的安全补丁是通过 Microsoft Store 而不是 Windows Update 推送给用户的。微软声称用户无需任何操作就能自动接受和安装补丁。发现漏洞的趋势科技安全研究员 Abdul-Aziz Hariri 解释说，受影响的库叫 hevcdecoder_store.dll，负责用 HEVC 代码解析 HEIC 图像，这个库是通过 Windows Store 提供的，这可能是微软通过 Windows Store 而不是 Windows Update 更新的原因。

加州大学旧金山分校（UCSF）最近承认它被迫向勒索软件 Netwalker 背后的运营者支付了 114 万美元的赎金。BBC 报道了双方在暗网的幕后谈判：6 月 5 日黑客留下通知表示一切好商量；6 个小时后 UCSF 要求更多时间要求从网站上移除相关信息；UCSF 年收入有数十亿美元，黑客索要 300 万美元赎金；UCSF 的代表（可能是外部谈判专家）表示疫情给大学的财政造成了毁灭性打击，要求将赎金减少到 78 万美元；来回谈判一天之后，UCSF 的代表称大学手中的现金只有 102 万美元，但勒索者拒绝将赎金降至 150 万以下；UCSF 最后开出报价 1,140,895 美元，勒索者接受了，随后 116.4 比特币转移到了 Netwalker 的钱包地址，解密密钥发给了 UCSF。UCSF 目前正协助 FBI 进行调查，同时恢复所有受影响的系统。

印度政府周一晚上宣布以威胁到国家安全和主权完整为由封杀 59 个中国应用，其中包括字节跳动的 TikTok、腾讯的微信和 QQ（多个相关产品）、新浪的微博，小米的 Mi Video Call，阿里巴巴的 UC Browser 和 UC News，茄子快传，CM Browser，Club Factory，ES File Explorer，百度地图和翻译，美图等等。这是首次印度封杀掉如此多的外国应用，这些中国应用在印度相当流行，是印度最流行的 Android 应用之一，用户数有多达数亿，其中印度是 TikTok 最大的海外市场。暂时不清楚封杀的具体措施，Google 表示还没有收到新德里的命令，苹果表示正在评估。更新：Google 和苹果从其印度应用商店下架了被封杀的中国应用。

6 月 4 日，勒索软件 NetWalker 背后的攻击者在其暗网网站上将加州旧金山大学加入到了未支付赎金的受害者名单行列。6 月 19 日，加州旧金山从名单中移除了。6 月 26 日，加州旧金山发表声明，承认向 NetWalker 支付了 114 万美元赎金，表示被勒索软件加密的数据对学术工作非常重要，他们只能做出困难的决定支付赎金。声明没有提及备份，但看起来大学即使有备份也不足以恢复被加密的数据。

警察杀死 George Floyd 和 Breonna Taylor 的恶性事件引发了全美的抗议。但抗议者不知道的是，他们的手机数据可以让数据公司预测其年龄、种族、性别和居住地。Mobilewall 发表报告《George Floyd Protester Demographics: Insights Across 4 Major US Cities》，给出了抗议者中男女、年轻成年人(18–34)，中年人（35 - 54 ）和老年人(55+)、非洲裔、白人、亚裔和拉美裔的百分比。Mobilewalla CEO Anindya Datta 在接受采访时表示，报告不是为执法部门或公共机构准备的，而只是为了满足其员工的好奇心。该公司本身并不收集数据，而是从不同来源如广告商、数据中介、ISP 等购买数据，然后利用 AI 算法关联分析聚合数据。

两家最近在中国开设办事处的英国公司被当地银行要求安装了航天信息股份有限公司的智慧税务软件，安全公司 Trustwave 称该税务软件包含了恶意程序。Trustwave 为英国公司提供了网络安全服务，它观察到客户网络的可疑请求，它随后对税务软件进行了分析，发现它除了提供纳税功能外还包含了一个隐藏的后门，该后门被称为 GoldenSpy，具有系统级运行权限，允许远程攻击者连上被感染的系统，执行命令或上传和安装其它软件。很多此类的软件都有远程访问功能以调试服务，但 Trustwave 称它发现的功能在恶意程序中更常见。GoldenSpy 安装了两个相同的版本作为持久性的自启服务；税务软件的卸载功能不卸载 GoldenSpy；GoldenSpy 是在税务软件安装两个小时后下载安装的，之后会悄悄运行；GoldenSpy 不连税务软件的网络基础设施，而是访问域名 ningzhidata[.]com。

以色列间谍软件开发商 NSO Group 过去几年一直受到批评，它被指向存在人权问题的国家出售间谍软件 Pegasus，而 Facebook 旗下的消息应用 WhatsApp 去年对 NSO Group 提起了诉讼，指控该公司的间谍软件 Pegasus 入侵了它的 1000 多名用户，其中包括知名人权律师、活动人士、记者和学者。对此，NSO Group 的一个回应是宣布了所谓的人权政策。大赦国际指出，在 NSO 人权政策发表仅三天后，它的间谍软件就被用于入侵了摩洛哥知名调查记者 Omar Radi 的 iPhone 手机。幕后入侵者被认为是摩洛哥政府，但 NSO 以为客户保密为由拒绝证实。2019 年 12 月摩洛哥当局逮捕了 Radi，理由是他早些时候在 Twitter 上发的贴子，今年 3 月他被判了 4 个月的缓刑。大赦国际的安全实验室调查了他的手机，找到了 Pegasus 入侵证据。

微软安全软件 Microsoft Defender 发布了 Linux 的正式版本和 Android 的预览版本。微软去年将 Windows 自带的杀毒软件 Defender 带到了 macOS 平台，并改名为 Microsoft Defender，以表明该杀毒软件不再限于运行在 Windows 操作系统。上周 Microsoft Defender 还加入了新功能，支持扫描恶意固件。Microsoft Defender 的付费版本叫 Microsoft Defender ATP，面向企业级客户，每台机器每年 30 到 72 美元。

名叫 Distributed Denial of Secrets (DDoSecrets) 组织泄露了大约 270 GB 的美国警察局档案，这批档案统称为 BlueLeaks。DDoSecrets 声称档案包含了 200 多个警察局和融合中心长达 10 年的数据。National Fusion Center Association (NFCA)已经确认了泄露数据的真实性，称实际数据跨度达 24 年，从 1996 年 8 月到 2020 年 6 月 19 日，文档包含了名字、电邮和电话号码，还有部分敏感的金融信息。NFCA 认为这些数据窃取自美国执法部门使用的 Web 服务公司 Netsential。Netsential 已经证实它遭到了入侵。

全自动区分计算机和人类的图灵测试 CAPTCHA 让很多人类感到困恼，现在恶意攻击者被发现利用它去阻止自动检测工具。微软最近发现了一个传播恶意 Excel 文档的黑客组织 Chimborazo，它使用的一个网站要求访问者完成 CAPTCHA 测试。此举被认为旨在阻止白帽黑客使用的自动检测工具。Chimborazo 传播的恶意 Excel 文档包含了宏，启用之后会安装木马程序 GraceWire 去窃取用户的敏感信息如密码。Chimborazo 主要使用钓鱼邮件传播恶意文件，但钓鱼方式经常会发生变化，钓鱼邮件有时候包含附件，有时候包含链接会重定到钓鱼网站，但当受害者点击链接访问钓鱼网站时，它会要求完成 CAPTCHA 测试。完成测试意味着是真实的人类而不是机器人程序。

安全公司 Awake 的研究人员从 Google Chrome Web Store 发现了 111 个扩展，从事全球性的大规模间谍行动，秘密的大肆收集用户敏感数据，这些扩展的下载量大约为 3296 万次。Google 在收到通知后已经将这些扩展下架。恶意扩展被发现会收集屏幕截图、设备剪贴板内容，用户登陆网站的浏览器 cookies，密码等按键。绝大部分扩展都是模块化的，安装之后可以用可执行文件进行更新。恶意扩展使用了通过以色列公司 GalComm 注册和托管的 1.5 万多个域名，这家公司有 26,079 个可访问域名，恶意行为的域名占到了六成之多。

澳大利亚总理莫里森（Scott Morrisonl）周五称，该国最近几个月持续受到精密的网络攻击，且相信是有外国在幕后支持。莫里森表示，这次黑客袭击范围广泛，波及澳洲“各级政府”与政治组织，以至于教育、医疗卫生等必要服务机关和私人企业，且有扩大趋势。但迄今未有造成大规模个人资料泄漏。他拒绝透露哪国嫌疑最大，只强调这次宣布是为了提升公众关注度，并促请大小企业马上改善其网络安全防卫措施。澳大利亚广播公司（ABC）则引述匿名联邦官员称，他们相信中国就是连串袭击的幕后黑手。北京对相关提问作出强烈回应。称有关指控“毫无根据”。中国外交部发言人赵立坚星期五说：“中国是网络安全的坚定维护者，也是黑客攻击的最大受害国之一。我们历来坚决反对，并依法打击一切形式的网络攻击行为。这立场是一贯的，明确的。”