微软在 2014 年完全终止了对 Windows XP 的支持，10 年后一台没有保护的 XP 系统联网的话会发生什么？它被恶意程序入侵的速度有多快？在几小时内 Malwarebytes 观察到了八种不同的病毒/木马，一个 DNS 改变器，一个新的用户账号，他甚至还打开了 Internet Explorer。Windows XP 相比今天的主流操作系统明显缺乏安全保障，但仍然有很多人使用它。根据 Statcounter 的统计，在中国 XP 占到了所有 Windows 版本的 1.48%，如果有一亿台 Windows 机器的话，那么运行 XP 的机器仍然数以百万计。

在因 CrowdStrike 问题更新导致全世界大约 850 万台 PC 蓝屏死机一周之后，该公司 CEO George Kurtz 表示 97% 运行该公司安全软件的系统恢复了上线。这意味着还有大约 25 万台 PC 受到影响。微软副总裁 John Cable 表示，有逾五千名支持工程师昼夜不停的工作帮助清理 CrowdStrike 更新导致的混乱，他表示微软考虑修改安全软件使用的内核访问权限，只要能不违反欧盟监管机构的规定。包括 CrowdStrike 在内的绝大多数安全软件都有内核访问权限，具有系统软硬件的完整访问能力，但这也意味着如果出错将会造成巨大破坏。macOS 限制了第三方内核扩展，因此 CrowdStrike 的问题没有影响到 macOS 系统。

美国司法部指控朝鲜黑客 Rim Jong Hyok 使用情报机构侦察总局(RGB)开发的恶意软件，对 8 家美国医疗机构、NASA、4 家国防行业企业以及中国的一家能源公司发动了勒索软件攻击。他的其它目标还有韩国企业。起诉书指控他通过中国洗白赎金，购买基础设施发动更多的攻击。美国司法部称，他们拦截了价值 11.4 万美元的虚拟货币，查封了其在线账号，但无法抓捕 Rim，他目前的身份和位置都未知，为获取其情报美国愿意支付 1000 万美元赏金。

.Top 全球顶级域名注册局江苏邦宁科技收到了 ICANN 的警告函，要求在 2024 年 8 月中旬前证明已经建立了一套管理钓鱼域名报告和封禁滥用域名的系统，否则将会面临取消域名出售资格。ICANN 此举是因为最新调查发现， .Top 是仅次于 .Com 的第二大钓鱼域名，ICANN 在警告信中指责邦宁科技未对 .top 域名相关的钓鱼攻击报告做出回应。根据 Interisle Consulting Group 的最新报告，在 2023 年 5 月到 2024 年 4 月之间，所有新 .top 域名中有 4% 被用于钓鱼攻击，在 276 万个 .top 域名中，去年有逾 117,000 个是钓鱼网站。

安全公司 Check Point 的研究人员在最大代码托管平台 GitHub 上发现了一个由大约 3,000 个幽灵账户组成的秘密网络，操纵该平台推广恶意程序。研究人员发现，自 2023 年 6 月起，被称为 Stargazer Goblin 的网站罪犯利用幽灵账号给含有恶意内容的页面添加星标，创建分支和加关注的方法提高其可见度和可行度。研究人员将该网络称为 Stargazers Ghost Network，主要针对 Windows 用户，提供看起来合法的工具如免费 VPN 下载，同时传播各种勒索软件和窃取信息的恶意程序。黑客是通过 Telegram 频道和地下犯罪市场协调性的交易软件库和加星标。

安全公司 ESET 上月初在一个黑客论坛发现有人在出售一个 Android 版本的 Telegram 漏洞，允许攻击者在 Telegram 频道、群组和聊天中发送伪装成视频的恶意文件。研究人员称该漏洞为 EvilVideo，Telegram 在本月初的 v10.14.5+ 版本中修复了该漏洞。攻击者有大约五周时间利用该 0day 漏洞，但不清楚是否被利用。EvilVideo 利用了 Telegram 自动下载媒体文件的默认设置。该设置可手动禁用，但如果用户点击共享文件的下载按钮，有效负荷仍可以安装在设备上。如果用户尝试播放，Telegram 会显示无法播放的信息，建议使用外部播放器，黑客将恶意应用伪装成外部播放器。修复后的 Telegram 能正确将恶意文件识别为应用而不是视频。

微软对无法自动接收 Crowdstrike 最新补丁的机器提供了一个创建可启动 U 盘的恢复工具。该恢复工具通过 USB 启动到 Windows PE 环境，访问磁盘，然后自动删除有问题的 CrowdStrike 文件，从而允许计算机正常启动。如果磁盘被 BitLocker 加密，用户需要输入 BitLocker 恢复密钥。上周五发生的 Crowdstrike 事件所产生的影响一直到周日也没有消失，根据 FlightAware.com 的数据，周日下午有逾 1200 多个进出美国的航班取消，逾 5000 个美国航班延；周六有 2136 个美国航班取消，逾 21,300 个航班延误。

上周五，全世界大部分地区都在应对至今 IT 史上最严重的安全事故，但有一个国家基本未受到影响：中国。原因十分简单，Crowdstrike 的安全软件在中国基本无人用。很少有中国机构会购买美国的安全软件，中国对微软的依赖程度也没有其它地区高，阿里巴巴、腾讯和华为是主要的云服务商。因此遭遇 Crowdstrike 蓝屏死机事件的主要是在华外企或组织，根据社交媒体上的信息，中国用户报告无法入住喜来登、万豪和凯悦等国际连锁酒店。网络安全专家 Josh Kennedy White 称，微软通过其本地合作伙伴世纪互联在中国开展业务，世纪互联的基础设施独立于微软在全球的基础设施。这种设置使得中国的基本服务如银行和航空免受全球干扰。

FBI 本周早些时候宣布它成功破解了特朗普集会枪手 Thomas Matthew Crooks 的手机。彭博社最新报道披露了更多相关细节。枪手使用的三星的一款较新型的 Android 手机，FBI 首先尝试利用以色列数据情报公司 Cellebrite 的软件去绕过或识别手机密码，但未能成功。FBI 随后直接联络 Cellebrite 寻求帮助。Cellebrite 之后提供了该公司仍然在开发中的新软件。FBI 利用新的软件在 40 分钟内解锁了手机。根据媒体的最新报道，Crooks 的手机上还有拜登等人的照片，他选择特朗普作为目标可能是因为这次集会距离他最近。

网友通过社交媒体报告了大规模 Windows 蓝屏死机（BSOD）事故，而所有受影响的机器都安装了 Crowdstrike Falcon。澳大利亚和新西兰可能是第一个遭遇该问题的地区，它导致了网站下线服务中断，受影响的机构包括澳大利亚国家广播公司 ABC、四大银行、Foxtel、Telstra 和 NBN 等等。Crowdstrike 是一家网络安全公司，为世界各地的客户提供端点安全、情报威胁和网络攻击的安全服务。它的 Falcon 平台帮助客户实时搜寻和收集数据。这次事故被认为是 Crowdstrike Falcon 最新更新导致的。如果遇到该问题，权宜之计是在安全模式下重命名文件夹 c:\windows\system32\drivers\crowstrike。

安全公司 Red Threat 的研究员 Andrew Lemon 周四发表两篇博文，披露了交通灯控制器漏洞。他在 Q-Free 公司的 Intelight X-1 控制器中发现了一个漏洞，允许任何人完全控制交通灯，该漏洞是因为它暴露在互联网上的 Web 界面无身份验证。他发现可以改变灯和计时，制造出某种交通堵塞，但名叫 Malfunction Management Unit 的设备阻止他将所有交通灯改为同一种颜色。他的团队发现了 30 台暴露在网上的控制器。他联络了 Q-Free，结果是收到了律师函，指控他们的研究涉嫌违反反黑客法律《Computer Fraud and Abuse Act》。

印度加密货币交易所 WazirX 证实周四有价值 2.3 亿美元的加密货币被可疑的转出该平台。它的一个多重签名钱包被入侵，它暂停了所有提款。根据第三方区块链跟踪服务 Lookchain 的报告，逾 200 种加密货币，其中包括 54.3 亿 SHIB 代币、逾 15,200 以太币代币、2050 万 Matic 代币、6400 亿 Pepe 代币、579 万 USDT 和 1.35 亿个 Gala 代币被从该平台盗走。WazirX 上个月报告它的加密货币资产价值约 5 亿美元。

CDN 和安全服务商 Cloudflare 发表了 2024 年度的《State of Application Security Report》报告，称 6.8% 的互联网流量是恶意的，比去年上升了 1 个百分点。Cloudflare 认为恶意流量的上升与战争和选举有关。多数攻击者是来自俄罗斯的组织如 REvil、KillNet 和 Anonymous Sudan。DDoS 攻击仍然是网络罪犯首选的武器，占到了 37%。DDoS 攻击的复杂度也在提高，去年 8 月的 HTTP/2 Rapid Reset DDoS 攻击峰值流量达到每秒 2.01 亿个请求(RPS)，是此前观察到最高记录的三倍。报告还突出了 API 安全的重要性，六成的动态 Web 流量与 API 相关，它们是攻击者的主要目标。Cloudflare 处理的 HTTP 请求约有 38% 被归为自动机器人流量，它认为可能多达 93% 的机器人是恶意的。

自称 NullBulge 的黑客组织以抗议 AI 生成作品的名义入侵了迪士尼的内部 Slack 消息档案库，上周四公开了其窃取了 1.1 TB 数据。窃取的数据来自上万个频道，包括未发布项目、代码、图像、登录凭据以及内部网站和 API 的链接。黑客组织声称获得了迪士尼内部人士的帮助，但目前还无法确认。迪士尼表示正对此事展开调查。窃取的数据一开始发布在 BreachForums 上，之后被移除，目前镜像网站还保留了备份。NullBulge 自称是一个黑客行动主义组织，旨在保护艺术家的权利并确保其作品获得公平报酬。

新加坡金融管理局要求主要零售银行在三个月内淘汰一次性密码。此举旨在保护消费者免遭钓鱼攻击和其它欺骗活动。金融管理局指出，一次性密码是在本世纪初引入的，随着科技发展和更复杂社会工程策略的出现，一次性密码已经无法保护客户。如果一次性密码是基于短信，那么攻击者能利用 SIM swapping 攻击去拦截短信。新加坡银行客户将用数字令牌替代一次性密码。新加坡银行协会称，该国三大银行星展银行、华侨银行和大华银行的 六成至九成客户已激活数字令牌。

AT&T 今年五月向窃取了其数千万客户通话记录的黑客组织成员支付了价值 37 万美元的比特币赎金。黑客组织 ShinyHunters 今年早些时候从云存储公司 Snowflake 窃取了逾 150 家公司的数据，其中包括了 AT&T。 区块链记录显示，AT&T 于 5 月 17 日向黑客的钱包地址转移了 5.7 比特币，黑客还向 AT&T 提供了视频，演示了他从其计算机中删除窃取数据的证据。黑客最初索要 100 万美元的赎金，最后同意将赎金金额减少到原来的三分之一。

Linksys 的两款路由器被发现以明文形式向 Amazon (AWS)服务器传输 Wi-Fi 登录信息，这意味着中间人容易拦截到密码等敏感信息。涉及的产品型号为 Linksys Velop Pro 6E 和 Velop Pro 7 Mesh 路由器。比利时消协 Testaankoop 在调查时发现路由器以明文形式向 AWS 服务器传输了 SSID 名称和密码，网络标识令牌，以及用户会话的访问令牌。明文传输为中间人攻击敞开了大门。Linksys 在去年 11 月就收到了警告，而 Linksys 也释出了新固件，但问题看起来并没有解决。Testaankoop 怀疑安全问题与 Linksys 固件使用的第三方软件有关，它认为这并不能成为不安全的借口。Linksys 为 Belkin 旗下品牌，2018 年被鸿海旗下公司收购。

AT&T 周五证实几乎所有客户的电话记录被盗，表示将向其 1.1 亿客户发送数据泄露通知。AT&T 表示，被盗数据包含移动和固话客户的电话号码，以及在 2022 年 5 月 1 日到 2022 年 10 月 31 日六个月内的通话和短信记录——通话对象或短信联络对象。被盗数据还包括依赖 AT&T 网络的其它移动运营商的客户通话记录。被盗数据“不包含通话或短信内容”，被盗的信息主要是元数据如通话和短信总数以及通话时长。AT&T 表示，被盗数据不包括通话或短信的时间或日期。AT&T 已经上线了一个发布相关信息的网站。

微软周二释出了七月例行更新，修复了 142 个漏洞，其中包括了 2 个正被活跃利用的和 2 个公开披露的 0day。这次更新共修复了 5 个能被远程代码执行的高危漏洞。两个活跃利用的漏洞是 Windows Hyper-V 提权漏洞 CVE-2024-38080 和 Windows MSHTML 欺骗漏洞 CVE-2024-38112；另外两个 0day 是 .NET 和 Visual Studio 远程代码执行漏洞 CVE-2024-35264 和 ARM CPU 预取器旁路攻击漏洞 FetchBench。

Ghostscript 是 Postscript 和 Adob​​e PDF 解释器，允许 Unix、Windows、MacOS、嵌入式操作系统和平台的用户查看、打印，以及转换 PDF 和图像文件。它被很多发行版默认安装，被很多软件包间接用于支持打印或转换操作。Ghostscript 团队在今年 3 月收到了编号为 CVE-2024-29510 的漏洞报告，4 月释出了补丁缓解了该漏洞的影响。该漏洞的危险等级评分是 5.5/10，也就是中等程度。但随着对该漏洞的远程代码执行 POC 的发布，安全社区认为其危险等级被严重低估。Ghostscript 在 Web 上被广泛使用，被云存储和聊天程序用于图像预览和渲染。