赛门铁克的研究人员报告，去年 11 月有黑客利用 Palo Alto Networks 的一个身份验证绕过高危漏洞 (CVE-2024-0012)入侵了南亚的一家中型软件和服务公司，从其内网窃取了管理员凭证，访问了 Veeam 服务器，找到了 AWS S3 凭证。在从 S3 中窃取敏感信息之后攻击者用 RA World 加密了该公司的 Windows 电脑，索要 200 万美元赎金，表示如果能在三天内付款，赎金将降至 100 万美元。安全研究人员发现攻击者使用了 PlugX 后门的一个定制版本，该后门被 Fireant aka Mustang Panda 或 Earth Preta 使用，认为黑客可能是兼职任勒索软件攻击者。

苹果释出了紧急安全更新，修复了一个正被利用的 0day。该漏洞是多伦多大学公民实验室发现的，可能正被用于间谍软件活动，苹果用户建议立即安装最新更新。物理接触设备的攻击者可利用该漏洞禁用已锁定设备的安全功能 USB Restricted Mode。USB Restricted Mode 是在 iOS 11.4.1 中引入的，如果设备锁定的时间超过 1 小时，它将阻止 USB 设备建立数据连接，此功能旨在防止执法部门使用的取证软件如 Graykey 和 Cellebrite 从锁定的 iOS 设备中提取数据。

Google 研究人员披露了 AMD Zen CPU 的微码签名验证漏洞，该漏洞允许有本地管理员权限的攻击者加载恶意 CPU 微码，能根据需要改变芯片的行为，突破芯片保护措施如最新版本的 AMD Secure Encrypted Virtualization、SEV-SNP 或 Dynamic Root of Trust Measurement。Google 研究人员在演示中利用修改后的微码让 AMD Zen CPU 总是生成 4 作为随机数。4 随机数出自 XKCD 漫画。研究人员演示的概念验证攻击针对的平台包括了基于 Milan 的 Epyc 服务器芯片和基于 Phoenix 的 Ryzen 9 桌面处理器。Google 于 2024 年 9 月 25 日向 AMD 报告了漏洞。AMD 于 2024 年 12 月 17 日向其客户提供了补丁。鉴于供应链的复杂性，Google 在 131 天后才公开漏洞。

终止支持的联网设备被称为僵尸设备，由于消费者的忽视它们正成为日益严重的网络安全风险。《消费者报告（Consumer Reports）》调查了 2,130 名美国人，询问他们拥有的联网设备类型、预计的产品使用寿命以及软件与设备功能的关系。在拥有联网设备的被调查者中，43% 表示上次购买时不知道设备会在某个时候失去软件支持，35% 表示已经意识到产品会在某个时候失去软件支持，22% 表示不记得。大部分消费者希望在失去软件支持之后设备仍然能维持其可用性，烤箱等大型电器失去软件更新不会有什么问题，但路由器等设备在终止支持之后容易因漏洞得不得修复而成为安全隐患。

为了打击数字支付领域日益增多的欺诈行为，印度央行 RBI 宣布为该国银行推出专属域名.bank.in。RBI 行长 Sanjay Malhotra 在声明中表示，此举旨在增强居民对网银服务的信任，减少网络安全威胁和网络钓鱼等恶意活动。.bank.in 域名的唯一注册商将是 The Institute for Development and Research in Banking’ Technology (IDRBT) ，将从 2025 年 4 月起开放注册。RBI 还计划为金融领域的非银行实体设立一个专属域名 fin.in。

英国政府秘密向苹果下达命令，要求创建一个 iCloud 后门，允许其安全官员不受阻碍的访问全世界用户的加密数据。这一要求史无前例，从未有任何其他民主国家提出类似要求。英国内政大臣是以“technical capability notice（技术能力通知）”的形式发布这一命令的，要求苹果根据英国 2016 年的 UK Investigatory Powers Act(IPA)法案提供后门访问。苹果拒绝对此置评。英国内政部也拒绝置评，拒绝确认或否认有此类通知的存在。为了避免违反对用户的安全承诺，苹果可能选择停止在英国提供加密储存。

Goolge 本月初释出了两组安全补丁 2025-02-01 和 2025-02-05，修复了 48 个漏洞，其中包括一个 Android 内核 0day 高危漏洞。该漏洞编号 CVE-2024-53104，影响 Linux 内核的 USB Video Class(UVC)驱动，属于越界写入 bug，存在于 uvc_driver.c 的 uvc_parse_format()函数中。该漏洞会导致内存损坏、程序崩溃甚至任意代码执行。攻击者可利用该 bug 提权，可用于安装恶意程序、更改或删除数据，或创建拥有完整管理权限的新帐户。该漏洞已被用于针对性的有限攻击。Android 用户最好立即更新到最新的安全补丁。

以色列间谍软件开发商 Paragon Solutions 证实它的客户包括了美国政府及其盟国。此前 WhatsApp 指控 Paragon 的间谍软件被用于攻击近 90 名记者和公民社团成员。至少有两人公开称自己是目标，其中包括意大利记者 Francesco Cancellato 和生活在瑞典的利比亚活动人士 Husam El Gomati。Paragon CEO John Fleming 在声明中表示，该公司要求客户同意禁止非法攻击记者和其他公民社团活动人士的条款，该公司对此类行为零容忍，将终止任何违反服务条款的客户。Fleming 没有证实该公司是否因客户违反条款而终止服务，他拒绝对 WhatsApp 的终止函发表评论。Cancellato 是新闻网站 Fanpage.it 的负责人，该网站去年发表了一份调查报告，针对的是意大利总理 Giorgia Meloni 的 Fratelli d’Italia 党下属青年组织 Gioventù Meloniana，调查披露该组织成员发表过亲纳粹和墨索里尼的口号。El Gomati 也批评过意大利和利比亚合作阻止移民跨越地中海抵达欧洲。

WhatsApp 警告近百名记者和公民社团成员成为以色列公司 Paragon Solutions 的间谍软件的攻击目标。目前不清楚幕后攻击者的身份，类似其它间谍软件开发商，Paragon 的产品主要供政府客户使用，WhatsApp 表示无法确定下令攻击的客户身份。Paragon 间谍软件使用了零点击漏洞，也就是目标不需要点击任何恶意链接就会被感染。WhatsApp 拒绝披露受害者的位置，它已经向 Paragon 发去了“中止令（cease and desist）”信函，考虑采取法律行动。Paragon 的间谍软件被称为 Graphite，其功能与 NSO Group 的 Pegasus 间谍软件相当，手机一旦感染就能被完全控制，能够访问 WhatsApp 和 Signal 等加密应用的信息。

SecurityScorecard 的研究人员披露了朝鲜黑客组织 Lazarus Group 发动的大规模供应链攻击。这一行动被称为 Phantom Circuit，攻击者通过克隆开源项目植入后门，将恶意版本托管在 Gitlab 等平台，诱骗加密货币等行业的开发者使用，然而入侵其机器窃取凭证。朝鲜黑客组织去年 11 月瞄准了欧洲科技行业的 181 名受害者，12 月受害者扩大到 1,225 人，其中印度 284 人，巴西 21 人。1 月受害者又增加了 233 人，其中印度 110 人。窃取的数据包括了凭证、身份验证令牌、密码等。被植入后门的项目包括了 Codementor、CoinProperty、Web3 E-Store，以及其它加密货币相关的软件包。研究人员报告，Lazarus Group 会使用多种混淆方法隐藏其来源，其中包括使用 Astrill VPN 路由流量，将窃取的数据上传到 Dropbox。

在上月底举行的 38C3 混沌计算机俱乐部会议上，研究人员披露中欧地区的可更新能源设施使用未加密无线电信号接收命令向电网输送或切断电力。研究人员是在分析柏林路灯使用的无线电接收器时意外获得这一发现的，他们试图通过逆向工程无线电接收器去控制柏林全市的路灯去展示能从空中看到的特定模式，结果意外发现控制可更新能源设施的系统与控制路灯的系统相同。安装在路灯上的接收器也用于小型太阳能发电厂这一事实并不令他们感到惊讶，他们感到震惊的是其规模。研究人员估计，在特定条件下向发电设施发送一系列恶意信息足以摧毁整个欧洲电网。电网安全专家对此说法持怀疑态度。

大英博物馆（British Museum）网络基础设施遭被解雇的 IT 雇员破坏而于周五部分关闭。博物馆本周末继续开放，但付费展如丝绸之路展只有少数持票者能参观，因为管理预订的 IT 系统无法使用。博物馆发言人称，上周被解雇的 IT 合同工周四晚上闯入博物馆关闭了多个系统，警察到场逮捕了他。

当攻击者利用后门在目标网络获得访问权限之后，他们希望其努力成果不会被竞争对手利用或被安全软件监测出。他们可使用的一种应对之策是为后门配备一个被动代理，该代理将保持休眠状态，直到接收到“魔法封包”。安全公司 Lumin Technology 的研究人员报告了 J-Magic 后门使用“魔法封包”悄悄控制了数十个运行 Juniper Network Junos OS 的企业 VPN。J-Magic 是轻量级后门程序，只运行在内存之中，这增加了其被安全软件检测出的难度。研究人员是在 VirusTotal 上发现了 J-Magic，发现它在 36 个组织的网络内运行，他们不清楚后门是如何安装的。J-Magic 从 2023 年中期至少活跃到 2024 年中期，其目标覆盖半导体、能源、制造业和 IT 垂直企业。

安全研究人员发现信用卡巨头万事达卡的 DNS 服务器存在域名配置错误，可能会导致其流量被恶意攻击者拦截。该问题存在了五年之久。安全公司 Seralys 的创始人 Philippe Caturegli 发现，从 2020 年 6 月到 2025 年 1 月，万事达卡五个 DNS 服务器之一的域名存在拼写错误，错误地指向了 akam.ne 而不是 akam.net。他花了 300 美元通过尼日尔域名管理机构注册了该域名，以防止域名被利用。万事达卡表示拼写错误已修正，坚称其系统没有风险。

微软周二释出了 2025 年 1 月的例行安全更新，修复了多达 161 个安全漏洞，其中包括 3 个正被利用的 0day。三个 0day 的编号分别为 CVE-2025-21333、CVE-2025-21334 以及 CVE-2025-21335，是连续的三个漏洞，都位于 Windows Hyper-V 中，都属于提权漏洞。修复的漏洞中还有危险等级高达 9.8/10 的，其中之一是 CVE-2025-21298，攻击者通过诱惑目标打开恶意 .rtf 文件去执行任意代码，微软警告该漏洞很可能被利用。

美国司法部周二宣布清除了中国黑客在数千台电脑中植入的恶意程序。被称为 PlugX 的恶意程序感染了全世界数千台电脑，主要用于窃取信息。黑客组织被称为 Mustang Panda 和 Twill Typhoon，恶意程序主要通过感染的 USB 设备传播。安全公司 Sekoia 在 2023 年 9 月识别了 PlugX 的 CC 设施，它随后与法国执法部门合作于 2024 年 7 月控制了该设施。FBI 与法国当局合作，识别了 PlugX 感染的美国设备，向每台设备发送自我删除指令。

Netblocks 的监测显示，俄罗斯圣彼得堡 ISP Nodex 的固网和移动网络全面瘫痪，这一事件目前还在持续之中。该公司报告它遭受了乌克兰的网络攻击，导致其网络被破坏。而乌克兰黑客组织 Ukraine Cyber Alliance 称他们删除了包括备份在内的 Nodex 数据。

安全公司 ESET Germany 指出，随着 Windows 10 即将停止支持，全世界将面临比 Windows 7 停止支持时更危险的情况。今天 Windows 10 的市场份额仍然高达六成，而 Windows 7 于 2020 年 1 月停止支持时其接替者 Windows 10 的份额已经超过七成，Windows 7 的份额只有二成左右。微软的建议是换运行 Windows 11 的新 PC，ESET Germany 的建议是不支持 Windows 11 的旧电脑可以尝试 Linux。

在 AT&T、Verizon、 Lumen Technologies 和 T-Mobile 之后，又有三家美国电信公司—— Charter Communications、Consolidated Communications 和 Windstream——据报道被中国黑客组织 Salt Typhoon 入侵。黑客还利用未及时打上补丁的 Fortinet 设备漏洞，入侵了思科的大型网络路由器。中国否认了入侵，指责美国散布虚假信息。对于最新的报道，思科和 Fortinet 拒绝置评。

圣诞节前夕，数据丢失预防服务 Cyber​​haven 的开发者收到了据称来自 Google 的邮件，称该公司的 Chrome 扩展没有遵守 Google 的条款，要求立即采取行动，否则扩展将会被下架。邮件包含的链接指向了一个 Google 同意屏幕，要求获得 OAuth 应用 Privacy Policy Extension 的访问授权。Cyber​​haven 的一名开发者同意了授权，攻击者利用该授权向 Chrome Web Store 上传了包含后门的新版本。从 12 月 25 日 1:32 AM UTC 到 26 日 2:50 AM UTC 之间，运行中的 Chrome 浏览器会自动下载恶意版本 v24.10.4。Cyber​​haven 注意到这一安全事件，迅速释出了新版本。这一攻击事件公开之后，安全研究人员发现至少 36 个 Chrome 扩展遭到了相似的钓鱼攻击，其中部分被植入后门的恶意扩展在 Chrome Web Store 存在了 18 个月之久。这些扩展的总安装量约 260 万。大部分受影响扩展与 AI 工具和 VPN 相关，如 GPT 4 Summary with OpenAI，Proxy SwitchyOmega(V3)，Wayin AI，AI Assistant - ChatGPT and Gemini for Chrome，等等。