去年 10 月 25 日，美国 ISP Windstream 的宽带用户报告他们的路由器变砖，重启或重置等操作都没有任何反应。在确定路由器无法使用之后，Windstream 向客户寄去了新路由器。安全公司 Lumen Technologies 的安全团队 Black Lotus Labs 将这起事件命名为 Pumpkin Eclipse。安全研究人员称，恶意程序在 10 月 25 日起的 72 小时内破坏了至少 60 万台路由器。攻击者使用了名叫 Chalubo 的商用恶意程序，该恶意程序的一项功能允许在被感染设备上执行自定义 Lua 脚本。研究人员认为恶意程序下载和运行了代码永久覆写了路由器的固件。研究人员表示，他们不排除攻击者有国家背景，但目前尚无证据。由于需要替换的设备多达 60 万台，攻击规模堪称史无前例。这起事件另一个独特之处是只针对单个 ISP 或自治系统。

引发广泛关注的 XZ 后门事件两个月之后，项目维护者 Lasse Collin 释出了新版本 XZ 5.6.2，移除了 v5.6 和 v5.6.1 中的后门代码 CVE-2024-3094。他同时宣布了一位支持维护者 Sam James。对 XZ 后门事件的调查仍然在进行之中。XZ 5.6.2 还修复了一系列 bug，包括修复了用最新 NVIDIA HPC SDK 构建的问题，移除 GNU Indirect Function(IFUNC)支持，XZ 后门代码使用了 IFUNC 支持，但移除主要是因为性能优势太小但复杂性大幅增加。

Google 安全经理 Matt Linton 通过官方安全博客发表博文，认为企业没必要用假的钓鱼邮件去训练员工，因为钓鱼邮件测试并不会增加员工抵抗钓鱼邮件的能力。为了满足美国政府的安全合规要求，企业会向员工发送模拟的钓鱼邮件，如果员工上当他们将需要参加安全方面的学习。以 Google 为例，如果员工点击了模拟钓鱼邮件，他们会被告知未通过测试，需要参加安全培训。Linton 指出，没有证据表明此类测试能减少钓鱼邮件的成功率。 2021 年的一项为期 15 个月的研究结论认为，钓鱼测试不会让员工对钓鱼邮件更有抵抗力。

根据与媒体分享的屏幕截图和文件，一位黑客声称入侵了一家诈骗呼叫中心，窃取了工具源代码，向受害者发送电子邮件进行警告。这次入侵是一系列义警行动的最新一起，黑客采取主动行动解决问题，破坏或以其它方式扰乱诈骗中心。黑客在邮件中称，被称为 Waredot 的公司是一家假的杀毒软件公司，为假的杀毒软件每月支付 300-400 美元是不值得的。

英国统计数据显示，电动汽车和混动汽车更容易撞到行人。对英国交通事故的分析发现，电动和混动汽车撞到行人的可能性是燃油汽车的两倍，在城市地区会进一步上升到三倍。造成这一现象的原因尚不清楚，研究人员怀疑是多种因素的结果，其中包括司机更年轻，缺乏经验，电动和混动汽车更安静，更难被行人听到，尤其是在城市地区。伦敦大学学院交通安全教授 Nicola Christie 表示，人们依靠声音去判断汽车的存在、速度和位置。缺少这些线索时，对于忙碌的城市居民而言，这可能会成为问题；对于视力不佳的人或难以判断车辆速度和距离的儿童而言，问题会更严重。电动汽车其它问题还有加速更快，比燃油汽车更重。

英国工程咨询公司 Arup 证实它成为了深度伪造骗局的目标，一香港员工向骗子支付了 2500 万美元。Arup 的代表作是著名的悉尼歌剧院。Arup 称事件发生在 1 月，它已经报告给了香港警方。骗子使用了深度伪造的声音和图像。该公司发言人拒绝透露更多细节，表示财务和运营没有受到影响。今年 2 月，香港警方表示，一名跨国公司香港分行的金融职员有同时收到伪冒英国总部财务总监的讯息，要求进行机密交易并使用视频通话，期间有 4-6 人参与会议，而且样貌与现实人物一样，职员不虞有诈后按照其指示分 15 次将总共 2 亿港币的款项转账至 5 个本地银行户口，后来向总部查询后才揭发事件。现在这家跨国公司被确认是知名的工程设计公司 Arup。

安全公司 Rapid7 报告，勒索软件组织通过搜索引擎展示假的 Putty 和 WinSCP 下载网站试图感染 Windows 管理员的电脑。Putty 是流行的 SSH 客户端，而 WinSCP 是 SFTP 和 FTP 客户端，它们都是系统管理员们常用的工具，而管理员通常是高价值的攻击目标。Putty 和 WinSCP 的恶意广告冒充了 WinSCP (winscp.net)的合法网站，以及拼错域名如 puutty.org, puutty[.]org, wnscp[.]net 和 vvinscp[.]net，Putty 的官网是 https://www.chiark.greenend.org.uk/~sgtatham/putty/。

通用汽车旗下的无人驾驶出租车公司 Cruise 与去年被无人出租车拖曳的行人达成了 800 万-1200 万美元的和解。受伤的女子已经出院。去年 10 月，一辆汽车将一位行人撞倒在行驶中的 Cruise 汽车前面，汽车探测到了碰撞，它踩了刹车但仍然从行人身上碾了过去。出于安全考虑无人出租车决定靠边停车，它继续以时速 7 英里行驶了 20 英尺，期间行人仍然在车下面。这起事件导致 Cruise 被禁止在旧金山开展无人出租车业务，使得 Google 的 Waymo 成为当地唯一的无人出租车运营公司。Cruise 在全美暂停了无人驾驶出租车业务，其 CEO Kyle Vogt 也于 11 月辞职，美国司法部、证交会和国家公路交通安全管理局都在调查该公司。

美国司法部周三公布了一份起诉书，指控两名在 MIT 学习的兄弟利用他们所掌握的知识在 12 秒内窃取了价值 2500 万美元的以太坊。24 岁的 Anton 和 28 岁的 James Peraire-Bueno 于周二被捕。两人的加密货币盗窃计划于 2022 年 12 月实施，他们利用加密货币交易专业知识，以欺骗性的方法获得了以太坊区块链“待处理私人交易”的访问权限，然后修改了部分交易窃取了受害者的加密货币。待处理交易需要被组织进一个拟议区块并由一个验证器验证之后才能加入到区块链。兄弟俩通过空壳公司和外国的加密货币交易所隐藏身份，建立了一系列以太坊验证器，操纵验证和窃取以太坊。他们的验证器利用了构建区块过程中的一个漏洞。美国司法部称，兄弟俩对其犯罪行为了然于心，其在线搜索记录显示他们采取了很多措施隐藏交易，包括如何建立空壳公司，如何洗掉加密货币，雇佣顶级加密货币律师，以及美国与外国的引渡协议。调查人员只是通过跟踪钱的流动抓住了他们。

FBI 和世界各地的执法机构合作关闭了数据泄密网站 BreachForums。周三网站首页显示了被执法机构关闭的消息，并展示了网站两名管理员 Baphomet 和 ShinyHunters 被关押的卡通图（使用了他们的论坛头像）。BreachForums 是世界最大的出售被盗数据的网站之一，托管了大量企业的被盗数据库。数据库通常包括有个人信息，如姓名、电子邮件和密码。上周 BreachForums 开始出售戴尔客户数据，迫使戴尔警告客户数据泄露。这不是 BreachForums 第一次被关闭，去年 3 月 FBI 逮捕了运营 BreachForums 的管理员 Conor Brian Fitzpatrick aka Pompompurin，他已经认罪，被判处 20 年的监督释放(supervised release)。但去年 6 月新的管理员重建了 BreachForums。FBI 同时还扣押了 BreachForums 的 Telegram 官方频道和管理员 Baphomet 的个人频道。

微软周二释出了五月的例行安全更新，其中之一是修复了四月安全更新导致的 VPN 连接问题。微软没有解释问题的原因，只是声明如果需要帮助个人用户可以通过 Windows Get Help、企业用户通过 Support for Business 获取支持。该问题影响 Windows 11、Windows 10 和 Windows Server 2008 及之后版本。这不是第一次 Windows 安全更新导致 VPN 问题。

美国就勒索软件组织 Black Basta 对关键基础设施的网络攻击发出警告。该组织成员使用的母语是俄语，过去两年对逾 500 家组织发动了攻击，最新受害者是美国医疗保健系统 Ascension，该机构在美国 19 个州有 140 家医院，上周它遭到了网络攻击，中断了自动化流程，迫使部分医院转为人工。FBI 等机构警告，Black Basta 最近加大了对医疗机构的攻击频率，过去一个月，欧洲和美国至少两家医疗机构成为其勒索软件的受害者。安全公司发现，自 4 月以来 Black Basta 采取了一种新颖的社会工程攻击方法：首先利用世界各地合法机构的 Newsletter 新闻通讯订阅确认邮件，发送给目标用户，使得电邮保护方案不堪重负；然后冒充 IT 团队成员为垃圾电邮问题提供技术支持，在此过程中诱使用户安装远程访问程序。

微软证实，Windows 11 24H2 的专业版和家用版在首次设置时将默认启用设备加密，在用户重置电脑时将执行自动设备加密设置。微软已在 Windows 11 24H2 RTM 最新预览版本中启用了该功能，意味着该功能会在今年晚些时候推送给所有用户。设备加密使用 BitLocker 加密所有系统驱动器的数据。用户须将 BitLocker 密钥备份到自己的 Microsoft 帐户或外置 U盘。如果没有密钥，用户将无法访问自己的数据。

Google Cloud 的错误配置导致澳大利亚退休基金管理公司 UniSuper 的数据被完全删除，幸运的是 UniSuper 在另一家公司有备份。UniSuper 管理着 1250 亿澳元的资产。事故发生在上周，UniSuper 的服务因此下线了一周多时间，本周四开始恢复服务。UniSuper CEO Peter Chun 周三致函该基金的 62 万名会员，表示服务中断不是网络攻击造成的，没有任何用户个人数据泄露。Chun 以及 Google Cloud CEO Thomas Kurian 发表联合声明，就此事故向用户道歉。Google Cloud 错误的配置导致了 UniSuper 云订阅帐户被删除。用户保存在 Google Cloud 中的数据通常会在多个区域有备份，当一个区域出现问题或故障后，数据可以迅速恢复。然而此次事故中 UniSuper 的云订阅账号被删除，多个区域的数据全部被删除。Google Cloud CEO 表示这种情况以前从未发生过，本不应该发生。Google Cloud 已经采取措施确保相同的事故不会再次发生。

研究人员发现了迫使 VPN 应用将流量路由到加密通道之外的新型攻击，该攻击被称为 TunnelVision，影响几乎所有运行在非 Linux 和非 Android 系统上的 VPN。漏洞据信自 2002 年以来就存在并被发现和利用。攻击者能读取、丢弃或修改泄露的流量，而受害者则继续保持 VPN 和互联网的连接。攻击通过操纵分配 IP 地址给本地网络设备的 DHCP 服务器实现。被称为选项 121 的设置允许 DHCP 服务器覆盖默认路由规则，通过使用选项 121 路由 VPN 流量经过 DHCP 服务器，攻击会将数据传送到 DHCP 服务器。攻击允许部分或全部流量路由通过非加密通道，而 VPN 应用仍然会报告流量被加密。Android 系统完全不受影响的原因是它没有实现选项 121。

哈工大的五名研究人员发表了一篇预印本，分析了近 1.4 万个政府网站，称安全隐患严重。研究人员分析了域名解析、第三方库利用、CA 服务、CDN 服务、ISP、HTTPS 普及、IPv6 集成、DNSSEC 实施和网站性能。他们发现，逾四分之一的政府网站域名没有域名服务器（NS）纪录，意味着可能缺乏有效的 DNS 配置，可能不可靠或无法访问；过于依赖五家 DNS 服务商，存在单点故障隐患；4250 个网站系统使用了漏洞版本的 jQuery JavaScript 库，含有 CVE-2020-23064 漏洞，容易被远程攻击；中移动、中电信、中联通和阿里云四家 ISP 占据了 98.29% 的市场份额；10,187 个网站未配置 X-Content-Type-Options，易受 MIME 类型欺骗攻击；10,323个网站未设置内容安全策略（CSP）标头，增加跨站脚本攻击的风险； 8,182 个网站缺乏反 CSRF 令牌，易受跨站点请求伪造 (CSRF)攻击；3,203 个网站内容安全策略包含通配符指令；8,158 个网站缺少反点击劫持标头，易受点击劫持攻击；3,313 个网站未启用 Cookie 的 HttpOnly 属性；6,624 个网站的 cookie 缺少 SameSite 属性；1,069 个网站会泄露了私有 IP 地址信息，可能会泄露系统架构敏感信息。研究人员认为这些问题可能无法短时间内解决。

英国周一成为全世界第一个禁止物联网设备默认使用弱用户名和密码的国家。如果默认使用的密码是唯一的，那么仍然是允许的。《The Product Security and Telecommunications Infrastructure Act 2022 (PSTI) 》为产品制造商引入了最低安全标准，要求公司向消费者公开其产品将在多长时间内收到安全更新。根据 PSTI 法，容易猜测的弱密码如 admin 或 12345 被明确禁止，制造商还必须公布联络方法方便用户报告 bug。未能遵守规定的产品将会面临召回，以及最高 1000 万英镑或全球收入 4% 的罚款，两者之间取数值较高的一个。

波兰总检察长向议会表示，前任政府使用以色列间谍软件 Pegasus 监视了数百人，其中包括民选官员。Pegasus 由以色列公司 NSO Group 开发，能完全控制被感染的移动设备，能提取设备上的密码、照片、消息、联系人和浏览历史记录，激活麦克风和摄像头进行实时窃听。Pegasus 的使用发生在右翼的法律与公正党执政时期，而目前执政的是中间偏右的公民纲领党。数据显示，2017-2022 年，Pegasus 被用于监视 578 人的案件，由三个独立的政府机构使用：其中包括中央反腐局、军事反情报局和内部安全局。2017年 Pegasus 被用于监视 6 人；2018 年增加到 100 人；2019 年 140 人；2020 年 161 人；2021 年 162 人；2022 年停止使用时监视了 9 个人。总检察长表示间谍软件生成了被监视者“私人和职业生活”的大量信息。他强调波兰政府无法完全控制所收集的数据，因为该系统运行是基于是以色列公司授予的许可证。

黑客正在尝试利用最近披露的一个 WordPress 插件高危漏洞控制网站。该漏洞位于 WordPress Automatic 插件，该插件有逾 3.8 万付费用户，被用于整合其它网站的内容。安全公司 Patchstack 的研究人员上个月披露，WordPress Automatic v3.92.0 及以下版本存在一个 9.9/10 的高危漏洞 CVE-2024-27596，该漏洞属于 SQL 注入，可被用于执行各种敏感操作，包括获得管理权限，上传恶意文件完全控制网站。插件开发商 ValvePress 已经发布了补丁 v3.92.1 修复漏洞。网络安全公司 WPScan 本周报告，自漏洞披露以来，它纪录到了逾 550 万次漏洞利用尝试。它没有披露有多少次尝试成功了。

思科 Talos 安全团队研究人员警告，有政府背景的黑客正利用思科防火墙的两个 0day 入侵世界各地的政府网络。研究人员称，从去年 11 月起，被称为 UAT435 aka STORM-1849 的黑客组织利用两个 0day 安装两种全新的恶意程序。攻击者使用的利用链组合利用了多个漏洞，其中至少两个是 0day；两种功能完整的后门之一只在内存中运行，以防止监测；攻击者会仔细清除掉后门留下的痕迹。研究人员根据攻击者的行为特征认为其有国家背景。攻击者利用的两个 Adaptive Security Appliances 防火墙 0day 漏洞其中之一是 CVE-2024-20359，另一个是 CVE-2024-20353，思科已经释出了补丁修复漏洞。