法国情报机构证实在三名记者的手机上发现了 Pegasus 间谍程序，其中之一是法国国际电视台 France 24 的高级员工。调查称，间谍程序在 2019 年 5 月、2020 年 9 月和 2021 年 1 月三次攻击了这位记者的手机。另外两位成为间谍软件目标的是法国调查网站 Mediapart 的调查记者 Lénaïg Bredoux 和网站总监 Edwy Plenel。在这之前，法国总统 Emmanuel Macron、前总理 Édouard Philippe 以及 14 名部长被发现成为 Pegasus 的攻击目标，而攻击者被认为来自法国的盟友摩洛哥。摩洛哥则对此断然予以否认。Bredoux 曾在 2015 年发表过一系列与摩洛哥内部情报机构负责人 Abdellatif Hammouchi 相关的文章，她主要担心自己的消息来源和联络人暴露。大赦国际在 GitHub 上公布了检查手机是否感染 Pegasus 的工具。

以色列国防部长 Benny Gantz 上周三访问了巴黎，目的旨在平息法国当局的怒火。在这之前，以色列公司 NSO Group 开发的间谍软件 Pegasus 在得到以国防部批准之后出售给了摩洛哥政府。摩洛哥情报机构利用软件监视了该国的反对派、记者和活动人士，以及十多名法国官员，其中包括总统  Emmanuel Macron 和前总理 Edouard Phillipe。Macron 打电话给以色列总理 Naftali Bennett 要求给出解释。外国政府购买间谍软件 Pegasus 的正式理由是监视和跟踪犯罪分子和恐怖分子，但实际上绝大部分政府都将其用于监视国内的反对派和活动人士。

一个半月前，一群黑客利用 Slack 和社会工程技术从 EA 公司窃取到了 780GB 的游戏源代码，但在勒索失败之后黑客在地下论坛以及 BT 网站上公开了窃取的游戏源代码。黑客一开始试图以 2800 万美元的价格出售窃取的数据，但未能找到买家，原因可能是网络犯罪分子对用户数据更感兴趣，游戏源代码对他们没什么价值。随后黑客试图以未披露的金额勒索 EA 公司，他们首先公开了 1.3GB 的 FIFA 源代码，在 EA 拒绝勒索之后公开了全部数据。EA 在一份声明中表示没有用户数据泄露。

以色列国防部在一份声明中表示，政府官员访问了 NSO Group 的办公室，调查其开发的间谍软件 Pegasus 被用于攻击活动人士、政客、企业高管和记者的指控。17 家全球媒体上周发布调查报告，称知名人士的电话号码成为 Pegasus 的攻击目标。以色列国防部没有透露哪些政府机构参与了调查。以色列媒体此前报道称在 Pegasus 调查公布之后该国的外交部、司法部、摩萨德和军情局都在调查该公司。 NSO Group CEO Shalev Hulio 证实了调查，但否认泄露的 5 万电话号码与 NSO 有关联。这个名单的来源目前还不清楚，大赦国际的调查显示名单上电话号码对应的手机很多都被 Pegasus 入侵了。

根据黑莓研究人员公布的一份报告，恶意程序开发者转向新兴编程语言去躲避检测或解决开发流程中的难点。为了躲避检测恶意程序越来越多的使用多阶段恶意文件释放和加载器，一旦绕过安全控制之后它们会解码、加载和部署恶意程序。研究人员称，Go 语言吸引了 APT 组织和商业恶意程序开发者的极大兴趣，使用 Go 语言编写的恶意程序样本日益常见。另一种被用于编写恶意程序的新兴语言是 D 语言。恶意程序开发者在利用新技术更新技能方面是很擅长的。

挖掘数字货币的恶意程序不再限于利用硬件资源挖矿，微软安全研究人员对跨平台挖矿恶意程序 LemonDuck 发出警告。LemonDuck 的功能发生了巨大变化，除了传统的挖矿之外，它还能窃取凭证，移除安全控制，通过电邮传播，释放更多恶意程序。它是少数能同时感染 Windows 和 Linux 系统的恶意程序之一，其传播主要是通过钓鱼邮件、漏洞利用、USB 设备和暴力破解等，它能利用新闻事件、新的漏洞进行更有效的传播。它还会修复其利用入侵系统的漏洞防止其它与其竞争的恶意程序利用相同的漏洞。它还能下载其它恶意程序为后续的攻击做好准备。

在 Google 上搜索 PHP 编程问题，返回的结果包含了教程、技巧和代码片段，但绝大部分结果含有有缺陷的数据库声明，30 个结果中有 16 个含有 SQL 注入漏洞。如果搜索者将这些代码包含在其编写的程序中，那么最后产生的程序将是不安全的。类似的安全问题已经存在多年。

根据发表在预印本网站 arXiv 上的一项研究，中科院大学的三名研究人员报告恶意程序能在不被发现的情况下嵌入到机器学习模型的人工神经元中。研究人员认为，随着神经网络的广泛使用，未来这种方法将会广泛用于传播恶意程序。使用真实的恶意程序样本，研究人员替换了 AlexNet 模型最多 50% 的神经元，而同时模型精度仍能保持在 93.1% 以上。研究人员称，利用隐写术他们能在 178MB 大小的 AlexNet 模型结构中嵌入最多 36.9MB 的恶意程序，部分模型测试了 58 种常用杀毒软件，这些安全软件没有检测出病毒。机器学习模型包含了数百万参数和复杂的神经元结构，研究人员发现，改变部分神经元对性能不会产生多少影响。恶意程序在嵌入到神经元时被拆解了，利用一个恶意接收程序可以将其重新组装成功能完整的恶意程序，而恶意程序在这个过程中会被检测出来。

Telegram 创始人 Pavel Durov 的电话号码被发现列入泄露的 Pegasus 项目数据中。Pegasus 是以色列公司 NSO Group 出售给政府客户的间谍软件，这些数据被认为是其客户感兴趣的目标。36 岁的 Pavel Durov 创办了流行的消息平台 Telegram，该平台有超过 5 亿用户，支持端对端加密。因为无法检查 Durov 的手机，所以目前还不知道他的设备是否被安装了间谍软件。NSO 则坚称出现在泄露数据的名单中并不意味着是 Pegasus 的攻击目标。

华盛顿邮报及其合作伙伴的调查发现，以色列公司 NSO Group 的间谍软件 Pegasus 被用于入侵和尝试入侵记者、人权活动人士、企业高管以及被谋杀沙特记者 Jamal Khashoggi 未婚妻的智能手机。大赦国际和公民实验室还发现攻击者利用了一个零点击的 iMessage 漏洞利用入侵了运行 iOS 14.6 操作系统的设备安装 Pegasus。被攻击的目标手机包含在一个 5 万电话号码的名单中，这些名单集中在对公民进行监视的国家，它们都是 NSO 的客户，其中 1.5 万个号码位于墨西哥，以及中东国家和印度，法国和匈牙利也有少量号码在内。NSO 回应称这项发现是夸大其词和毫无根据的。调查发现，在 Khashoggi 被谋杀一天之后他的未婚妻 Hatice Cengiz 的手机被感染了间谍软件，他的另一位妻子 Hanan Elatr 则在其谋杀前数个月受到攻击，但不清楚攻击是否成功。

多伦多大学公民实验室曝光了另一家以色列间谍软件公司，这家公司在不同时期使用了不同的名字，最早叫 Candiru Ltd.，最新的名字叫 Saito Tech Ltd.，其中 Candiru 是一种生活在亚马逊的寄生性淡水鱼，Saito 是日本的一座城市。Candiru 公司主要向政府客户出售间谍软件，根据前雇员的诉讼，创办两年内销售额就接近 3000 万美元，其客户位于欧洲、前苏联加盟国、波斯湾、拉美和亚洲。它的间谍软件可通过恶意链接、中间人攻击和物理攻击等方法感染目标，通过 COM 劫持持久性的安装在计算机上。互联网扫描发现了 750 多个与 Candiru 间谍软件基础设施相关联的网站，它的许多域名伪装成大赦国际、Black Lives Matter 运动、媒体公司和其它公民社会主题的实体。对间谍软件的分析发现了两个被利用的 Windows 提权漏洞，微软在周二的例行安全更新中修复了这两个漏洞（CVE-2021-31979 和 CVE-2021-33771）。

流行的软件无线电产品 KiwiSDR 被发现曾存在一个后门，允许开发者以系统管理权限远程登陆用户的设备，修改配置和访问与该硬件连接的其它计算设备。后门在最近的一次更新中移除了，但用户仍然很恼火，称这是一个严重的信任问题。后门本身十分简单，几行代码允许开发者通过在浏览器上输入网址加密码远程访问任何设备。记录显示开发者最早是在 2017 年加入该后门的。后门密码是以明文形式和 HTTP 连接的方式访问的，任何监视网络流量的人都可能获得密码。

CDN 服务商 Cloudflare 的 JavaScript/CSS 库 cdnjs 发现了一个远程代码执行漏洞。cdnjs 是最广泛使用的 JS 库之一，利用 cdnjs 的漏洞发动供应链攻击将会影响无数的网站。W3Techs 的统计显示，截至 7 月 15 日，cdnjs 被 12.7% 的网站使用，仅次于 Google 的 Hosted 库，Hosted 的使用率为 12.8%，而根据 cdnjs 的增长趋势它很快将会成为最广泛使用的 JS 库。研究人员在 4 月 6 日发现了漏洞，Cloudflare 在当天就做出了回应，完整补丁则在 6 月 3 日部署。

俄罗斯勒索软件组织 REvil 突然从暗网消失。暂时不清楚 REvil 的网站下线是临时的还是被执法部门接管了。网络安全公司 Recorded Future 的高级分析师 Allan Liska 称，REvil 的所有基础设施都下线了，他以前从未看到过这种情况。REvil 的勒索页面、支付入口以及聊天功能全部下线。在这之前，美国总统拜登要求俄罗斯总统普京采取行动。而克里姆林宫发言人 Dmitry Peskov 要求美国拿出黑客在俄罗斯领土活动的证据。白宫则表示已经与俄罗斯政府分享了情报。REvil 最近利用软件供应链同时对数千家公司发动了勒索软件攻击。

工信部发布了《网络产品安全漏洞管理规定》，从 9 月 1 日起开始实施。《规定》旨在规范网络产品安全漏洞发现、报告、修补和发布等行为。 《规定》第四条：任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动，不得非法收集、出售、发布网络产品安全漏洞信息；明知他人利用网络产品安全漏洞从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。第五条：网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通，留存网络产品安全漏洞信息接收日志不少于 6 个月。第七条：工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制，对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。第十条：任何组织或者个人设立的网络产品安全漏洞收集平台，应当向工业和信息化部备案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关漏洞收集平台，并对通过备案的漏洞收集平台予以公布。

身处去年对美国政府机构发动供应链攻击事件中心的 SolarWinds 公司正忙于修补另一个正被利用的高危漏洞。微软发现了正被利用的漏洞，报告给了 SolarWinds 公司，该公司上周五释出了修复补丁。SolarWinds 称这次攻击与去年 12 月发现的供应链攻击不相干，影响其 Serv-U 产品线，有少数针对性的目标受到攻击，它还没有估计受漏洞直接影响的客户规模。漏洞存在于今年 5 月释出的最新 Serv-U version 15.2.3 HF1 版本中以及之前释出的所有版本中，运行 Serv-U version 15.2.3 HF1 的客户需要升级到 HF2，运行 Serv-U 15.2.3 的客户需要先升级到 15.2.3 HF1 再打补丁 HF2；运行 Serv-U versions 15.2.3 之前版本的客户需要升级到 15.2.3，再打补丁 HF1 和 HF2。它督促所有客户立即更新。

安全研究员 Jack Cable 创办了一个众包的项目 Ransomwhere，寻求创建勒索软件攻击数据库，记录勒索软件通知，索要的金额和比特币钱包地址，跟踪勒索软件黑帮获得的赎金，以更好的估计勒索软件攻击行动的规模及其收益。以匿名的形式分享勒索赎金数据，有助于消除网络安全社区面临的一些限制，比如保密协议和商业竞争。此前安全公司会估计主要勒索软件黑帮获取的赎金金额，但对于较小的勒索软件黑帮缺乏更深入的了解。

在对 Kaseya VSA 的客户发动规模惊人的供应链攻击之后，REvil 成为最为人瞩目的勒索软件犯罪团伙。安全公司 Palo Alto Networks 分析了 REvil 发动攻击所采用的策略。REvil 通常采用的策略包括利用钓鱼攻击在受害者网络建立立足之地，当受害者打开恶意邮件附件之后它会安装 QakBot；或者利用嵌入宏的 Excel 文件安装银行木马 Ursnif；利用漏洞通过远程桌面协议访问联网的系统。一旦进入内部网络之后它会利用 Cobalt Strike BEACON，创建本地和域账号将账号添加到远程桌面用户组。在攻击的侦察阶段，它会使用开源工具收集情报，包括 Advanced Port Scanner、TCP View 和 KPort Scanner 等网络侦察工具，用 Bloodhound 和 AdFind 测绘网络，收集活动目录信息，甚至使用 ProcessHacker 和 PCHunter 收集主机进程和服务的情报。最后开始部署勒索软件加密文件和窃取数据。

来自俄罗斯的黑客组织 REvil 上周发动了至今规模最大的供应链勒索软件攻击。安全公司 Trustwave SpiderLabs 对恶意代码的分析发现，恶意程序设计避开了运行俄语的计算机。Trustwave 发现，恶意程序避开了默认语言为前苏联地区的计算机，这包括了俄罗斯、乌克兰、白俄、塔吉克、亚美尼亚、阿塞拜疆、格鲁吉亚、哈萨克、吉尔吉斯、土库曼、乌兹别克、塔塔儿、罗马尼亚、摩尔多瓦、叙利亚和叙利亚阿拉伯等地区的语言。在这之前，另一个勒索软件组织 DarkSide 也被发现硬编码不安装在俄罗斯和其它前苏联加盟国的计算机上。

微软周二释出紧急补丁，修复编号为 CVE-2021-34527 的打印服务漏洞，被统称为 PrintNightmare 的漏洞能被攻击者远程利用执行任意代码。当打印功能暴露在互联网上，攻击者可以远程利用漏洞；或者攻击者利用不同的漏洞进入系统之后可以使用该漏洞提权。微软声称它的补丁完全修复了漏洞，但研究人员演示了（MP4）漏洞利用仍然能绕过补丁，显示补丁未能修复使用名为 Point and Print 功能的系统。