在其基础设施被 FBI 等执法机构扣押不到一周之后，LockBit 使用新的基础设施卷土重来，并发誓要将攻击集中在政府部门。LockBit 声称钱来得快他们也变懒了，没有及时更新 PHP，执法机构可能是利用了被称为 CVE-2023-3824 的旧版本 PHP 漏洞。他们已经将 PHP 升级到了最新版本，并针对 PHP 最新版本提供漏洞悬赏，奖励发现新漏洞的人。

安全公司 Proofpoint 的研究人员披露，过去几周微软遭遇其公司历史上最大规模的网络攻击。攻击目标主要是微软中高层管理人员，如财务总监、销售总监、运营副总裁、客户经理等，目的主要是为了金融欺骗。攻击者使用了 2023 年 11 月发现的技术，综合了钓鱼攻击窃取的凭证和云帐户接管，帮助黑客获得 Microsoft365 和 OfficeHome 的访问权限。黑客在共享文档中嵌入了个性化的钓鱼链接，比如恶意链接嵌入在“View document”上。有数百名高管级别的微软用户账号被入侵。攻击者被认为来自俄罗斯和尼日利亚。

FBI 和英国国家犯罪调查局等执法机构周一扣押和破坏了勒索软件组织 LockBit 的基础设施。LockBit 最早是在 2019 年 9 月出现的，被认为是最广泛使用的勒索软件变种。FBI 及其同行采取联合行动控制了 LockBit 用于泄露受害者数据的网站，文件共享服务和通信服务器、管理面板服务器等等。FBI 之前还宣布破坏了俄罗斯情报机构控制的一个僵尸网络，以及中国的一个僵尸网络。

Linux 内核项目最近成为了 CVE 编号颁发机构，Linux 作者 Linus Torvalds 周末释出了 Linux 6.8-rc5，其中一个文档方面的变化就是 CVE 漏洞处理相关的指南。分配的 CVE 编号将在 linux-cve-announce 邮件列表上公布，修复的安全漏洞才会分配 CVE 编号，未修复的不会自动分配编号。

佛罗里达男子 JL 三年前突然想知道自己的祖先，他将唾液样本寄到了提供基因检测服务 23andMe。他意外得知自己有德系犹太人血统（Ashkenazi Jewish）。他对此没有太多想法，直到获悉 23andMe 约 700 万客户的数据被盗，而化名 Golem 的黑客正在暗网论坛兜售 100 万类似德系犹太人血统的 23andMe 客户数据，他担心自己及家人可能会面临危险。他是最近向 23andMe 提起集体诉讼的两名原告之一。原告认为，在犹太裔和华裔用户成为目标之后 23andMe 未能充分的通知他们。代表原告的律师认为，特定血统的用户群体可能会被列入攻击的黑名单。23andMe 坚称黑客是通过撞库——即已泄露的密码——获取用户遗传数据的，不是利用它的系统漏洞，因此不是它的错误。

去年 12 月就任波兰总理的公民纲领党主席 Donald Tusk 上周表示，他有文件证明前任政府非法使用了间谍软件 Pegasus。Pegasus 的使用发生在右翼的法律与公正党执政时期。Pegasus 由以色列公司 NSO Group 开发，能完全控制被感染的移动设备，能提取设备上的密码、照片、消息、联系人和浏览历史记录，激活麦克风和摄像头进行实时窃听。Tusk 称间谍软件受害者的名单很长。加拿大多伦多大学公民实验室此前的研究发现，有多名波兰前任政府的反对者成为了 Pegasus 的目标。

微软称，伊朗黑客干扰了阿联酋的电视流媒体服务，用深度伪造（deepfake）新闻主播插播加沙战争新闻。在视频中，新闻主播报道了未经证实的加沙战争消息，称巴勒斯坦人在以色列的军事行动中受伤和死亡。被称为 Cotton Sandstorm 的黑客组织入侵了三个流媒体服务。阿联酋、英国和加拿大的三个电视流媒体频道受到影响，其中之一是 BBC，BBC 本身没有直接遭到黑客入侵。微软称，在伊朗黑客组织的行动中首次观察到 AI 在消息传递中扮演重要角色。

荷兰军事情报与安全局 (Military Intelligence and Security Service 或 MIVD)称，中国黑客组织入侵了荷兰国防部，在被感染的设备上植入了持久性恶意程序。MIVD 称，由于受影响网络与其它国防部网络是隔离的，因此造成的破坏有限。受影响网络的用户不到 50 人，主要从事非机密研发以及与第三方研究机构的合作。黑客利用了 FortiGate 防火墙中的 CVE-2022-42475 FortiOS SSL-VPN 漏洞，植入的后门 COATHANGER 能在固件升级或重启后重新感染。

Google 安全团队 Threat Analysis Group 发表报告披露政府黑客使用了三个 0day 攻击 iPhone。所谓 0day 指的是在攻击发生时苹果不知道或尚未修复的漏洞。安全研究人员发现，政府黑客使用了巴塞罗那公司 Variston 开发的黑客工具。Google 称，2023 年 3 月 Variston 的一个客户使用这些漏洞攻击了印尼的 iPhone 手机，向手机发送了包含恶意链接的短信，用间谍程序感染了目标手机，然后将受害者重定向到印尼报纸 Pikiran Rakyat 的新闻文章。苹果尚未对此报道置评。

GitHub 短暂了屏蔽了其联合创始人、前 CEO Chris Wanstrath “defunkt”的账号。他在社交媒体上发布这一消息之后 GitHub COO Kyle Daigle 亲自检查了该事件，发现是该平台的 Automation System 系统触发的误报。Chris Wanstrath 与 PJ Hyett 等人于 2008 年共同创办了代码托管和分享平台 GitHub，在 2018 年被微软收购前他先后两次担任 GitHub CEO 一职。此事凸显了在 GitHub 上托管关键系统所面临的风险，绝大部分开发者都不是 GitHub 联合创始人或前高管，他们的账号如果无缘无故被封不太可能会在短时间内解封。

香港警方表示，一名跨国公司香港分行的金融职员上月中有同时收到伪冒英国总部财务总监的讯息，要求进行机密交易并使用视频通话，期间有 4-6 人参与会议，而且样貌与现实人物一样，职员不虞有诈后按照其指示分 15 次将总共 2 亿港币的款项转账至 5 个本地银行户口，后来向总部查询后才揭发事件。今次是香港首宗 Deepfake 视频会议骗局，也是至今涉及 AI 的诈骗案件中损失金额最大的事件。警方指，骗徒很可能事先下载了影片，并用人工智能对其进行了处理，从而制作出令人信服的假影片。而事件也显示以前“单对单”的骗案已经发展成看起来参与人数众多的视频会议骗案，令可信度增加。

美国司法部周三表示，FBI 向数百个路由器发送指令移除了设备上感染的中国僵尸网络程序。这些路由器主要是已结束支持的思科和网件（Netgear）设备，它们被悄悄安装了 KV Botnet 恶意程序。黑客和被感染设备之间的通信使用了安装的 VPN 模块进行了加密。要合法删除这些被感染设备上的恶意程序，FBI 需要获得联邦法官的授权。虽然 FBI 删除了设备上的 KV Botnet 阻止了其 VPN 进程的运行，但如果设备重启，它们还是容易重新感染恶意程序，FBI 计划联系 ISP 由他们去通知受影响的客户。路由器是使用期限比较长的设备，当供应商结束支持停止提供安全补丁之后它们容易被黑客入侵。

根据 GitHub 在 2022 年发表的一项研究，使用 GitHub Copilot 的开发者完成任务的速度更快，比不使用 GitHub Copilot 的开发者快 55%。但 GitClear 的最新报告则指出 AI 编程助手降低了代码质量和可维护性。报告指出，GitHub Copilot 与向代码库推送“错误代码”强相关，AI 编程助手倾向于不复用代码，倾向于更多拷贝粘贴代码，增加了未来的维护负担。报告认为 GitHub Copilot 是有前途的工具，但目前还有很多问题。

安全公司 ESET 的研究人员披露了利用中国流行应用程序更新机制的网络攻击行动 Blackwood。攻击者的活跃时间至少始于 2018 年，他们首先利用 adversary-in-the-middle(AitM)劫持 WPS Office、腾讯 QQ 和搜狗拼音等软件的更新请求，然后植入恶意程序 NSPX30。该恶意程序是在 2005 年后门程序 Project Wood 基础上逐渐发展而来，与腾讯反病毒实验室在 2016 年披露的黑暗幽灵（DCM）木马相关。攻击主要针对中国和日本的公司，以及中国、日本和英国的个别人士。NSPX30 为多级架构，包含了释放器、DLL 安装程序、加载器和后门等组件，能将自己添加到中国安全软件的白名单中。它的主要功能是收集信息，还能窃取腾讯 QQ、微信、Telegram、Skype、CloudChat、RaidCall、YY 和淘宝旺旺的聊天记录和联系人列表。

安全研究员报告，黑客正在大规模利用两个高危漏洞（CVE-2023-46805 和 CVE-2024-21887）完全控制 Ivanti 销售的 VPN 应用。安全公司 Censys 二次扫描了暴露在互联网上的 2.6 万台 Ivanti Connect Secure 服务器，发现 412 台服务器植入了后门，其中 121 台服务器位于美国，德国 26 台、韩国 24 台和中国 21 台。微软云服务托管了其中 13 台，亚马逊 AWS 托管了 12 台，Comcast 10 台，中国电信（CHINANET） 6 台。研究人员称有证据表明黑客是出于间谍目的感染这些设备。Ivanti 是在 1 月 10 日披露了漏洞，补丁将在本周晚些时候释出。

惠普打印机墨盒内置了芯片，如果用户使用没有惠普芯片的第三方墨盒，打印机会停止打印。惠普此举已经引发了诉讼，并寻求获得集体诉讼资格。惠普 CEO Enrique Lores 谈论了这一受争议的做法，以安全理由进行辩护。他说，墨盒能嵌入病毒，病毒能通过墨盒传播到打印机，然后再从打印机渗透到网络中。惠普认为，用于与打印机通信的墨盒微控制器芯片有可能成为网络攻击的入口。惠普在墨盒中使用类似 DRM 的芯片是为了推动客户订阅该公司的服务，Lores 称公司一直推动的一个长期目标是让打印变成订阅。

安全公司 Mandiant 披露，黑客组织 UNC3886 至少从 2021 年开始利用一个去年 10 月才修复的 vCenter Server 0day 漏洞 CVE-2023-34048。黑客利用该漏洞入侵目标的 vCenter 服务器，窃取凭证，使用特制的 vSphere Installation Bundles (VIBs)在 ESXi 主机上部署 VirtualPita 和 VirtualPie 后门。然后他们利用 CVE-2023-20867 VMware Tools 身份验证绕过漏洞提权、收集文件，从客户虚拟机中渗出。

微软证实俄罗斯情报机构入侵了部分高管的电邮账号。入侵发生在 1 月 12 日，微软将该黑客组织命名为 Midnight Blizzard aka Nobelium。软件巨人表示它已经采取了行动并展开了调查。调查显示，攻击者从去年 11 月使用密码喷洒攻击(Password Spraying) 入侵了一个遗留的非生产租户帐户，获得了立足点，然后使用该账号的权限访问了少数微软企业电邮账号，其中包括了微软高管团队成员账号，网络安全、法务等部门的员工账号，窃取了部分电邮和附件。调查显示 Midnight Blizzard  的目标是搜寻与它自己相关的信息。微软称，这次攻击不是产品或服务漏洞造成的。

加拿大成人网站 Pornhub 宣布从 1 月 23 日起上传到其平台的视频需要提供参与者的同意证明。此举旨在确保内容是安全的，合乎道德的。Pornhub 曾被发现存在大量的未经同意的视频内容，导致了主要支付服务商如 Visa 和万事达停止提供支付服务，迫使 Pornhub 对整个网站的视频内容进行大规模清洗，移除了大约八成的视频。Pornhub 此后开始加强视频审核，要求提供视频参与者的身份 ID 证明，现在更进一步要求同意证明。

Have I Been Pwned?（HIBP）维护者 Troy Hunt 宣布其泄露警告服务加入了约 7100 万新用户凭证。这些泄露数据来自 Naz.API 数据集，该数据集包含了 10 亿行被盗的凭证，综合了撞库列表和信息窃取软件窃取的数据。该数据集过去几个月在地下黑客论坛流传。数据集中的每一行包含了一个登录 URL、其登录名和相关密码。Troy Hunt 公布的样本截图中包含了深圳大学的一个登录 URL，其它还有 eBay、雅虎、Facebook 等等。数据集包含了 70,840,771 个唯一电邮地址，抽样分析显示其中三分之一的地址此前从未泄露过。用户现在访问 HIBP 检查自己的凭证是否 Naz.API 数据集中。