朝鲜黑客通过广泛使用的 VoIP 客户端 3CX 对其用户发动了供应链攻击。黑客采用的方法目前还不清楚，但他们设法传播了含有恶意功能的 3CX Windows 和 macOS 客户端，使用了官方的有效密钥进行签名，还通过了苹果的安全检查。受影响的版本包括：Windows 下有 18.12.407 和 18.12.416；macOS 下有 18.11.1213、18.12.402、18.12.407 和 18.12.416。任何使用 3CX 的企业或组织都应该立即检查其网络寻找是否有入侵迹象。3CX 有逾 60 万客户，其中包括美国运通、奔驰和普华永道等知名公司。黑客的入侵准备活动至少是从 2022 年 2 月就开始了，当时他们注册了一系列相关域名。本周安全软件开始检测到来自 3CX 客户端的恶意活动，这次供应链攻击才曝光。对恶意版本的分析显示，它包含了干净版本的 3CX 应用，通过 DLL Sideloading 的方法加入恶意功能。

Twitter 上周披露它的部分源代码被人在今年初上传到 GitHub。上周五 Twitter 向北加州地区法院递交申请，要求法庭签发传票强迫 GitHub 披露源代码上传者 FreeSpeechEnthusiast 的身份。本周二法庭书记员签署了传票，GitHub 需要在 4 月 3 日前提供上传者所有的身份信息，包括 FreeSpeechEnthusiast 相关的姓名、地址、电话号码、电邮地址、社媒档案数据和 IP 地址。GitHub 还被要求提供 FreeSpeechEnthusiast 所上传代码仓库中发布、上传、下载或修改数据的用户的相同类型的信息。

Google Threat Analysis Group (TAG) 安全团队多年来一直跟踪间谍软件供应商的活动。它跟踪了逾三十家公司，认为这些间谍软件的开发商推动了黑客工具的扩散，让内部缺乏技术能力的政府能利用先进的黑客工具去监视持不同政见者、记者、人权活动人士和反对党政客。间谍软件供应商组合利用 0day 和 Nday 漏洞去攻击流行平台，它们囤积了已知和未知的漏洞，利用了已知漏洞及其修复补丁推送到终端用户的时间差。Google 安全研究人员根据其活动认为，间谍软件开发商之间在分享漏洞和技术，加速了危险黑客工具的扩散。

俄罗斯安全公司卡巴斯基报告了针对俄罗斯和东欧等俄语用户的木马版 Tor 浏览器，浏览器植入了剪切板恶意程序，设计窃取用户的加密钱包。俄罗斯在 2021 年底屏蔽了 Tor 网站，因此给嵌入了恶意程序的修改版 Tor 浏览器留出了空间。俄罗斯用户占到了 Tor 浏览器全球用户的 15%。 Tor 浏览器被用于访问暗网，也被加密货币用户广泛使用。卡巴斯基表示此类的攻击并不具有新意，但受影响用户仍然很多。

被认为来自南亚的黑客组织 Bitter APT 最近正以中国核能机构为攻击目标。安全公司 Intezer 报告，在最近的行动中，Bitter APT 伪装成吉尔吉斯斯坦驻北京大使馆向中国核能公司和该领域的学者发送钓鱼邮件，邀请他们参加吉尔吉斯斯坦大使馆等主办的一个核能会议。邮件签名者是真实存在的，是吉尔吉斯斯坦外交部的一名官员。但邮件附件是恶意的，会执行一系列行动释放恶意负荷。

俄罗斯在 2022 年逮捕了多名知名的 Telegram 用户，调查显示国有的俄罗斯国家工业和科技集团公司(Rostec)旗下的一家公司开发了名为 "Okhotnik" (Охотник) 的系统，利用了逾 800 个数据点建立关联去匿名化 Telegram 用户的身份。这些数据点来自社交网络、博客、论坛、即时通讯工具、BBS、加密货币区块链、暗网以及政府服务，包括姓名、昵称、电邮地址、网站、域名、加密钱包、加密密钥、电话号码、地理位置信息、IP地址等。Okhotnik 可以找到目标用户过去任何时候犯下的任何错误去实现去匿名化。

本月早些时候，独立安全研究机构 DarkNavy 发表文章披露，国内一家互联网巨头的 APP 利用了 Android 系统漏洞提权使其难以卸载。这家巨头之后确认为拼多多。上周一 Google 将拼多多的多个应用标记为恶意程序。拼多多则发表声明，表示强烈反对一位匿名独立安全研究员关于其应用恶意的推测和指控。现在，安全公司 Lookout 的研究人员对非 Google Play 版本的拼多多应用的分析确认了 DarkNavy 的指控。初步分析显示，至少两个非 Play 版本的拼多多应用利用了漏洞 CVE-2023-20963。该漏洞是 Google 在 3 月 6 日公开的，利用该漏洞可以提权，而且整个过程不需要用户交互。两周前修复补丁才提供给终端用户。 Lookout 的研究人员分析了拼多多在 3 月 5 日前发布的两个版本，都包含了利用 CVE-2023-20963 的代码。这两个版本都使用了与拼多多 Google Play 版本相同的密钥签名。目前没有证据表明 Play Store 和苹果 App Store 的版本含有恶意代码，通过 Google 和苹果官方商店下载的拼多多应用是安全的。但通过第三方市场下载的 Android 用户则没有那么幸运了，鉴于拼多多有数亿用户，受影响的用户数量可能是非常惊人。

根据 FTC 的数据，2022 年美国因恋爱骗局造成的损失高达 13 亿美元。FBI 波特兰办公室的负责人认为，科技让人产生了虚假的信任感。The Verge 的一篇报道讲述了一位 32 岁、曾从事过 SEO 工作的百万富翁的故事。他最近与妻子离异，因此注册了约会应用 Tinder 寻找约会对象。他在上面与一位神秘女子配对，两人开始约会。这位女子发出了一系列令人警惕的信息，询问他如何支付约会费用，他说用信用卡。对方问能不能用现金。他说可以。她还问他驾驶什么型号的汽车。一辆路虎。结果可想而知。他经历了一次持枪抢劫汽车的遭遇。路虎被人抢走了。

最大的源代码托管平台 GitHub 宣布更换其 SSH 密钥。原因是本周早些时候，它发现 GitHub.com 的 RSA SSH 私钥在一个公开的库内短暂暴露。它立即采取了行动并展开了调查。问题并不是任何 GitHub 系统被入侵或客户信息泄露的结果，它认为问题是疏忽大意，认为没有证据表明曝光的密钥遭到了滥用，出于谨慎考虑它更换了密钥。

五名厄瓜多尔记者收到了激活时会爆炸的 U 盘。瓜亚基尔 Ecuavisa 电视台记者 Lenin Artieda 在收到 U 盘后将其插入电脑，这时 U 盘发生了爆炸。记者的手和脸部受到了轻伤，没有其他人受到伤害。U 盘内被认为装有名为环三亚甲基三硝胺（RDX）的高能炸药，该炸药也被美国军方使用，可以单独用也可以与 TNT 等炸药混合。Artieda 插入的 U 盘只有半数炸药激活，因此可能产生的伤害较小。厄瓜多尔非盈利组织 Fundamedios 称另外还有两名瓜亚基尔和两名首都的记者收到了炸弹 U 盘。EXA FM 电台记者 Alvaro Rosero 在 3 月 15 日收到了装有 U 盘的信件，他将其交给了一位制片人，后者使用带适配器的线缆将其连接到电脑上，U 盘没有爆炸，警方认为是适配器没有足够的电量激活炸弹。警方对其它 U 盘实施了“控制性引爆”。目前还不清楚邮寄炸弹 U 盘的动机，厄瓜多尔内政部长 Juana Zapata 表示邮寄者旨在传达让记者闭嘴的信息。政府表示，任何企图恐吓新闻和言论自由的行为都应该收到严厉的司法惩罚。

黑客利用一个 0day 从比特币 ATM 机器上盗走了价值 150 万美元的加密货币。黑客针对的目标是 General Bytes 出售的比特币 ATM（BATM），它允许人们兑换比特币。BATM 连接了一个加密货币应用服务器（CAS）。出于未知的原因，BATM 提供了一个选项允许客户通过主服务器接口从终端向 CAS 上传视频。攻击者利用了这个接口上传和执行一个恶意 Java 应用，从各个热钱包中转走了全部加密货币，总共为 56 BTC，价值约 150 万美元。General Bytes 已经释出了补丁修复了漏洞，但加密货币已经无法找回。

Google 周一将拼多多的多个应用标记为恶意程序，Android 手机使用的安全机制 Google Play Protect 将阻止用户安装拼多多应用，对于已经安装的应用，Google 将建议用户卸载。Google 同时出于安全理由从官方应用商店 Play Store 下架了拼多多应用。在这之前，中国安全研究人员披露拼多多应用包含有恶意功能，能利用漏洞提权阻止卸载并能监视用户。拼多多尚未对此次事件发表评论。

美国 FBI 周三逮捕了一名纽约男子，他被控运营了暗网网络犯罪论坛 BreachForums，该论坛是世界最大的出售被盗数据的网站之一。FBI 于周三下午 4:30 左右逮捕了名叫 Conor Brian Fitzpatrick 的男子，他被认为就是 BreachForums 的管理员 Pompompurin。记录显示，他最后一次访问 BreachForums 是在周三下午 3:53，也就是被捕前不久。BreachForums 托管了近千家企业的被盗数据库。数据库通常包括有个人信息，如姓名、电子邮件和密码。Fitzpatrick 以 30 万美元保释金获释，他将于 3 月 24 日出庭。

Google Project Zero 研究人员在广泛使用的三星 Exynos 调制解调器芯片中发现了 18 个漏洞，其中四个漏洞允许攻击者在只知道受害者电话号码的情况下，在基带水平远程入侵手机，不需要发生任何用户交互。受影响的芯片组包括： Exynos Modem 5123、Exynos Modem 5300、Exynos 980、Exynos 1080 和 Exynos Auto T5123，受影响的产品包括：三星 S22, M33、M13、M12、A71、A53、A33、A21、A13、A12 和 A04 系列，Vivo S16、S15、S6、X70、X60 和 X30 系列，Google Pixel 6、6 Pro、Pixel 6a、Pixel 7 和 7 Pro，任何使用 Exynos W920 芯片组的智能手表，任何使用 Exynos Auto T5123 的汽车，等等。研究人员表示，在补丁释出前，受影响设备可通过在设置里关闭 Wi-Fi 呼叫和 Voice-over-LTE (VoLTE)保护自己。

微软周二释出了三月例行安全更新，修复了 74 个漏洞，其中两个是正被利用的 0day——CVE-2023-23397 的危险得分 9.8/10，是 Microsoft Outlook 中的一个提权漏洞，微软没有公开漏洞细节，但披露它正被俄罗斯黑客用于攻击欧洲的政府、能源和军事部门；CVE-2023-24880 是一个 Windows SmartScreen 绕过漏洞，它的危险得分比较低只有 5.4/10，它正被勒索软件组织利用。

今年 2 月，俄罗斯勒索软件组织 BlackCat 入侵了 Lehigh Valley Health Network（LVHN）医院集团旗下的一个诊所，访问了接受放射肿瘤治疗的病人照片系统。LVHN 拒绝了该组织提出的赎金要求。数周后，BlackCat 在其暗网勒索网站上发表声明，威胁公开窃取的病人数据。它随后公布了三张癌症患者接受放射性治疗的屏幕截图和七份包含患者信息的文件。这些照片相当私密，从不同角度拍摄了患者裸露的乳房。安全研究人员表示，随着愈来愈多的组织拒绝支付赎金，勒索软件组织在勒索赎金上开始采取极端的做法。另一个勒索软件组织 Medusa 本周二公布了上个月攻击 Minneapolis Public Schools（MPS）中窃取的样本数据，其中包括性侵指控相关的文件和涉及的男女学生名字。Medus 要求支付 100 万美元赎金，MPS 表示它未支付赎金。

在一黑客在网络犯罪论坛宣布出售 160 Gb 大小的数据之后，宏碁证实它遭到了入侵，但否认有消费者数据被盗。宏碁称它最近发现了一起安全事故，维修技工使用的一台文档服务器遭到未经授权访问。调查还在进行之中，目前无迹象表明该服务器储存有消费者数据。黑客以门罗币出售这批被盗的数据，称包含有机密幻灯片、员工手册、机密产品文档、二进制文件、后台基础设施信息、磁盘镜像、替换的数字产品密钥和 BIOS 相关信息。黑客称这些数据是在 2 月中旬窃取到的。这不是第一次宏碁发生数据泄露安全事故，它在 2021 年发生过类似事故，有逾 60 GB 数据被盗。

LastPass 的严重安全事故本可以避免。攻击者利用了该公司一高级工程师家用电脑上安装的 Plex 软件的一个已知漏洞，而该漏洞早在 2020 年 5 月 7 日就修复了，但不知道出于什么原因，这位工程师从未更新软件打上补丁。该漏洞允许能访问服务器管理员 Plex 账号的人通过 Camera Upload 功能上传恶意文件，利用服务器数据目录位置与 Camera Upload 允许上传的库重叠，让 Plex 媒体服务器执行该恶意文件。Plex Media Server v1.19.3 修复了该漏洞，而到攻击者利用漏洞入侵工程师的电脑时 Plex 都发布了 75 个版本。

安全公司 ESET 报告，黑客组织 Mustang Panda aka TA416 和 Bronze President 部署了一种新的后门程序 MQsTTang。恶意程序主要通过钓鱼邮件传播，通过一个 GitHub 软件库下载负荷，它会在注册表增加一个启动时运行的注册表项去实现持久存在。为了躲避监测它利用了 MQTT 协议去进行指令通信。MQsTTang 还会检查主机上是否存在调试器或监控工具，如果有发现，它会相应的改变行为。

国内的一个独立安全研究机构 DarkNavy 发表文章披露，国内一家互联网巨头的 APP 利用了 Android 系统漏洞提权使其难以卸载。报道没有公开相关公司的名字，但称得上巨头也就那四五家公司。报道称，该 APP 首先利用了多个厂商 OEM 代码中的反序列化漏洞提权，提权控制手机系统之后，该 App 即开启了一系列的违规操作，绕过隐私合规监管，大肆收集用户的隐私信息（包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等）。之后，该 App 利用手机厂商 OEM 代码中导出的 root-path FileContentProvider， 进行 System App 和敏感系统应用文件读写；进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活，修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载；随后，还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码，进行更加隐蔽的长期驻留；甚至还实现了和间谍软件一样的遥控机制，通过远端“云控开关”控制非法行为的启动与暂停，来躲避检测。