全球动态

1.QNAP发出警告，关键PHP漏洞可导致远程代码执行

中国台湾著名厂商 QNAP 正在解决一个关键的PHP 漏洞，该漏洞追踪为 CVE-2019-11043（CVSS评分9.8分，满分10分），可被用来实现远程代码执行。【外刊-阅读原文】

2.CISA：攻击者利用Log4Shell漏洞入侵VMware服务器

近期，CISA表示，包括国家支持的黑客组织在内的威胁行为者仍在使用 Log4Shell (CVE-2021-44228) 远程代码执行漏洞针对 VMware Horizon和统一访问网关 (UAG) 服务器。【外刊-阅读原文】

3.新的“量子”构建器让攻击者轻松创建恶意 Windows 快捷方式

一种新的恶意软件工具使网络犯罪分子能够构建恶意 Windows 快捷方式 ( .LNK ) 文件，该工具已被发现在网络犯罪论坛上出售。【外刊-阅读原文】

4.SmartTub 功能存在安全漏洞，智能按摩浴缸泄露用户数据

安全研究人员发现世界知名按摩浴缸品牌生产的热水浴缸中使用的应用程序 SmartTub 功能存在安全漏洞，允许攻击者查看和滥用热水浴缸用户的个人数据。【外刊-阅读原文】

5.网络安全审查办公室对知网启动网络安全审查

网络安全审查办公室有关负责人表示，为防范国家数据安全风险，维护国家安全，保障公共利益，依据《国家安全法》《网络安全法》《数据安全法》，按照《网络安全审查办法》，2022年6月23日，网络安全审查办公室约谈同方知网（北京）技术有限公司负责人，宣布对知网启动网络安全审查。【阅读原文】

6.三部门联合召开主要电商平台企业涉邮政快递个人信息安全治理专项行动推进会

会议强调，要强化信息安全源头治理。推行隐私面单、虚拟号码等个人信息去标识化技术，从信息源头阻断不法分子实施犯罪的可能性。【外刊-阅读原文】

安全事件

1.黄牛机器人在以色列失控，出售国家任命

失控的黄牛机器人通过为各种政府服务注册公共服务任命，然后将其出售给心怀不满的公民，在以色列造成了严重破坏，包括护照更新、以色列内政部、交通部、国家保险、以色列邮政和以色列国家电力公司。【外刊-阅读原文】

2.NSA 分享使用 PowerShell 保护 Windows 设备的技巧

美国国家安全局 (NSA) 和网络安全合作伙伴机构今天发布了一份公告，建议系统管理员使用 PowerShell 来防止和检测 Windows 机器上的恶意活动。【外刊-阅读原文】

3.汽车软管制造商 Nichirin 遭到勒索软件攻击

日本汽车和摩托车软管制造商 Nichirin 的子公司 Nichirin-Flex USA 受到勒索软件攻击，导致该公司网络离线。该公司在检测到其网络上的未经授权访问并将操作切换到手动模式后立即做出反应。【外刊-阅读原文】

4.研究显示2021年赎金勒索攻击使美国学校损失35.6亿美元

根据周四发布的一项研究，去年赎金勒索攻击使美国学校和学院在停机时间损失超过了35亿美元。【阅读原文】

5.谷歌警告：苹果和安卓手机都遭到意大利间谍软件攻击

谷歌发出警告称，意大利软件开发商RCS Lab提供的黑客工具被用来发动攻击，主要针对意大利和哈萨克斯坦的苹果和安卓智能手机进行间谍活动。【阅读原文】

6.“链游之王”Axie Infinity开发商将赔偿用户损失，因黑客攻击损失超6亿美元

摘要：越南视频游戏开发商Sky Mavis表示，他们预计在6月28日赔偿用户的损失，并重新开放攻击中被破坏的软件桥。今年3月，该公司在一次黑客攻击中损失超过6.2亿美元。【阅读原文】

优质文章

1.【深度】从链上分析和金融安全角度，看stETH的囚徒困境和Celsius挤兑事件

6月7日开始，以Celsius被曝损失 3.5 万枚 ETH开始，ETH流动性生态乃至整个加密货币市场进入到一个以stETH为中心的流动性囚徒困境之中，而这也造成了对Celsius等加密货币“银行”挤兑现象的发生。SharkTeam将从事件的起源开始，也就是ETH质押生态的形成，从链上分析和金融安全的角度，来分析此次事件。【阅读原文】

2.CyberBattleSim（内网自动化渗透）研究分析

CyberBattleSim是一款微软365 Defender团队开源的人工智能攻防对抗模拟工具，来源于微软的一个实验性研究项目。【阅读原文】

3.如何使用BWASP对Web应用程序进行安全漏洞手工分析

BWASP是一款针对Web应用程序安全的开源工具，在该工具的帮助下，广大研究人员可以通过手工方式对Web应用程序进行漏洞分析。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。