GlobalProtect VPN遭230万次扫描会话的探测
发布时间 2025-11-241. GlobalProtect VPN遭230万次扫描会话的探测
11月20日,实时情报公司GreyNoise监测到,针对Palo Alto Networks GlobalProtect VPN登录门户的恶意扫描活动在2025年11月14日至19日间呈现爆发式增长,24小时内活动量激增40倍,创90天新高,一周内达到峰值。此次攻击潮聚焦于GlobalProtect的*/global-protect/login.esp URI端点,该页面是用户进行VPN身份验证的公开入口,期间累计检测到230万次访问尝试,目标国家集中在美国、墨西哥和巴基斯坦。GreyNoise分析指出,攻击特征呈现高度组织化:重复出现的TCP/JA4t指纹、相同ASN(自治系统编号)的反复使用及活动高峰时间一致性,表明与历史攻击存在关联。主要攻击源ASN为AS200373(3xK Tech GmbH,62% IP位于德国)和AS208885(Noyobzoda Faridduni Saidilhom,15% IP位于加拿大)。历史数据显示,此类扫描高峰80%先于新安全漏洞披露,Palo Alto产品关联性尤为显著。
https://www.bleepingcomputer.com/news/security/globalprotect-vpn-portals-probed-with-23-million-scan-sessions/
2. 迪拜消防巨头NAFFCO遭INC勒索软件攻击
11月20日,近日,迪拜消防安全巨头NAFFCO FZCO遭臭名昭著的INC勒索软件团伙攻击,1TB内部数据被窃并泄露至暗网,引发行业高度关注。NAFFCO作为海湾地区最大消防设备及系统供应商之一,年收入达44亿美元,客户涵盖迪拜哈利法塔、阿布扎比卢浮宫等标志性建筑,以及ADNOC等石油巨头及政府机构。INC团伙于11月17日在暗网泄露网站发布NAFFCO信息,并附上47张数据截图,显示泄露内容涉及公司运营详情(如员工姓名、职位、联系方式、身份证照片及签证信息)、年度合同清单(含客户名称、金额及销售代表)、单独合同文件及项目资金数据等。此类敏感信息泄露将导致员工面临身份盗窃及社会工程攻击风险,同时暴露公司业务运营细节,造成严重声誉损害。INC勒索软件团伙成立于2023年7月,可能与俄罗斯关联,以“多重勒索”作案手法闻名。该团伙已造成453名受害者,攻击目标涵盖医院、学校、政府机构及科技公司。
https://cybernews.com/security/naffco-ransomware-incident-data-leak/
3. Sturnus木马:绕过加密的全功能设备控制威胁
11月20日,一款名为Sturnus的新型安卓银行木马正引发网络安全界高度警惕。该木马具备“完全控制设备”能力,其攻击目标直指WhatsApp、Telegram、Signal等加密通讯软件,通过捕获屏幕内容绕过端到端加密,窃取银行凭证、监控实时对话,并隐藏欺诈行为。ThreatFabric分析指出,Sturnus虽处于开发阶段或有限测试期,但已瞄准中南欧金融机构,预示攻击者正为大规模攻击做准备。该木马技术先进,在通信协议和设备支持上超越传统木马家族。其通信模式模拟紫翅椋鸟鸣叫,在明文、RSA、AES消息间随机切换,通过HTTP POST注册设备并完成密钥交换后,采用AES-256加密传输数据。数据窃取依赖两种互补机制:HTML覆盖层和无障碍服务键盘记录,可实时读取屏幕所有内容,包括联系人、对话线程及消息,直接绕开端到端加密。它还通过设备管理员权限增强持久性,监控解锁事件、阻止权限撤销及卸载,并追踪系统变更、网络状态、SIM卡更换等,调整策略规避分析。
https://securityaffairs.com/184878/cyber-crime/sturnus-new-android-banking-trojan-targets-whatsapp-telegram-and-signal.html
4. 汽车电商平台Revolution Parts遭大规模数据泄露
11月23日,近日,美国亚利桑那州坦佩市的汽车电商平台Revolution Parts遭遇网络攻击,攻击者宣称窃取了超过500万用户的个人信息,包括电子邮箱、IP地址、电话号码、家庭住址、设备数据及全名等核心信息。该公司通过经销商网络每年销售价值超6亿美元的汽车零部件,其用户数据涵盖订单详情和账号注册信息,与攻击者声称的窃取内容高度吻合。攻击声明发布于知名数据泄露论坛,该平台是网络罪犯交换被盗数据的主要渠道。Cybernews研究团队对攻击者提供的样本数据进行了核查,证实样本包含用户全名、电子邮箱、电话号码、家庭住址、IP地址及设备数据,这些信息与电商平台用户购物时填写的订单详情及注册信息完全一致。研究团队指出,此类数据可被用于身份盗窃和精准钓鱼攻击,攻击者可通过分析用户偏好、地理位置等信息,伪装成合法企业诱骗用户泄露更敏感信息,或通过发送带毒邮件诱导受害者下载恶意软件。
https://cybernews.com/security/revolution-parts-data-breach-claims/
5. 伊比利亚航空因供应商安全漏洞致客户数据泄露
11月23日,西班牙国家航空公司伊比利亚航空近日通报,因第三方供应商系统遭未经授权访问,导致部分客户信息泄露。据威胁情报平台Hackmanac披露的邮件显示,泄露数据涉及客户姓名、电子邮件及伊比利亚航空俱乐部会员卡识别号码,但账户登录凭证、密码及银行支付信息未被波及。此前,一名网络威胁行为者在黑客论坛声称获取了77GB据称来自该航空公司的数据,并以15万美元公开叫卖。攻击者宣称数据包含A320/A321技术文档、AMP维护文件及发动机信息等内部资料,但航空公司明确将泄露归因于供应商,强调其自身系统未受直接影响。事件发生后,伊比利亚航空立即启动安全协议,实施技术及组织措施控制事态。公司已对客户账户关联的电子邮件地址增加额外保护层,如操作前需通过验证码验证,并持续监控系统可疑活动。相关部门已获通知,正与涉事供应商协同调查。航空公司建议客户警惕可疑信息,通过指定电话报告异常活动,防范网络钓鱼及社会工程攻击。
https://www.bleepingcomputer.com/news/security/iberia-discloses-customer-data-leak-after-vendor-security-breach/
6. Cox Enterprises遭Oracle零日漏洞攻击致数据泄露
11月22日,近日,美国企业集团Cox Enterprises因Oracle E-Business Suite的零日漏洞CVE-2025-61882遭黑客入侵,导致9,479名个人数据泄露。该公司于9月29日发现可疑活动,溯源至8月9日至14日期间攻击者利用该未知漏洞实施攻击。Cox Enterprises作为年收入230亿美元、拥有5.5万名员工的跨国企业,涉及电信、汽车服务等业务,其后台运营平台遭渗透后,威胁行为者Clop勒索软件于10月27日将Cox列入暗网数据泄露网站,并公布窃取信息。Oracle虽在10月5日发布补丁,但漏洞已被提前利用。Cox在通知中未披露具体泄露数据类型,但为受影响者提供12个月免费身份盗窃保护及信用监控服务。值得注意的是,Clop同期公布了多家新受害企业,涵盖汽车、软件、科技行业,罗技、哈佛大学等机构此前亦证实存在相关漏洞。
https://www.bleepingcomputer.com/news/security/cox-enterprises-discloses-oracle-e-business-suite-data-breach/
京公网安备11010802024551号