研究人员披露了针对 Mac、iPad 和 iPhone 上 Safari 浏览器的瞬态执行旁路攻击，并将其命名为 iLeakage。利用 iLeakage，攻击者可以在用户浏览恶意网页时通过预测执行获取其它网页的敏感信息如密码。CPU 预测执行漏洞 Spectre 自六年前披露以来，虽然主要芯片供应商英特尔和 AMD 等公司采取了措施缓解漏洞，但新的漏洞利用仍然不断的被发现。iLeakage 利用的是苹果设备使用的 A 和 M 系列 CPU 的旁路漏洞，研究人员利用它成功恢复了 YouTube 观看历史记录和 Gmail 收件箱内容（登录状态下）以及密码管理器 LastPass 自动填充的 Instagram 密码。该漏洞预计影响所有苹果设备，苹果已经实现了缓解措施，但尚未默认启用，目前仅能在 macOS Ventura 13.0 以及更高版本中启用。

乌克兰黑客组织 KibOrg 和 NLB 声称成功入侵了俄罗斯最大的民营银行阿尔法银行（Alfa-Bank）。作为证据，他们在其博客上公布了阿尔法银行内部数据库的屏幕截图，以及多名俄罗斯人的私人信息。黑客称银行的数据库包含有逾 3000 万条记录，其中包括客户的姓名、出生日期、账号和电话号码。一位匿名的乌克兰情报官员表示情报机构 SBU 帮助黑客入侵了阿尔法银行。这位官员没有披露更多细节。黑客们表示将与调查记者分享从阿尔法银行获得的数据。

身份认证管理服务商 Okta 上周五披露，黑客在获取到其客户支持管理系统的凭证之后访问了客户信息。该公司没有披露黑客是如何窃取到其支持系统凭证的。安全公司 Beyond Trust 称在攻击者使用有效身份认证 cookies 尝试访问其 Okta 账号之后，他们在 10 月 2 日向 Okta 发出了警告，但该公司在两周多时间内没有任何回应。本周被逾十万企业和数百万用户使用的密码管理器 1Password 披露，它在 9 月 29 日监测到了内部 Okta 账号的可疑活动。他们立即终止了该活动，并展开了调查，没有发现客户数据或敏感系统入侵的迹象。

在欧洲刑警组织等机构的协调下，欧洲多国对 Ragnar Locker 勒索软件组织的主要成员展开了突击行动。该组织的关键成员于 10 月 16 日在法国巴黎被捕，其在捷克的家遭到搜查。另外五名嫌疑人分别在西班牙和拉脱维亚接受询问。Ragnar Locker 的基础设施在荷兰、德国和瑞典查封，暗网上的数据泄露网站在瑞典被关闭。Ragnar Locker 自 2019 年 12 月以来一直很活跃，它攻击了世界各地的基础设施，因此被认为具有高威胁优先度。它采用了双重勒索策略，除了加密数据还通过窃取数据威胁泄露勒索受害者。它在 2020 年曾攻击了日本知名游戏公司 Capcom，最近攻击了葡萄牙国家航空公司和以色列的一家医院。

俄罗斯历史最悠久的 XMPP 服务 jabber.ru 的管理员 oxpa 在 10 月 16 日遇到了一个令其困惑不已的问题：客户端通过端口 5222 (XMPP STARTTLS)连接服务器时出现了证书过期的警告，但服务器上使用的所有证书都在有效期内。受影响的机器包括 Hetzner 的一台专用服务器和 Linode 的两台虚拟服务器，都托管在德国。这些服务器上的端口 5222 显然遭遇了中间人攻击。调查人员在 Hetzner 服务器的内核日志里发现了不同寻常的记录：2023 年 7 月 18 日其物理网络连接丢失了 19 秒。攻击者使用了 Let’s Encrypt 颁发的 TLS 证书，通过透明 MiTM 代理劫持了端口 5222 上的加密 STARTTLS 连接。这次攻击由于其中一个 MiTM 证书过期而被发现，该证书尚未重新颁发。此次中间人攻击至少持续了 6 个月，很可能是 Hetzner 和 Linode 被迫设置的，用于执行合法拦截。

安全公司 Malwarebytes 警告，攻击者正通过 Google 广告引诱用户访问开源密码管理器 KeePass 的钓鱼网站。但最值得注意的是攻击者的策略。攻击者使用国际化域名编码（Punycode）注册了 KeePass 的钓鱼网站，钓鱼域名和 KeePass 官方域名在视觉上的差异非常小，无疑会让很多人上当。在浏览器上看到的域名 ķeepass[.]info 实际上是国际化域名编码 xn--eepass-vbb[.]info。用户通过钓鱼网站下载的 KeePass 包含的恶意代码属于 FakeBat 恶意程序家族。

2015 年研究人员报告了 RowHammer 攻击，一个用户级应用程序反复访问 DDR 内存芯片的特定区域可以导致比特翻转。比特翻转（Bitflips）是指储存在电子设备上的个别比特发生翻转的事件，比如从 0 变为 1 或反之亦然。内存厂商在后续产品中加入了抵御 RowHammer 攻击的保护措施，主要是限制程序在给定时间内打开和关闭目标芯片区域的次数。现在研究人员报告了被称为 RowPress 的新技术，能在部署了 RowHammer 保护措施的 DRAM 中诱发比特翻转。RowPress 不是反复访问挑选的特定区域，而是让其保持更长的打开时间。研究人员表示，这不是一次攻击，只是表明引发比特翻转的方法有很多。

Google 宣布 Google Play Protect 将在侧载应用安装时扫描是否是恶意程序。所谓侧载应用是指从非官方应用商店下载的应用。绝大部分恶意应用都是通过非官方应用商店传播的。Google 称 Play Protect 将在安装时对应用代码进行深度扫描，将各个部分的信息发送到 Google 服务进行评估，实时分析完成之后将向用户展示结果，用户将会知道安装应用是否安全或者是否有害。Google 将首先在印度推出该功能，之后扩大到其它所有国家。

乌克兰网络活动人士 Ukrainian Cyber Alliance 黑入了勒索软件组织 Trigona 的服务器，拷贝然后清空了所有数据。他们拷贝了源代码和数据库记录，其中可能有解密密钥。黑客是利用了已知的远程提权漏洞 CVE-2023-22515 入侵了 Trigona 的服务器，他们首先建立了一个可靠的立足点，然后在完全未被发现的情况下绘制了勒索软件组织的网络基础设施。接下来他们提取了 Trigona 所有信息，包括开发环境、加密货币热钱包、源代码和数据库记录。他们不清楚其中是否有解密密钥，表示如果发现将会公开。

Google 安全团队 Threat Analysis Group (TAG) 称，中俄黑客组织正在利用一个前不久修复的 WinRAR 高危漏洞 CVE-2023-40477。该漏洞是安全公司 Group IB 发现的，8 月 2 日释出的 WinRAR v6.23 修复了该漏洞，但有很多用户尚未更新。该漏洞允许远程攻击者通过引诱受害者打开一个特制的 RAR 压缩文件去执行任意代码。攻击者可以伪造文件扩展，在伪造的 .jpg 或 .txt 等文件格式中隐藏恶意脚本。当受害者打开文件，攻击者可以远程执行代码，安装恶意软件。Google 研究人员观察到俄罗斯黑客组织 Sandworm 9 月初冒充乌克兰的无人机作战训练学校发送恶意邮件，其中包含了压缩文件链接去利用 WinRAR 漏洞。另一个俄罗斯黑客组织 Fancy Bear 同样以乌克兰用户为目标。

两周前在网络犯罪论坛兜售 23andMe 客户数据的黑客再次泄露了数百万 23andMe 客户的基因数据。23andMe 提供基因检测服务，它此前表示攻击者利用的是撞库攻击。所谓撞库攻击是指通过已泄露的用户密码信息生成字典表，尝试批量登录其它网站，获取可以登录的用户账号。名叫 Golem 的黑客在 BreachForums 上发布了新的 23andMe 数据集，包含了 400 万用户，Golem 声称其中包含了生活在美国和西欧的最富有的人的数据。23andMe 表示正对此展开调查。黑客自称拥有 300TB 的 23andMe 客户数据。

安全研究人员发现，IT 管理员广泛使用弱密码，其中包括 admin。网络安全公司 Outpost24 分析了恶意程序窃取的身份凭证，将其中的管理员账号挑选出来。他们共分析了 180 万个管理员凭证，发现其中使用 admin 的账号有 4 万个。前 20 流行密码包括：admin，123456，12345678，1234，Password，123，12345，admin123，123456789，adminisp，11. demo，root，123123，admin@123，123456aA@，01031974，Admin@123，111111，admin1234 和 admin1。绝大多数密码都很容易破解。

思科刚披露了一个高危 0day CVE-2023-20198，存在于 IOS XE 的 WebUI 中，任何运行 IOS XE、启用 HTTP 或 HTTPS 服务器功能并暴露于公网的交换机、路由器或无线 LAN 控制器都受到影响。攻击者能利用漏洞获得网络的完整管理权限。Shodan 搜索显示有逾 14 万联网的 IOS XE 设备，对这些设备的扫描显示，有 3.45 万设备已经遭到入侵。思科建议系统管理员在补丁可用前先禁用 HTTP 服务器功能。

CIA 上月底在官方 Twitter 账号中添加了它的 Telegram 频道 https://t.me/securelycontactingcia，其中包含了如何通过暗网和其它隐蔽手段联络该机构的信息，它同时警告潜在的线人对其它任何声称代表 CIA 的频道保持警惕。然而 Twitter/X 展示链接的缺陷会让完整的网址截断为 https://t.me/securelycont，其中 securelycont 这个名字在 Telegram 还没人使用。37 岁的安全研究员 Kevin McSheehan 注意到了这个问题，他注册了用户名 securelycont，任何点击链接的人都会访问他的频道，其中包含了不要分享任何秘密信息的警告。链接被截断的问题 X 上早就存在过，他惊讶于 CIA 竟然没有注意到。CIA 对其频道被劫持一事尚未置评。

思科督促客户修复一个正被活跃利用的高危 0day 漏洞，攻击者可利用该漏洞获得网络的完整管理权限。该漏洞编号为 CVE-2023-20198，严重等级 10/10。漏洞存在于 Cisco IOS XE 的 Web 用户界面中，任何运行 IOS XE、启用 HTTP 或 HTTPS 服务器功能并暴露于公网的交换机、路由器或无线 LAN 控制器都受到影响。Shodan 搜索显示有多达 8 万台联网设备受影响。思科称，至少从 9 月 18 日开始，未知身份的攻击者就利用该漏洞成为授权用户，创建本地用户账号。攻击者在大多数情况下会植入恶意程序，一旦 Web server 重启能在系统或 IOS 级别执行恶意命令。植入的程序在重启后无法继续存在，但本地用户帐户能继续保持活动状态。该植入程序保存在 /usr/binos/conf/nginx-conf/cisco_service.conf 下。

过去两个月，黑客劫持了 WordPress 网站向访问者展示浏览器需要更新才能正常访问的信息，如果访客上当他们会下载恶意程序收集登陆凭证等敏感信息。恶意程序通常托管在 Web 服务上，一经发现会迅速被移除。但在这起攻击中，黑客利用了币安智能链的智能合约去储存永远无法移除的恶意代码。加密货币所使用的区块链在信息写入之后是很难移除的。

思科最近披露了 Cisco Emergency Responder 的一个漏洞 CVE-2023-20101，它包含了一个 root 账号的静态用户凭证，原本是为开发保留的，但不小心留在了最终用户产品中。攻击者可以使用该账号登陆受影响系统，以 root 用户权限执行任意命令。这远非第一次思科在其产品中使用了硬编码密码。

最近攻击者入侵了多名 Steam 开发者账号，为游戏加入了恶意程序。Valve 的调查显示，不到 100 名 Steam 用户安装了含有恶意程序的版本，它已通过邮件向这些用户发出了警告。Valve 采取了措施阻止相同的事情再次发生，它要求从 10 月 24 日开始更新游戏需要双因素验证，开发者将需要一部手机接收短信形式的双因素验证码。如果游戏尚未发行，或只是更新测试版分支，则不需要代码。手机是必须的，如果开发者没有手机，Valve 称，“抱歉，但是如果需要添加用户或为已发行的应用设置默认分支，就需要手机或某种方式来接收短信。”

微软威胁情报团队（Threat Intelligence）称，中国黑客组织 Storm-0062 正在利用 Atlassian 的 0day 入侵客户系统。Atlassian 是在 10 月 4 日披露了其 Confluence 数据中心和服务器中的一个漏洞 CVE-2023-22515。微软安全团队表示，它从 9 月 14 日起就观察到了漏洞利用。Atlassian 本周更新了安全通知，称该漏洞正被活跃利用。

curl 项目释出了 curl 8.4.0，其中修复了一个高危漏洞 CVE-2023-38545，该漏洞被认为是至今 curl 项目发现的最严重漏洞之一。curl 作者 Daniel Stenberg 在个人博客上详细解释了这一漏洞。攻击者可通过发送长度超过 16kB 的主机名触发该漏洞，导致堆缓冲区溢出。Stenberg 表示，如果 curl 是用内存安全语言 aka Rust 开发的话那么该问题不会发生，但重写 curl 不在他的议程中。他说可能会支持用 Rust 写一些依赖项目，逐步取代部分功能，但在可预见的未来，curl 仍然是用 C 编写的。