Google Project Zero 安全研究人员披露，一个顶尖黑客组织在 9 个月内利用了至少 11 个 0day 漏洞。该组织利用的漏洞被修复之后它会迅速改用另一个 0day。研究人员最早是在 2020 年 2 月发现该组织通过水坑攻击利用 4 个 0day 攻击 Windows 和 Android 设备。在之后的 8 个月内同一组织被发现利用了至少另外的 7 个 0day，攻击的范围扩大到了 iOS 设备。Google 研究人员称，攻击者对漏洞利用的开发和利用的漏洞有着专家级别的理解能力，利用的方法相当新颖，它触发 iOS 内核提权漏洞的方法是非同寻常的。攻击者使用的利用链需要突破内置在操作系统和应用中的多层防御。

一位黑客演示了如何轻而易举的获取一个人的短信，只需要花钱不需要多少专门知识，而受害者甚至完全不知情。黑客利用的不是 SIM swapped，也不是依赖于 SS7（Signaling System Number 7）路由协议漏洞，而是借助商业短信营销服务 Sakari。Sakari 提供了短信群发和提醒服务，允许客户自己添加想要发送和接收短信的手机号码，它最便宜的方案只要 16 美元。如何获取目标手机的所有短信？方法很简单，直接用该手机号码注册然后选择接收短信，目标手机的短信就转发给了黑客。美国民主党参议员 Ron Wyden 认为，FCC 需要使用其权威迫使手机公司保护其网络，前主席 Pai 让行业自我监管的方法明显失败了。在掌握短信之后，攻击者可以进一步入侵使用手机号码的各类服务，如银行账号和消息应用。代表移动行业的贸易组织 CTIA 表示对此展开了调查，称没有运营商能复现攻击，没有观察到可疑活动的迹象。

Google 演示了实用的 Spectre 概念验证攻击，代码发布在 GitHub 上，演示发布在网站 leaky.page 上。2018 年 1 月，Google Project Zero 和奥地利格拉茨技术大学的研究人员披露了与预测执行相关的处理器漏洞 Spectre，利用基于时间的旁路攻击，允许恶意进程获得其他程序在内存中的数据。Google 的概念验证攻击针对的是运行在 Linux 系统上的 Chrome 88 的 V8 JS 引擎，使用的 CPU 是英特尔的 Core i7-6500U Skylake。Google 表示，可以进行微调让攻击能工作在不同的 CPU、浏览器版本和操作系统上，包括苹果的 M1 ARM CPU。概念验证攻击能以 1kB/s 的速度泄露数据。Google 称，虽然浏览器开发商已经实现了网站隔离等缓解措施，但这并不能阻止 Spectre 的漏洞利用，只是防止保存在内存中的敏感数据被攻击者读取。预防 Spectre 攻击还需要 Web 开发者部署应用程序级别的缓解措施。

著名开源 3D 绘图软件 Blender 通过其 Twitter 账号宣布其网站进入了维护模式，原因是有黑客尝试入侵。绝大部分基础设施，包括 Wiki、开发者入口、git 库、blender.chat 等功能仍然正常。目前网站除了首页显示的内容，大部分链接指向的页面都显示“不可用（This page is not available）”。目前网站已经下线了 12 小时。暂时不清楚攻击者的企图。当前软件供应链攻击非常流行，对 Blender 的攻击可能也是通过它攻击其客户。

瑞士警方周五突击搜查了一名黑客的公寓，扣押了其电子设备。这名黑客据称帮助实施了对硅谷公司 Verkada 监控系统数据的入侵。在这起行动中，黑客访问了超过 15 万监控探头的实时视频源，而这些探头安装在医院、企业、监狱、警察局和学校内。包括特斯拉、Cloudflare 在内的知名企业的监控探头都遭到泄露。Verkada 在报道公布之后向 FBI 报案。但这位名叫 Tillie Kottmann 的黑客遭到搜查的理由与最新的事件无关，而是其它黑客攻击事件，他被控未经授权访问计算机、身份盗窃和欺诈，被要求提供与其黑客活动相关的文件，以及持有的加密货币信息。

奔驰因通信模块软件的设计问题在中国召回 260 万辆进口和国产汽车，召回汽车的生产日期在 2016 年 1 月 21 日至 2020 年 11 月 20 日之间。公告称，“当车辆发生碰撞且自动触发紧急呼叫服务时，由车辆碰撞引起的通信模块电源的电压临时下降可能导致车辆自动发送给梅赛德斯-奔驰紧急呼叫中心的车辆位置出现偏差，可能导致救援延迟，存在安全隐患。奔驰将通过汽车远程升级(OTA)技术为召回范围内的车辆免费升级通信模块软件，用户无需到店即可消除安全隐患；对于无法通过汽车远程升级(OTA)技术实施召回的车辆，将通过授权服务中心联系相关用户，为车辆免费升级通信模块软件，以消除安全隐患。

今年 1 月，Google 警告有黑客组织对安全研究员发动了针对性攻击。为了建立信誉和联系安全研究员，黑客首先创建了安全博客和 Twitter 账号与潜在目标进行互动，然后发帖发视频声称完成了某个漏洞利用。在与目标建立初步联系之后，黑客会询问目标是否愿意共同研究漏洞，然后提供一个 Visual Studio 项目，其中包含了一个定制的恶意程序 DLL。除了社会工程攻击外，黑客还成功入侵了访问他们博客的安全研究员的计算机系统。当时受害者的系统打了最新的补丁，Google 当时表示他们暂时还不知道入侵机制。微软在周二的例行安全更新中修复了编号为 CVE-2021-26411 的高危漏洞，堵上了被朝鲜黑客利用的 0day。CVE-2021-26411 是一个内存损坏漏洞，影响 IE 和 Edg。

安全公司 ESET 发表报告称，微软 Exchange 邮件服务器软件最近曝出的 4 个漏洞正被至少 10 个黑客组织利用。微软已经释出了修复漏洞的补丁，但其企业客户更新速度缓慢，让黑客组织可以利用快速发动攻击。已经有数万家企业和政府机构受到攻击，每天都有新的受害者出现。利用该漏洞，黑客可以在服务器上安装用于后续攻击的 webshells。专家将更新缓慢部分归因于 Exchange 架构的复杂性。

一组黑客透露，他们入侵了硅谷创业公司 Verkada 收集的监控探头数据库，访问了超过 15 万探头的实时视频源，而这些探头安装在医院、企业、监狱、警察局和学校内。包括特斯拉、Cloudflare 在内的知名企业的监控探头遭到泄露。黑客演示了特斯拉位于上海的仓库内的监控探头视频，他们表示访问了 222 个特斯拉工厂和仓库探头。黑客此举是为了展示监控的无处不在，以及监控系统很容易遭到入侵。Verkada 表示它已经禁用了所有内部管理员账号，正与外部安全公司对此展开调查。特斯拉回应称已停止探头联网。

匿名读者 写道 "今天，Git 项目发布了新的版本，以解决 CVE-2021-213：Git LFS在 git 克隆操作期间使用的延迟检查机制中的安全漏洞，影响2.15及更新版本。这些更新解决了一个问题，即在支持符号链接的 git 克隆过程中，特制的版本库可以通过滥用某些类型的清理/淤泥过滤器（如 Git LFS 配置的过滤器），在不区分大小写的文件系统上执行代码。"

安全公司 Secureworks 周一发表报告，除了俄罗斯黑客，中国黑客组织也在同一时间内对 SolarWinds 的客户发动了攻击。在俄罗斯黑客发动供应链攻击的同时，安全研究人员去年 12 月披露还有黑客利用了 SolarWinds 公司软件 Orion 的一个漏洞，在该公司客户的网络中安装了名为 Supernova 的 web shell。但当时还不知道是谁发动了攻击。根据其使用的技术、策略和程序，研究人员现在将该黑客组织命名为 Spiral，该组织此前还利用了 ManageEngine ServiceDesk 的漏洞入侵企业网络。

依赖混淆供应链攻击最近引发了很多关注，在 Go 生态系统中，依赖混淆问题基本上不存在，原因是它明确指定了要导入的包。但 Go 并不能免于供应链攻击，因为你在导入外部的软件包时可能会犯下输入错误的问题，而如果攻击者利用这种输入错误，那么你仍然可能会不小心在软件中整合了恶意的包。有开发者调查了 Go 生态系统中的这种错误输入供应链攻击，发现了多个流行库的名字相似的可疑软件包。其中之一会访问属于腾讯的 IP 地址，将收集到的系统信息作为 URL 参数以 HTTP 形式发送过去。

微软发现了更多 SolarWinds 黑客使用的恶意程序。SolarWinds 黑客被认为与俄罗斯政府有关联，黑客首先入侵了 SolarWinds 公司的软件平台，向其 1.8 万客户推送了含有后门的恶意更新，然后选择少量目标展开后续攻击。微软发现了用于后续攻击的恶意程序：GoldMax、GoldFinder 和 Sibot。其中 GoldMax 使用 Go 语言开发，用于与黑客的 C2 指令控制服务器进行通信，C2 服务器使用了有知名度的转售域名以避开检测；Sibot 则是 VBScript 文件，用于冒充合法的 Windows 任务；GoldFinder 也是用 Go 开发的，是一个定制的 HTTP 跟踪工具。

上个月，安全研究员 Alex Birsan 披露了一种新型的供应链攻击：依赖混淆。他发现大企业使用的程序通常会包含非公开的私有依赖包，如果在软件包仓库中加入同名的公开的依赖包，那么这些程序在构建时很可能会优先使用公开的依赖包，可能导致恶意程序在公司内网执行。过去一周，包括苹果、微软和特斯拉在内的数十家企业成为依赖混淆供应链攻击的目标。npm 和 PyPi 开源代码仓库涌入了超过五千个概念验证攻击包。安全公司担心未来类似的现象将会有增无减。

KrebsOnSecurity 援引消息来源报道，至少三万家美国机构——包括大量的小企业和各级政府被黑客组织利用微软电邮软件 Microsoft Exchange Server 的漏洞入侵。微软本周披露，黑客正在利用 Exchange Server v2013 到 2019 中的四个 0day 漏洞。在漏洞披露的三天内，安全专家称同一黑客组织增加了对尚未修补的 Exchange 服务器的攻击，在入侵之后攻击者留下一个可以后续访问的 web shell。微软表示正与美国网络安全和基础设施安全局密切合作，为客户提供最佳的指南和缓解措施。

比特翻转（Bitflips）是指储存在电子设备上的个别比特发生翻转的事件，比如从 0 变为 1 或反之亦然。导致比特翻转的自然因素主要包括宇宙射线、功率波动和温度。2010 年的一项研究估计，4G 内存的计算机在三天内有 96% 的几率会发生比特翻转。即使比特发生翻转，大部分人可能也感受不到影响。一位独立研究员提出了一种发生比特翻转的可能场景：当 Windows PC 尝试访问微软的域名。Windows PC 会频繁访问微软的域名以检查时钟是否精确，或者连上微软的云服务，或者报告崩溃事件。如果 PC 在尝试访问 windows.com 域名发生了比特翻转，导致访问了名叫 whndows.com 的域名？而这个域名恰好控制在恶意者的手中？研究人员发现了 32 个比特翻转后有效的域名，其中 14 个可以购买。他购买了这些域名，在两周时间内记录到了来自 626 个 IP 地址的 199,180 次尝试访问 ntp.windows.com 域名的连接。Windows 操作系统的 NTP 客户端没有身份验证，因此攻击者可以返回 2038 年的时间，让 32 位时间计数溢出。也有人指出，PC 访问这些域名未必是比特翻转导致的，因为也可能是输错了。

Google 本周释出了 Chrome 的安全更新 v89.0.4389.72，修复了 47 个漏洞，其中包括正被利用 0day。编号为 CVE-2021-21166 的漏洞是微软安全研究员 Alison Huffman 在 2 月 11 日报告的，Google 没有披露漏洞细节，只是表示它知道漏洞正被利用。这是 Google 在今年修复的第二个 0day，上一个是 2 月 4 日修复的 V8 堆溢出漏洞 CVE-2021-21148。

极右翼社交平台 Gab 的创始人 Andrew Torba 发表声明（存档）承认，包括特朗普在内的 1.5 万 Gab 账号被盗。未披露身份的黑客利用 SQL 注入漏洞入侵了 Gab，将窃取的 70GB 数据提供给了泄密组织  Distributed Denial of Secrets。这些数据包括了 1.5 万 Gab 用户的 7 万多条信息，以及哈希密码、用户资料和私聊。Gab 创始人在声明中诅咒了 Distributed Denial of Secrets 的联合创始人 Emma Best 以及报道这起被称为 GabLeaks 事件的记者。

被广泛用于控制工厂设备的可编程逻辑控制器(PLC)发现了一个可远程访问的高危漏洞。存在漏洞的 PLC 来自罗克韦尔的 Logix 品牌 ，很容易利用。Logix PLC 控制器和工程站包含了一个硬编码的密钥用于验证两个设备之间的通信。黑客在获得密钥之后可以伪装成工程站，操控直接影响制造流程的 PLC 代码或配置。安全研究人员早在 2019 年就通知了罗克韦尔公司，该公司直到本周才披露漏洞，而且没有释出修复漏洞的补丁，只是提供了部分权宜方法。

乌克兰指控俄罗斯政府入侵了它的一个政府 Web 入口，植入恶意文件，在终端用户计算机上安装恶意程序。乌克兰国家网络安全协调中心称，恶意文件包含了一个宏，会秘密下载程序远程控制打开文件的计算机。乌克兰称，攻击使用的方法关联到了俄罗斯政府黑客。俄罗斯对乌克兰至今最严重的网络攻击是入侵了乌克兰的电网系统，诱发了断电事故；入侵了一家税务软件公司推送了恶意更新去破坏硬盘。