HardenedVault 写道 "Alexander Popov 于2021年发表了一篇文章 Four Bytes of Power： Exploiting CVE-2021-26708 在 Linux 内核中使用四字节覆盖漏洞来执行权限提升，这篇文章详细的分析和记录了提升root权限的漏洞利用全过程，根据公开信息可以看出，如果创建了多个特权进程，并且同时释放了cred指针（或者特权进程的创建时间比释放的cred指针晚一点），那么其中一个进程的cred可以位于释放的地址，这使得权限提升成为可能，sshd 则是可以满足需要的特权进程，赛博堡垒借助sshd简化了整个漏洞利用的过程，可以轻松绕过现有Linux内核主线的防御机制，报告中也谈到了防御特性的优先级问题，虽然已经2022年，但Linux主线内核在数据污染攻击的面前依然非常脆弱，PaX/GRsecurity和VED都可以轻松防护此类攻击并且让攻击者难以绕过防护机制，根据赛博堡垒客户的反馈，平台安全级别的诸多威胁中，大多数带有花哨名称安全产品（例如：EDR/ XDR，HIDS等）的可绕过级别只能保持"L1：I can win"，安全产品容易被攻陷对于生产环境来说并不是一件值得骄傲的事情，不是吗？"

赛门铁克研究人员发表报告《Daxin: Stealthy Backdoor Designed for Attacks Against Hardened Networks》，他们发现了一种复杂先进的后门工具 Daxin，至少有十年历史。Daxin 设计作为一种 Windows 内核驱动，实现了先进的通信功能，具有高度的保密性，在感染计算机后它允许攻击者读写任意文件。它能监视特定模式的传入 TCP 流量，当特定模式检测到后，Daxin 能切断合法的接收方接管连接。除了劫持合法 TCP/IP 连接外，Daxin 能在被感染计算机上部署额外的恶意组件，能在多台被感染的计算机上创建加密通信通道。它最早发现的样本创建时间是 2013 年，已具有了最近变种的所有先进功能，这意味着该工具在 2013 年已经发展成熟。

在俄罗斯入侵乌克兰之后，Conti 勒索软件组织的领导人在其官网上发布了一条激进的亲俄信息，之后一名据信来自乌克兰的成员泄露了内部聊天记录。亲俄声明似乎以错误的方式影响了 Conti 的乌克兰成员，其中一人侵入了内部的 Jabber/XMPP 服务器。多名记者和安全研究人员收到了以电子邮件发来的内部日志。Recorded Future 的威胁情报分析师 Dmitry Smilyanets 过去曾与 Conti 组织有过交流，他证实了泄露的对话的真实性。泄露的数据包含 339 个 JSON 文件，每个文件包含一整天的日志。2021 年 1 月 29 日至 2022 年 2 月 27 日的对话已被泄露，可在此处在线阅读，这些信息由安全公司 IntelligenceX 提供。

备份不再能有效阻止勒索软件攻击，因为勒索软件组织日益采用两种甚至三种以上的勒索手段。对 IT 安全决策者的调查发现，83% 的成功勒索攻击使用了替代勒索方法：使用窃取的数据勒索客户(38%)，向暗网泄露数据(35%)，通知客户他们的数据被入侵了(32%)，只有 17% 的攻击只要求赎金以换取解密密钥。备份能最小化数据被加密带来的影响，但无法阻止勒索软件组织使用窃取的数据进行二次甚至三次勒索。但问题是即使支付了赎金，遭到窃取的数据仍然可能会泄露。调查发现 18% 的受害者在支付赎金之后数据仍然泄露，这一比例甚至高于拒绝支付赎金的受害者（16%）。

英伟达上周遭到网络攻击，攻击者据报道为勒索软件组织 LAPSUS$。该组织声称它潜入英伟达网络长达一周，窃取了 1TB 的数据。LAPSUS$ 称在此期间它获得了英伟达许多系统的管理级别访问权限，它获得的数据包括驱动程序、电路图和固件。英伟达据报道对该组织发起了反击，用勒索软件感染了攻击者的系统，加密了被盗数据。但 LAPSUS$ 表示它有备份，开始出售窃取的数据，其中包括 GA102 / GA104 GPU 的 LHR V2 bypass（LHR 代表 lite hash rate，是英伟达降低显卡挖矿能力的技术）。LAPSUS$ 要求英伟达支付赎金否则将公开数据，首批公开的数据是英伟达所有员工的哈希密码，它要求该公司移除对 GeForce RTX 30 系列显卡的挖矿限制。

在零部件供应商遭到网络攻击，管理零部件供应的系统受到影响之后，丰田日本国内工厂（14 家工厂 28 条生产线）周二全部停工。这是丰田第一次因为供应商的系统故障而让所有工厂停工。日本国内所有工厂停工一天会影响约 1.3 万辆汽车的生产，相当于丰田日本国内月产能的 4～5％。受到网络攻击的是丰田的一家主要供应商——生产树脂零部件的小岛冲压工业。关于网络攻击的发起方、病毒种类及受害情况，小岛冲压工业表示“正在调查”。据相关人员表示，目前“丰田的负责人及网络安全专家已进入小岛冲压工业公司内部，正在调查原因和恢复方法”。