【全球动态】

1. 美国将阻止中国获取其公民个人数据，外交部回应

据路透社 5 月 12 日报道，拜登政府已经起草一项行政命令，将赋予美国司法部阻止中国等国家获取美国公民个人数据的权力。【阅读原文】

2. 美国 NIST 发布《零信任架构实施规划指南》

美国国家标准与技术研究院为联邦管理人员发布了一份规划指南，概述了如何将 NIST 风险管理框架应用于实施零信任架构。 【阅读原文】

3. 英国犯罪嫌疑人通过抢劫手机窃取加密货币

一位受害者称在伦敦利物浦街车站附近打一辆 Uber 汽车，但犯罪分子强迫他们交出了手机，拿回手机之后发现价值 6150 美元的以太坊从 Coinbase 账户里转走了。【阅读原文】

4. 既能挖矿还能勒索，Eternity 恶意软件工具包正通过 Telegram 传播

据 Bleeping Computer 网站消息，网络上出现了一个名为“Eternity "（永恒不朽）的恶意软件即服务项目，威胁参与者可以购买恶意软件工具包，并根据所进行的攻击使用不同的模块进行定制。【外刊-阅读原文】

5. BPFdoor：隐形 Linux 恶意软件绕过防火墙进行远程访问

最近发现的一种名为 BPFdoor 的后门恶意软件已经悄悄地针对 Linux 和 Solaris 系统，五年多来一直没有被发现。【外刊-阅读原文】

6. 中央网信办：4 月微博、抖音等主要商业网站平台受理网络侵权举报 43.96 万件

2022 年 4 月，微博、抖音、百度、腾讯、知乎、哔哩哔哩、小红书、快手、豆瓣、网易、新浪、搜狐等主要商业网站平台重点受理泄露他人隐私、侮辱谩骂、造谣诽谤等网络侵权举报达 43.96 万件。【阅读原文】

【安全事件】

1. 加拿大空军关键供应商遭勒索攻击，疑泄露 44GB 内部数据

加拿大、德国军方的独家战机培训供应商 Top Aces 透露，已遭到 LockBit 勒索软件攻击，LockBit 团伙的官方网站已经放出要求，如不支付赎金将公布窃取的 44GB 内部数据。【阅读原文】

2. 游戏巨头暴雪再遭DDoS攻击，多款热门游戏掉线

全球最大的游戏开发商和发行商动视暴雪在推特上表示，其战网服务正遭受 DDoS 攻击，“可能会导致某些玩家出现高延迟和连接中断的情况”。【阅读原文】

3. ElasticSearch 服务器配置错误，暴露 579GB 用户网站记录

hackread 资讯网站消息，两台配置错误的 ElasticSearch 服务器共暴露了 3.59（35 9019902）亿条记录，约 579GB。【外刊-阅读原文】

4. Zyxel 发布针对关键防火墙操作系统命令注入漏洞的补丁

Zyxel 已着手解决影响 Zyxel 防火墙设备的严重安全漏洞，该漏洞使未经身份验证的远程攻击者能够获得任意代码执行。 【外刊-阅读原文】

5. 俄克拉荷马城印第安人诊所数据泄露事件影响到4万人

俄克拉荷马城印第安诊所 (OKCIC) 本周宣布，它经历了一次数据泄露事件，泄露了近 40000 人的个人身份信息 (PII)。 【外刊-阅读原文】

6. 乌克兰人因强行获取数千份证书被判四年监禁

一名乌克兰男子因窃取数千台服务器的登录信息，并将其放在暗网上出售而被判处四年监禁。 【外刊-阅读原文】

【优质文章】

1. 红队渗透项目之SkyTower-1

该项目是Telspace作者在ITWeb安全峰会和BSidesCPT（开普敦）上为CTF设计的项目环境，目标是获取获得root权限并找到flag.txt文本信息，该项目作为OSCP考试培训必打的一个项目环境，该作者评定该环境为渗透中级水准难度。【阅读原文】

2. 端口扫描技术实现分析

端口（port），可以认为是设备与外界通讯交流的出口，端口的范围是从0 到 65535，主机通常通过“IP地址+端口号”来区分不同的服务的。【阅读原文】

3. 会“说话”的银行木马

近期出现了一种名为 Fakecalls 的新型银行木马，除了常见的隐私窃取功能外，它还可以通过拦截银行与用户之间的通话从而冒充银行员工进行诈骗和窃取。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。