近日，Cofense发现了一次专门针对美国能源公司的网络钓鱼攻击活动，攻击者利用二维码将恶意电子邮件塞进收件箱并绕过安全系统。在归因于该活动的1,000封电子邮件中，约有三分之一（29%）是针对美国一家大型能源公司的，其余的则是针对制造业（15%）、保险业（9%）、科技业（7%）和金融服务业（6%）的公司。攻击开始时会先发送一封钓鱼电子邮件，提醒收件人必须尽快更新其Microsoft 365帐户设置。邮件中的PNG或PDF附件会带有二维码，收件人会被提示扫描以验证其账户。为了增加紧迫感，邮件还指出收件人必须在2-3天内完成这一步骤。威胁行为者使用嵌入在图片中的QR代码绕过电子邮件安全工具，这些工具会扫描邮件中的已知恶意链接，从而使网络钓鱼邮件到达目标收件箱。为了规避安全问题，钓鱼活动中的QR代码还使用了必应、Salesforce和Cloudflare的Web3服务中的重定向功能，将目标重定向到Microsoft 365钓鱼页面。

QR码过去也曾被攻击者用于其在法国和德国的网络钓鱼活动，尽管规模较小。此外，这些诈骗者还利用二维码诱骗人们扫描，并将他们重定向到恶意网站，试图窃取他们的钱财。网络犯罪分子越来越多地利用二维码窃取凭证和财务信息。尽管二维码能有效绕过保护措施，但它仍然需要受害者采取行动才能被破解，这是一个有利于训练有素人员的决定性缓解因素。此外，现代智能手机上的大多数二维码扫描器都会要求用户在启动浏览器前验证目标URL，以此作为保护措施。除培训外，建议企业使用图像识别工具作为其网络钓鱼防护措施的一部分，尽管这些工具不能保证捕捉到所有QR代码威胁。

过去五天，美国加州一家房源挂牌服务提供商遭遇网络攻击，导致全国各地房屋买家、卖家、房地产经纪人和房源网站业务受阻。该公司提供一项关键在线工具，帮助房地产专业人士挂牌房源、查看待售房源、追踪挂牌房源。这次攻击始于上周三（8月9日），袭击对象是位于加州的软件和服务提供商Rapottoni公司。该公司为加州乃至全美各地区房地产集团提供多重房源挂牌服务（也叫MLS），房地产经纪人可以实时获取各类房屋的销售数据，包括即将入市的房屋、购房报价以及已入市房屋的销售信息。多重房源挂牌服务在买家与卖家、经纪人和房源挂牌网站之间架起了重要桥梁。Rapottoni公司在8月9日遭受黑客攻击，持续多天后服务器仍然处于离线状态。虽然Rapattoni公司将此事称为网络攻击，但媒体普遍报道这是一次勒索软件攻击。比如房地产信息网站Inman报道称，勒索软件攻击是导致系统中断的原因。Inman援引Rapattoni向其客户发送的消息，称联邦当局正在展开调查，其保险公司正在与“勒索软件个体”进行协商。

这次系统中断明确提醒大家，一旦重要服务被黑，大批依赖这项服务的人员或企业将面临现实干扰。人们纷纷采取各种措施以减少影响，并不是所有地区的房源挂牌服务都受到影响，因为一些地区的数据供应商并不是Rapattoni。全美范围内有数百家多重房源挂牌服务商。数据显示，Rapattoni提供了其中约5%的服务。如果未来几天内无法恢复服务，这次系统中断可能会给经纪人、买家、租户和卖家造成更严重的影响。

在美国拉斯维加斯举办的Defcon黑客大会上，长期研究Mac安全的专家Patrick Wardle展示了他对苹果macOS后台任务管理机制的漏洞研究成果­­——其发现的漏洞可以被利用来绕过苹果最近添加的恶意软件监控工具。我们知道，如果某款软件突地持久化，则意味着可能存在恶意行为。基于这一点，苹果在2022年10月发布的macOS Ventura中添加了后台任务管理器，用于在“持久化事件”发生时直接向用户和运行在系统上的第三方安全工具发送通知。Wardle在Defcon上表示：“当某个东西持久化安装在设备上时，应该有那么一款工具来通知用户，这是苹果添加的一个好东西——但具体实施得太糟糕了，以至于任何稍微复杂的恶意软件都可以轻易地绕过监控。”据Wardle所说，他在发现漏洞的契机是，他自己就写过类似的工具，所以对此十分敏感：“我想知道苹果的工具和框架是否也有同样的问题，结果发现确实有。恶意软件仍然可以以完全不可见的方式持久化。”

在周六展示的三种绕过方法中，其中一种需要拥有目标设备root权限。但其余两种则都不需要root权限就能够禁用苹果后台任务管理器发送给用户和安全监控产品的持久化通知。其一利用了警报系统与计算机操作系统核心之间通信的错误；其二利用了一种允许用户（即使没有深层系统权限）将进程置于休眠状态的功能在通知到达用户之前进行干扰。Wardle此前已向苹果公司报告了这些问题，苹果对此进行了修复。但Wardle表示苹果没有发现该工具的更深层次问题：“就像在飞机坠毁时贴上一些胶带一样，他们没有意识到这个功能需要大量的工作。

国际黑客组织Anonymous（“匿名者”）对日本的核电相关团体发起了网络攻击，以抗议计划将处理过的放射性水从瘫痪的福岛核电站释放到海中。NTT Security Japan表示，自上个月以来，国际原子能机构在其最终报告中表示计划的排放将符合全球安全标准后不久，“匿名者”就一直在加强其网络攻击。这家总部位于东京的公司的代表表示：“需要保持警惕，因为排放实施后攻击可能会进一步升级。”该国际黑客组织的目标组织是日本原子能机构、日本原子能公司和日本原子能协会。“匿名者”发起了分布式拒绝服务（DDoS）攻击，黑客在短时间内从多个来源释放大量数据，导致网络不堪重负，此次攻击由意大利的一个组织领导。NTT Security表示，一个位于越南的团体的活动也已得到证实。日本原子能机构表示，其网站的流量是平时的100倍，但用户可以继续浏览该网站，因为它采取了对策。

在日本政府于2021年正式决定从东京电力控股公司福岛第一核电站释放处理过的水后，“匿名者”发布了其攻击的“目标清单”。NTT Security表示，除了三个核电相关组织外，东京电力公司，经济，贸易和工业部以及自民党也在名单上。“匿名者”协会的一名成员最近告诉共同社，日本政府释放处理水的政策缺乏透明度，因为公民无法参与其决策过程。该成员表示：“我们必须结束将海洋变成经济利益倾倒场的毫无意义的行为。”

WinRAR是最为流行的Windows解压缩软件之一，据称拥有数以亿计的用户。近日，趋势科技Zero Day Initiative在该软件中发现了一个高危漏洞——打开压缩文件时会允许黑客在计算机上执行任意代码。据了解，该漏洞（CVE-2023-40477）存在于恢复卷的处理过程中，原因是缺乏对用户提供数据的正确验证。2023年6月8日，Zero Day Initiative的研究员“goodbyeselene”将该漏洞报告给了RARLAB厂商。ZDI在公告中写道：“此漏洞允许远程攻击者在受影响的RARLAB WinRAR安装上执行任意代码。利用此漏洞需要用户交互（如打开恶意文件）。具体的缺陷存在于恢复卷的处理过程中。问题在于缺乏对用户提供数据的正确验证，这可能导致内存访问超出已分配缓冲区的末尾。攻击者可以利用此漏洞在当前进程的上下文中执行代码。”

从实际角度来看，攻击者欺骗用户执行所需操作并不会太过困难，而且考虑到WinRAR的庞大用户群，攻击者有足够的几率进行成功利用。对此此类安全风险，谨慎打开RAR文件、使用杀毒软件进行扫描是一个良好的安全习惯。2023年8月2日，官方在最新发布的WinRAR 6.23版本中已修复了此漏洞，建议WinRAR用户立即进行安全更新。值得注意的是，微软目前正在测试Windows 11对RAR、7-Zip等文件的原生支持，此后若是对其高级功能没有需求，将有可能不再需要WinRAR等第三方软件。