黑客组织 RansomHouse 宣布从 AMD 公司窃取到 450Gb 数据，声称该公司使用了弱密码如 password 保护其网络。AMD 表示正对此安全事件展开调查。RansomHouse 的帖子称它是在 2022 年 1 月 5 日入侵 AMD 的网络，窃取到 450Gb 的数据。如果 Gb 没有写错的话，这意味着该组织只窃取到 56 GB 的数据。RansomHouse 嘲讽了 AMD 使用弱密码，称它还从 AMD 安全部门窃取到了文件，显示该部门获得了大量融资。

HardenedVault 写道 "赛博堡垒之前的文章中介绍过VaultBoot作为“下一代”固件安全的重要组件，专注于固件安全，可信计算以及高级防御的固件载荷执行体，其设计可以在coreboot平台上发挥出最卓越的防护效果。近期赛博堡垒发布了VaultBoot的新版本，各方面的安全防护能力得到了一定的提升，大家关注最多的有两个新特性：远程证明和支持arm64硬件架构。什么是远程证明？简单的说就是执行某项重要业务（比如金融结算，密钥分发，关键系统启动等）向服务器证明当前计算节点的执行状态是符合预期的，赛博堡垒给出了一个例子中，计算节点启动过程比如完成了证明才可以解密全盘加密。这仅仅是一个远程证明的用例，读者大可发挥你受局限的想象力把可信计算带到更多的领域，比如VaultBoot新版本支持arm64也就意味着工业物联网设备有福音了。"

全球勒索软件战争的战线延伸到了亚洲。勒索软件黑帮主要在俄罗斯、白俄罗斯等东欧地区运作，此前他们主要攻击美国和欧洲地区，但随着这些市场的犯罪活动饱和，受害者的应对能力增加，攻击的回报率在下降。相比较下，亚洲是新鲜的牧场，而富裕的日本网络防御能力普遍较低，它们同时有着更高的支付赎金意愿。攻击日本机构曾经存在语言上的障碍，但随着 AI 翻译工具的进步，以及专业翻译人员的帮助，日语不再是一道难关。结果是日本的勒索软件攻击在急剧增加，2021 的公开报道是 146 起，这可能是真实数字的一小部分。

黑客从区块链桥 Horizon 窃取了价值一亿美元的加密货币。区块链桥在去中心化金融系统中扮演重要角色，为用户提供了一种方法将资产从一个区块链转移到另一个区块链。以 Horizon 为例，用户可以将以太坊网络令牌发送到币安智能链（Binance Smart Chain）。Horizon 表示正与执法机构合作调查幕后黑手，称此次黑客攻击没有影响到比特币跨链桥。Horizon 没有透露被盗加密货币资金的确切金额。而早在 4 月份就有人对其安全性发出警告。

7-zip 加入了对 Windows Mark-of-the-Web 安全功能的支持。当用户从网络下载文档和可执行文件，Windows 会对其加入特定的标识符 Mark-of-the-Web，告诉操作系统和支持的应用程序，文件是从另一台计算机或网络上下载的，打开文件可能会存在安全风险。举例来说，Microsoft Office 在打开文件时会检查 Mark-of-the-Web，如果有该标识符它会在保护视图下打开文件，文件处于只读模式，禁用了宏功能。7-zip 是最流行的解压缩软件之一，其作者 Igor Pavlov 在 7-zip 22.00 中加入了一个新设置，允许用户启用 Mark-of-the-Web 功能。

6 月 21 日云服务商 Cloudflare 发生了大规模宕机事故，影响了众多网站和服务，其中包括英雄联盟、Steam、Discord、Gitlab 等等。宕机始于大约 06:27 UTC，持续了一个半小时结束。Cloudflare 解释说事故是网络配置错误导致的，这是导致严重宕机的常见错误。Cloudflare 称它修改网络配置本意是增加弹性，结果却导致其 4% 的网络受到影响，进而影响到它处理的大约 50% 的 HTTP 请求。

世界各地的警察机构越来越多地使用黑客工具识别和跟踪抗议者，曝光持不同政见者的秘密，将活动人士的电脑和手机变成无处可逃的窃听工具。现在在印度的一起案件中，新线索显示执法部门与黑客活动有关，执法部门对此类工具的运用更进一步到了骇人听闻的程度：在目标的计算机植入虚假的有罪文件，然后幕后的警察再以此为由逮捕和监禁这些人。一年多以前，法庭分析师透露，身份不明的黑客至少在两名活动人士的计算机上伪造了证据，这两人在印度浦那被捕，现在均在监狱服刑，并与其他 13 人一起面临恐怖主义指控。安全公司SentinelOne 以及非营利组织公民实验室和国际特赦组织的研究人员后来将证据伪造与近十年来针对数百人的更广泛的黑客行动联系起来，这些黑客行动通过网络钓鱼电子邮件，用间谍软件感染目标的计算机，用以色列承包商 NSO Group 提供的智能手机黑客工具感染目标的智能手机。但是 SentinelOne 的研究人员到现在才发现这些黑客与政府机构之间的联系：正是逮捕多名活动人士的印度浦那警方捏造了证据。

HardenedVault 写道 "赛博堡垒之前的文章中介绍了Linux内核安全的现状和挑战以及云原生和车联网方案中第三方Linux内核安全方案的场景。赛博堡垒致力于为运行(GNU)-Linux系统的平台和基础架构构建全栈安全方案，在这个过程中我们从PaX/GRsecurity中学习了很多东西，从2010年开始我们持续研究了不同场景下的Linux内核漏洞利用的方法，有些案例是公开的而有些则是并未公开，到2021年赛博堡垒（HardenedVault）成立后我们开始着手研究如何能在部署简易度，性能开销，稳定性以及安全性之间达到平衡，这也是VED目标，这也让VED从一开始就是针对企业生产环境而设计和实现的，经历了多个生产环境的历练后我们开源一个VED的社区版。"

伊利诺伊香槟（UIUC）、得州奥斯汀（UT Austin）和华盛顿大学的研究人员披露针对 x86 CPU 的新旁道攻击，他们将其命名为 Hertzbleed 并创建了一个 Logo 以突出其严重性。Hertzbleed 利用了现代 x86 处理器的动态频率调整，CPU 的频率会因为正在处理的数据而存在差异，相同的程序能在不同的 CPU 频率上运行，因此有着不同的实际时间，远程攻击者能观察这一变化并利用它窃取加密密钥。所有英特尔处理器、AMD Ryzen 处理器都受到该攻击的影响，研究人员去年第三季度就向英特尔报告了漏洞，但应英特尔要求一直到 6 月 14 日才公开漏洞，原因未知。英特尔和 AMD 都没有计划释出微码更新缓解攻击，权宜之计是禁用动态频率调整——英特尔称其为睿频加速技术（Turbo Boost），AMD 称之为精准智能超频(Precision Boost)。

PyPI 软件包 keep、pyanxdns、api-res-py 的某些版本因依赖包名字拼写错误而包含后门。举例来说，keep 的绝大部分版本都包含合法的 Python 模块 requests 用于 HTTP 请求，但 keep v.1.2 包含的模块 request（没有 s）是一个恶意程序，能从 Chrome 和 Firefox 等浏览器中窃取 cookies 和个人信息，并尝试窃取浏览器保存的登陆凭证。拼写错误在依赖包攻击中十分常见。pyanxdns 的作者 Marky Egebäck 承认是拼写错误导致的，他的开发者账号并没有遭到入侵。Egebäck 删除了包含 request 依赖的版本。

MIT 研究人员发现苹果 M1 芯片存在一个无法修复的硬件漏洞，允许攻击者突破最后一道安全防线。漏洞存在于 M1 芯片硬件层安全机制 PAC（pointer authentication codes） 中。PAC 旨在加大向硬件内存注入恶意代码的难度，为抵御缓冲区溢出漏洞增加一层防御。但 MIT 的研究人员开发出了一种新颖的硬件攻击 Pacman，利用预测执行泄露 PAC 验证结果。研究人员证明该攻击对系统内核也有效。攻击是在本地进行的，攻击者需要登陆进系统并安装一个定制的 kext，操作难度很大。

意大利 Palermo 市有 130 万居民，上周五在网络攻击之后政府关闭了所有服务、公共网站和在线入口。虽然 IT 部门努力恢复系统，但三天之后所有服务和网站仍然下线。由于无法使用数字系统，当地居民只能用传真机联络政府办公室，游客无法在网上预定博物馆和歌剧院的门票。由于该市历史悠久的城市中心需要通行证才能进入，关闭服务给居民和游客造成了巨大影响。这是一次 DDoS 还是勒索软件攻击？目前当地政府还没有披露更多信息，但它的反应更像是防止勒索软件攻击者使用的恶意程序感染更多系统。

富士康证实它在墨西哥的一家工厂 5 月底遭勒索软件攻击。富士康没有提供有关攻击者身份的信息，但勒索软件组织 LockBit 的运营者宣称对此负责。富士康在墨西哥有三家工厂，主要生产计算机、液晶电视、移动设备和机顶盒等产品，受攻击影响的是位于 Tijuana 的工厂，该设施被认为具有战略意义，充当了加州的关键供应枢纽。富士康声称攻击对整体运营造成的影响很小，工厂正逐步恢复正常。LockBit 要求富士康在 6 月 11 日前支付赎金，否则将公开窃取的数据。

GitHub 宣布 Top-500 npm 包维护者被要求启用 2FA（双因素身份验证）。npm 的生态系统比大多数人想象的更相互交织。此前的研究发现平均一个 npm 包加载了 39 名不同维护者的 79 个第三方包。研究人员发现，只要入侵 20 名最有影响力的包维护者帐号就可能危及半数 NPM 生态系统。

IT 专业人员对勒索软件攻击是否应负有责任？

丹麦有 129 种工作岗位受到法律监管。为什么不是随便一 个Ken、Brian 或者 Dennis 都能合法地安装抽水马桶或者天然气炉，进行脑部手术或证明建筑足够坚固能承受寒冬，理由充分又明显。国家为什么关心谁经营宠物店、给牛授精或者进行动物标本剥制的原因可能就不那么明显了，但是如果你阅读相关法律，你会发现动物福利和濒危物种保护方面有许多不为人知的极端案例。值得注意的是，这个列表中没有包含任何与 IT 相关的工作，就好像这些工作完全不存在一样；IT 架构、计算机、计算机网络、计算机安全或者计算机系统的隐私保护。那些被法律禁止从事其他行业的人——可能是因为能力不足、欺诈或者两者兼而有之——完全可以自由进入 IT 行业，负责 IT 架构或者是控制美国东海岸一半碳氢化合物的 IT 系统的网络安全。

对于煤气、水、电力、下水道或者建筑的稳定性，法规不在乎一家公司是有数百年的历史还是今天早上才刚刚成立，规则总是一样的：东西应该管用，只有获得许可的人才能从业，因为他们知道该如何去做，如果他们没这样做，就可能会被起诉。和几乎所有其他的工程职业一样，让 IT 工程师承担职业责任太晚了。在你告诉我这是不可能的之前，请先研究一下同样的事情是如何在电力、飞机、起重机、火车、轮船、汽车、电梯、食品加工、建筑以及汽车驾驶行业发生。与软件产品责任一样，敏锐的读者很可能会惊呼：“这会是我们所知的 IT 的终结！”我的回答经过了深思熟虑，“是的，拜托，这正是我的看法！”

GitHub 披露黑客在 4 月中旬的攻击中窃取了近十万 npm 用户账号登陆信息，这次攻击利用了签发给 Heroku 和 Travis-CI 的 OAuth 应用令牌。攻击者访问了一个 2015 年的用户信息存档，其中含有近 10 万 npm 用户名，密码哈希和电邮地址，虽然哈希密码是用弱哈希算法如加盐 SHA1 生成因此容易破解，但 GitHub 从 3 月 1 日起对所有账号自动启用了电邮验证，控制账号的尝试会自动阻止。在分析和检查了所有 npm 软件包版本的哈希之后，GitHub 确信攻击者没有修改任何公开的软件包或上传现有软件包的新版本。GitHub 重置了所有受影响用户的密码，并向受影响组织和用户发送了通知。

安全研究人员发现了被命名为 GoodWill 的勒索软件组织，顾名思义该组织的运营者旨在促进社会正义而不是个人牟利。GoodWill 勒索软件是用 .NET 编写的，会检测被感染设备所在的位置，一旦感染它会加密文档、照片、视频、数据库等重要文件，运营者会让受害者完成三个社会正义活动以获取解密密钥：向无家可归者捐衣服，记录并发布在社交媒体上；带五个穷孩子去达美乐、必胜客或肯德基吃顿饭，拍照和拍视频发布在社交媒体上；给需要紧急医疗救助但没有钱的患者经济援助，录音并与运营者分享。完成三个任务之后运营者会核查验证然后提供完整解密工具。

黑客正以俄罗斯政府机构为目标，发送钓鱼邮件，冒充 Windows 更新，诱骗受害者安装远程访问工具（RAT）。攻击来自一个以前未知的 APT 组织，攻击时间是从 2022 年 2 月到 4 月，目标都是安装 RAT，旨在进行后续的间谍活动。该 APT 组织的第一波攻击始于 2 月，攻击者以 interactive_map_UA.exe 的名义传播 RAT 工具。第二波攻击以修复刚刚披露的 Log4Shell 漏洞的名义发送 tar.gz 档案文件，邮件主要发送给了 RT 的员工，其中还包含不要打开可疑邮件的警告。第三波攻击伪装成国防公司俄罗斯联邦科技与工业集团。第四波攻击冒充了石油巨头沙特阿美的招聘广告，附件为 Word 文档但含有宏病毒。

Mozilla 释出了紧急更新，修复了在 Pwn2Own 2022 黑客挑战赛上安全研究人员利用的 Firefox 和 Thunderbird 0day。Firefox 100.0.2、Firefox ESR 91.9.1、Firefox for Android 100.3 和 Thunderbird 91.9.1 修复了两个高危漏洞。安全研究员 Manfred Paul 在 Pwn2Own 上演示了漏洞利用赢得了 10 万美元奖金。第一个漏洞是 Top-Level Await 实现的原型污染（prototype pollution），第二个漏洞允许攻击者在原型污染注入攻击中滥用 Java 对象索引不正确输入验证。

HardenedVault 写道 "2022年5月16日，云原生安全公司Isovalent的CTO宣布开源了其内部开发了多年的基于eBPF安全监控和阻断的方案：Tetragon。由于Tetragon宣称可以防御容器逃逸的Linux内核漏洞，但从Tetragon的设计来看只支持post-exploitation阶段的检测和阻断，这种基于规则的检测和阻断遭到了安全研究人员Felix Wilhelm的质疑，此后几天的讨论引起了更多安全研究人员的注意，PaX/GRsecurity团队成员Pawel Wieczorkiewicz在5月20日研究了两个小时后基于CVE-2021-22555公开exploit击穿了Tetragon的防御机制，随后PaX/GRsecurity公开了其细节以及探讨了为什么防御机制中不能单一依赖post-exploitation阶段的检测和阻断机制。幸运的是，VED(Vault Exploit Defense）方案对于目前的攻击方法免疫。"