波兰总检察长向议会表示，前任政府使用以色列间谍软件 Pegasus 监视了数百人，其中包括民选官员。Pegasus 由以色列公司 NSO Group 开发，能完全控制被感染的移动设备，能提取设备上的密码、照片、消息、联系人和浏览历史记录，激活麦克风和摄像头进行实时窃听。Pegasus 的使用发生在右翼的法律与公正党执政时期，而目前执政的是中间偏右的公民纲领党。数据显示，2017-2022 年，Pegasus 被用于监视 578 人的案件，由三个独立的政府机构使用：其中包括中央反腐局、军事反情报局和内部安全局。2017年 Pegasus 被用于监视 6 人；2018 年增加到 100 人；2019 年 140 人；2020 年 161 人；2021 年 162 人；2022 年停止使用时监视了 9 个人。总检察长表示间谍软件生成了被监视者“私人和职业生活”的大量信息。他强调波兰政府无法完全控制所收集的数据，因为该系统运行是基于是以色列公司授予的许可证。

黑客正在尝试利用最近披露的一个 WordPress 插件高危漏洞控制网站。该漏洞位于 WordPress Automatic 插件，该插件有逾 3.8 万付费用户，被用于整合其它网站的内容。安全公司 Patchstack 的研究人员上个月披露，WordPress Automatic v3.92.0 及以下版本存在一个 9.9/10 的高危漏洞 CVE-2024-27596，该漏洞属于 SQL 注入，可被用于执行各种敏感操作，包括获得管理权限，上传恶意文件完全控制网站。插件开发商 ValvePress 已经发布了补丁 v3.92.1 修复漏洞。网络安全公司 WPScan 本周报告，自漏洞披露以来，它纪录到了逾 550 万次漏洞利用尝试。它没有披露有多少次尝试成功了。

思科 Talos 安全团队研究人员警告，有政府背景的黑客正利用思科防火墙的两个 0day 入侵世界各地的政府网络。研究人员称，从去年 11 月起，被称为 UAT435 aka STORM-1849 的黑客组织利用两个 0day 安装两种全新的恶意程序。攻击者使用的利用链组合利用了多个漏洞，其中至少两个是 0day；两种功能完整的后门之一只在内存中运行，以防止监测；攻击者会仔细清除掉后门留下的痕迹。研究人员根据攻击者的行为特征认为其有国家背景。攻击者利用的两个 Adaptive Security Appliances 防火墙 0day 漏洞其中之一是 CVE-2024-20359，另一个是 CVE-2024-20353，思科已经释出了补丁修复漏洞。

印度杀毒软件 eScan 至少从 2019 年起通过 HTTP 提供更新。这一做法被黑客滥用了五年，HTTP 流量容易被中间人拦截和纂改。安全公司 Avast 的研究人员报告，黑客对 eScan 的更新机制执行了中间人攻击，安装了名为 GuptiMiner 的恶意程序。Avast 向印度政府的计算机应急中心（CERT）报告了这一问题，2023 年 7 月 31 日收到 eScan 的回复称问题已经修复。研究人员不清楚攻击者是如何拦截 eScan 的 HTTP 流量的，怀疑目标网络已遭到某种程度的入侵，能将流量路由到恶意中间人。

恶意程序使用可信域名传播不是什么新鲜事。安全公司 McAfee 披露，一种新的 LUA 恶意程序加载器使用了微软在 GitHub 的开源库 vcpkg 和 STL 的网址进行传播。恶意攻击者滥用了 GitHub 的一个缺陷或设计决策，当用户在软件包库发表评论上传文件时它会自动生成一个关联网址，即使评论最后并没有发布。当用户看到来自微软库的文件网址时可能会认为是可信网址。举例来说， “https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip， https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip”， 这两个文件都不属于 vcpkg 和 STL 库，而是作为用户评论的一部分上传的。

加拿大多伦多大学公民实验室的研究人员分析了百度、荣耀、华为、讯飞、OPPO、三星、腾讯等九家厂商的云输入法，发现八家输入法软件包含严重漏洞，允许研究人员完整破解厂商设计用于保护用户输入内容的加密法。还有部分厂商并未使用任何加密法保护用户输入内容。研究人员向受影响的九家开发商提交了漏洞报告，大部分开发商均认真看待问题并予以回应，修补了漏洞，但仍有少数输入法未修补漏洞。在测试的九家厂商的应用程序中，仅有华为的产品未发现任何上传用户输入内容至云端相关的安全问题，其余每一家厂商都至少有一个应用程序含有漏洞，使得被动型网络攻击者得以监看用户输入的完整内容。

微软周一披露，一个高危漏洞被俄罗斯黑客组织利用了四年之久。该漏洞编号为 CVE-2022-38028，位于 Windows 打印后台处理程序中，威胁评分 7.8/10，它能与其它漏洞组合利用提权获得系统权限。该漏洞是 NSA 报告的，微软在 2022 年修复时没有披露该漏洞正被利用。周一微软披露黑客组织 Forest Blizzard 至少从 2020 年 6 月甚至可能早在 2019 年 4 月起就利用该漏洞。Forest Blizzard 的其它名字包括了 APT28、Sednit、Sofacy、GRU Unit 26165 和 Fancy Bear，被认为与俄罗斯军事情报总局的 26165 部队有关联。黑客利用漏洞获得系统权限之后会安装恶意程序 GooseEgg，该工具为后续行动提供了一个简单的界面用于安装其它具有系统权限的恶意程序。GooseEgg 会将恶意程序安装到特定子目录下，这些子目录名字包括了 Microsoft、Adobe、Comms、Intel、Kaspersky Lab、Bitdefender、ESET、NVIDIA、UbiSoft、Steam。举例来说，它可能会创建特定的目录如 C:\ProgramData\Adobe\v2.116.4405。

Change Healthcare 终于承认了安全研究人员早已通过区块链纪录知道的事实：它在遭遇勒索软件攻击之后向该组织 AlphV/BlackCat 支付了价值 2200 万美元的 150 比特币赎金。然而该公司同时警告了客户敏感医疗数据可能会暴露的风险。Change Healthcare 支付的赎金在勒索软件组织内部引发了内讧，主要组织者跑路，而仍然控制着数据的同伙威胁泄露数据。Change Healthcare 的做法被认为会鼓励勒索软件黑帮向其它医疗机构发动攻击。此次事件已经给该公司造成 8.72 亿美元的损失，未来损失可能会进一步扩大到 10 亿美元以上。

前白宫网络政策高级总监 A.J. Grotto 认为美国政府有个微软问题：微软是美国国家安全的威胁。微软的网络安全问题影响到了美国政府，如中国俄罗斯黑客都是通过微软产品入侵美国政府机构访问政府官员的邮箱。Grotto 称，微软对美国政府有巨大的影响力，而该公司并不慑于使用。他估计美国 85% 的政府生产力软件来自微软，Windows 操作系统所占份额更大，“微软在很多方面锁定了政府，它能将与安全漏洞相关的大量成本转嫁给联邦政府。”他希望美国政府能鼓励更多的竞争。

勒索软件黑帮今年开局不利。网络安全公司 Coveware 的数据显示，2024 年第一季度支持勒索赎金的企业比例下降至 28%，2023 年第四季度则是 29%。支付比例下降是因为企业和组织采用了更先进的保护措施，巨大的法律压力，以及勒索软件黑帮再三违背了不会发布或出售盗窃数据的诺言。虽然支付比例下降，但支付金额仍然在上升。Coveware 的数据显示 2023 年支付给勒索软件黑帮的赎金高达 11 亿美元。原因是黑帮增加了攻击频率，攻击更多目标，并要求更详细的赎金金额。2024 年第一季度，平均赎金金额为 381,980 美元，比前一季度下降 32%，赎金中位数 25 万美元，同比增加 25%。

自称 GhostR 的黑客组织声称 3 月从 World-Check 数据库窃取了 530 万记录，威胁在网上公开。该数据库被企业用于检查潜在客户是否在制裁和金融犯罪相关的黑名单上。World-Check 是“了解你的客户（know your customer，KYC）”合规项目的筛选数据库，允许公司确定潜在客户是否属于高风险或潜在犯罪分子，如与洗钱有关联或受政府制裁。黑客是从一家能访问 World-Check 数据库的新加坡公司窃取的，但没有披露该公司名字。

今年 2 月遭勒索软件攻击的美国医疗公司 Change Healthcare 的母公司 UnitedHealth 披露，此次攻击至今造成的损失为 8.72 亿美元。UnitedHealth 在截至 3 月 31 日的第一季度财报中表示，攻击对公司的影响为每股 0.74 美元，预计到年底会增加到每股 1.15-1.35 美元。与此次攻击相关的补救工作还在进行之中，因此随着时间推移，与业务中断和修复相关的总费用可能会超过 10 亿美元，其中包括可能向勒索软件组织 ALPHV/BlackCat 支付 2200 万美元的赎金。Change Healthcare 拒绝证实是否支付了赎金，而 ALPHV/BlackCat 在获得赎金之后宣布停止运作，它没有向其加盟成员支付佣金。但这些加盟成员仍然控制着窃取自 Change Healthcare 的数据，没有获得佣金的组织开始威胁泄露窃取的数据。

OpenJS 基金会发出警告，称 XZ 后门事件可能不是一起孤立事件。在 XZ 事件中，攻击者 Jia Tan（化名）潜伏长达两年多时间，最终获得信任成为项目的共同维护者。OpenJS 基金会称，他们观察到了类似的行动，他们收到了一系列邮件，要求基金会采取行动更换其管理的流行 JavaScript 项目的维护者，以解决高危漏洞。邮件使用了 GitHub 关联邮箱。这和 XZ 项目维护者 Lasse Collin 收到的施压邮件十分相似。类似事件凸显了快速发展的开源生态系统所面临的安全风险，尤其是今天软件的依赖关系错综复杂。

PuTTY 客户端的一个高危漏洞 CVE-2024-31497 允许攻击者在获得约 60 个有效签名和公钥之后推断出私钥然后伪造签名。漏洞影响版本 v0.68-0.80，已在 v0.81 中修复。漏洞只影响密钥类型 521 位 ECDSA。问题与 ECDSA 随机数有关，前 9 个随机数被发现都是零，因此攻击者在获取约 60 个相同密钥下生成的有效 ECDSA 签名后可以恢复密钥。

密码管理器 LastPass 披露黑客对其员工发动了语音钓鱼攻击，使用了深度伪造的音频冒充其 CEO Karim Toubba。根据调查，全球四分之一的人遭遇过或知道有人遭遇过此类骗局。LastPass 称其员工没有上当，因为攻击者使用的是 WhatsApp，这不是常见的商业沟通方法。攻击者在交流中被发现具有很多常见的社会工程特征，比如要求尽快行动，因此引起了 LastPass 员工的怀疑，将此事报告给了安全团队。

因供应链混乱，英特尔和联想过去几年销售的硬件都包含可远程利用且永远无法修复的漏洞。安全公司 Binarly 披露，漏洞影响英特尔、联想和超微（Supermicro）交付的服务器硬件，任何包含 AMI 或 AETN 制造的基板管理控制器(BMC)的硬件都受到影响。BMC 是服务器主板上的微型计算机，用于简化服务器集群的远程管理。它允许系统管理员远程重新安装操作系统、安装和卸载应用，控制系统的所有其它方面。包括 AMI 和 AETN 在内的 BMC 制造商采用了开源 Web 服务器 lighttpd 的存在漏洞的版本，利用漏洞攻击者能挫败名为地址空间布局随机化的内存地址保护。AMI 的 MegaRAC BMC 被认为最容易受到攻击的 BMC 之一，英特尔的 M70KLP 采用了该 BMC。

安全公司 Bitdefender 披露了 LG 电视机的四个漏洞，这些漏洞允许黑客绕过授权机制控制电视机，LG 已经释出了安全更新。受影响的型号为 LG43UM7000PLA 运行版本 webOS 4.9.7 - 5.30.40，OLED55CXPUA webOS 5.5.0 - 04.50.51，OLED48C1PUB webOS 6.3.3-442 (kisscurl-kinglake) - 03.36.50，OLED55A23LA webOS 7.3.1-43 (mullet-mebin) - 03.33.85，数量超过 8.8 万台，绝大多数位于韩国，其次是香港、美国、瑞典和芬兰。Bitdefender 称，黑客可利用漏洞获得设备的 root 权限，注入在操作系统层运行的命令。

2018 年 3 月 23 日周五上午 9 点，苹果工程师 Walter Huang 驾驶特斯拉 Model X 汽车在加州 101 公路和 85 公路岔口发生致命车祸，撞上了分隔岛，车祸发生时汽车启用了自动驾驶（或辅助驾驶）功能。本周 Huang 家人提起的过失致死诉讼进入了审讯阶段。诉讼称，Huang 有理由相信特斯拉汽车的自动驾驶系统比人类驾驶更安全，特斯拉及其 CEO 马斯克（Elon Musk）曾反复谈论该系统的强大之处，虽然事实上特斯拉的自动驾驶和其它汽车配备的辅助驾驶功能基本无区别。美国国家运输安全委员会的调查显示，在发生致命车祸前，Huang 曾多次经历相同的故障，自动驾驶多次突然转向分隔岛，但每次 Huang 都及时恢复对汽车的控制。他曾用中文和朋友谈论了其遭遇。但 3 月 23 日他没能及时控制汽车。特斯拉声称他当时正在 iPhone 手机上玩世嘉的策略游戏《全战三国》。该手机有用于故障排除的增强日志功能。苹果帮助恢复了手机上的部分日志，证实他经常在通勤期间玩《全战三国》，事故发生当天游戏也激活了，但最后 17 分钟没有与《三国》相关的日志记录。诉讼指控特斯拉造成了过失死亡，并对销售有缺陷的产品负有责任。特斯拉则声称 Huang 误用了汽车的自动驾驶功能。

2023 年 5 月 和 6 月，黑客组织 Storm-0558 使用微软 2016 年密钥签名的身份令牌入侵了全球 22 个组织逾 500 人的 Microsoft Exchange Online 邮箱，访问了多名美国政府官员的电邮账号，其中包括商务部长 Gina Raimondo，驻华大使 R. Nicholas Burns 和国会议员 Don Bacon。美国网络安全审查委员会公布的调查报告认为，这次入侵是微软的错误导致的，是完全可以避免的，本不应该发生。委员会认为，微软在安全上做出不够充分，需要进行一次彻底改革。

Google Chrome 使用的 V8 JS 引擎宣布其内存沙盒不再视为实验性。开发者通过官方博客解释了其沙盒的工作原理：内存安全仍然是一个相关问题，过去三年所有发现的 Chrome 利用都始于一个渲染进程的内存损坏漏洞。其中六成的漏洞位于 V8 引擎中。但问题是 V8 的漏洞很少是经典的内存损坏错误如释放后使用和越界访问，因此现有的内存安全解决方案大部分不适用于 V8，比如切换到内存安全语言 Rust。V8 沙盒旨在隔离其堆内存，因此内存损坏错误不会传播到进程内存的其它部分。