HackerNews 编译，转载请注明出处： 一种名为 “Eleven11bot” 的新型僵尸网络恶意软件已感染超过 86,000 台物联网设备，主要是安全摄像头和网络视频录像机（NVR），用于发起分布式拒绝服务（DDoS）攻击。 这个与伊朗有松散联系的僵尸网络已经对电信服务提供商和在线游戏服务器发起了 DDoS 攻击。 Eleven11bot 由诺基亚研究人员发现，并与威胁监测平台 GreyNoise 分享了相关细节。 诺基亚安全研究员杰罗姆·迈耶（Jérôme Meyer）表示，Eleven11bot 是他们近年来观察到的最大的 DDoS 僵尸网络之一。 “这个僵尸网络主要由被攻陷的网络摄像头和网络视频录像机（NVR）组成，已经迅速增长到超过 30,000 台设备，”迈耶在 LinkedIn 上表示。 “它的规模在非国家行为体的僵尸网络中非常突出，使其成为自 2022 年 2 月乌克兰战争以来观察到的最大的 DDoS 僵尸网络活动之一。” 今天早些时候，威胁监测平台 Shadowserver 基金会报告称，观察到 86,400 台设备感染了 Eleven11bot 僵尸网络，其中大部分位于美国、英国、墨西哥、加拿大和澳大利亚。 受 Eleven11bot 影响的国家及地区 来源：Shadowserver 基金会 迈耶表示，僵尸网络的攻击强度已达每秒数亿个数据包，攻击持续时间通常跨越多天。 在 GreyNoise 和 Censys 的帮助下，过去一个月内记录了 1,400 个与僵尸网络操作相关的 IP 地址，其中 96% 来自真实设备（非伪造）。 与 Eleven11bot 相关的恶意 IP 地址 来源：GreyNoise 这些 IP 地址大多位于伊朗，其中超过 300 个被 GreyNoise 归类为恶意。 GreyNoise 报告称，该恶意软件通过暴力破解弱或常见的管理员用户凭据传播，利用特定物联网型号的已知默认凭据，并积极扫描网络以查找暴露的 Telnet 和 SSH 端口。 GreyNoise 已发布与 Eleven11bot 相关的 IP 地址列表，并确认这些 IP 地址存在恶意行为，建议防御者将此列表添加到其阻止列表中，并监控可疑的登录尝试。 一般来说，建议确保所有物联网设备运行最新固件版本，如果不需要远程访问功能则将其禁用，并将默认管理员账户凭据更改为强大且唯一的密码。 物联网设备通常无法获得供应商的长期支持，因此定期检查设备是否已达到使用寿命终点（EOL），并将其替换为较新的型号至关重要。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）周一将五个影响思科、日立 Vantara、微软 Windows 和 Progress WhatsUp Gold 软件的安全漏洞添加到其已知被利用漏洞（KEV）目录中，基于这些漏洞正被积极利用的证据。 漏洞详情 CVE-2023-20118（CVSS 评分：6.5）：思科小型企业 RV 系列路由器的基于网络的管理界面中的命令注入漏洞，允许经过身份验证的远程攻击者获得根级别权限并访问未经授权的数据（由于路由器已达到使用寿命终点，未进行修补） CVE-2022-43939（CVSS 评分：8.6）：日立 Vantara Pentaho BA Server 中的授权绕过漏洞，源于使用非规范 URL 路径进行授权决策（已于 2024 年 8 月通过版本 9.3.0.2 和 9.4.0.1 修复） CVE-2022-43769（CVSS 评分：8.8）：日立 Vantara Pentaho BA Server 中的特殊元素注入漏洞，允许攻击者将 Spring 模板注入属性文件，从而执行任意命令（已于 2024 年 8 月通过版本 9.3.0.2 和 9.4.0.1 修复） CVE-2018-8639（CVSS 评分：7.8）：微软 Windows Win32k 中的不正确资源关闭或释放漏洞，允许本地经过身份验证的用户进行权限提升，并在内核模式下运行任意代码（已于 2018 年 12 月修复） CVE-2024-4885（CVSS 评分：9.8）：Progress WhatsUp Gold 中的路径遍历漏洞，允许未经过身份验证的攻击者实现远程代码执行（已于 2024 年 6 月通过版本 2023.1.3 修复） 关于上述漏洞中的一些在野外如何被利用的报告很少，但法国网络安全公司 Sekoia 上周透露，威胁行为者正在利用 CVE-2023-20118 将易受攻击的路由器纳入名为 PolarEdge 的僵尸网络。 至于 CVE-2024-4885，Shadowserver 基金会表示，自 2024 年 8 月 1 日起，已观察到针对该漏洞的利用尝试。GreyNoise 的数据显示，来自中国香港、俄罗斯、巴西、韩国和英国的多达八个独特 IP 地址与该漏洞的恶意利用有关。 最后，CISA 提醒联邦民用执行部门（FCEB）机构在 2025 年 3 月 24 日之前应用必要的缓解措施，以保护其网络免受这些漏洞的威胁。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 中国及美国西海岸的互联网服务提供商（ISP）近期遭遇大规模网络攻击，黑客通过入侵受害系统，植入信息窃取程序和加密货币挖矿软件。 据Splunk威胁研究团队报告，此次攻击还涉及多个二进制程序，这些程序不仅可用于窃取数据，还能帮助攻击者在受感染系统中建立长期控制权限。 黑客利用脚本语言绕过安全防护 Cisco旗下的Splunk研究团队表示，攻击者在操作过程中尽量减少入侵痕迹，以规避检测，除非受害账户已经遭到控制。“该攻击组织主要依赖Python和PowerShell等脚本语言进行横向移动与渗透，并使用API（如Telegram）执行远程控制（C2）操作。” 此次攻击活动主要利用暴力破解手段，针对弱密码账户进行入侵。攻击源IP地址主要来自东欧，受害目标包括超过4,000个ISP提供商的IP地址。 攻击流程：入侵、窃取信息、植入挖矿程序 攻击者在获取初始访问权限后，会通过PowerShell执行一系列恶意程序，包括网络扫描、信息窃取以及XMRig加密货币挖矿，以滥用受害设备的计算资源。 在执行恶意程序之前，攻击者通常会先关闭安全软件功能，并终止与挖矿检测相关的服务，以降低被发现的风险。 信息窃取与恶意软件投放 除了截屏功能，该恶意软件还具备类似“剪贴板劫持”程序的特性，可监控受害者的剪贴板内容，专门窃取比特币（BTC）、以太坊（ETH）、币安链BEP2（ETHBEP2）、莱特币（LTC）和波场（TRX）等加密货币钱包地址。窃取的数据随后被上传至黑客控制的Telegram机器人。 此外，受感染设备还会被植入一个二进制文件，用于执行额外的恶意负载，其中包括： Auto.exe：从C2服务器下载密码列表（pass.txt）和IP地址列表（ip.txt），用于后续暴力破解攻击 Masscan.exe：多功能端口扫描工具 大规模IP扫描，精准锁定目标 Splunk研究团队指出，攻击者专门针对美国西海岸及中国的ISP基础设施IP地址，并利用Masscan扫描工具批量扫描大量IP地址，以发现开放端口，并进一步实施凭证暴力破解攻击。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全专家近日警告，一场高度针对性的网络钓鱼攻击行动已锁定阿联酋境内“少于五个”实体，目的是投放一种此前未被记录的Golang后门程序“Sosano”。 据网络安全公司Proofpoint披露，该恶意活动主要针对航空和卫星通信领域，并于2024年10月下旬被发现。Proofpoint将此新出现的攻击组织命名为“UNK_CraftyCamel”。 此次攻击的一大特点是，攻击者利用了印度电子公司INDIC Electronics的受感染电子邮件账户发送钓鱼邮件。该公司与所有攻击目标均保持着可信赖的商业关系，因此邮件内容根据不同受害者量身定制，以提高欺骗性。 Proofpoint在提供给《The Hacker News》的报告中表示：“UNK_CraftyCamel利用一家受感染的印度电子公司，向阿联酋少数几家机构发送包含恶意ZIP文件的钓鱼邮件。这些ZIP文件包含多种混合格式（polyglot files），最终安装了名为Sosano的定制Go语言后门。” 攻击者在邮件中嵌入了指向伪装成印度公司官方网站的恶意链接（“indicelectronics[.]net”），该网站托管着一个ZIP压缩包，内含一份XLS文件和两份PDF文件。 实际上，该XLS文件是一个伪装成Excel文档的Windows快捷方式（LNK），而两份PDF文件则是特殊的多格式文件。其中一份PDF文件附带了HTML应用程序（HTA）文件，另一份则嵌入了一个ZIP压缩包。 这意味着，这两份PDF文件在不同程序（如文件资源管理器、命令行工具和浏览器）中解析时，可能会呈现出不同的格式，从而掩盖其恶意性质。 Proofpoint的分析显示，攻击者利用LNK文件启动cmd.exe，随后借助mshta.exe执行PDF/HTA混合文件，触发HTA脚本。该脚本进一步解压第二个PDF文件中隐藏的ZIP压缩包，并执行其中的恶意代码。 在解压的文件中，有一个URL快捷方式文件（.url），用于加载一个二进制文件。该文件随后搜索一个特定的图像文件，并使用字符串“234567890abcdef”进行异或（XOR）解码，从而释放并运行名为Sosano的DLL后门程序。 Sosano后门采用Golang编写，功能相对有限，主要用于连接远程指挥控制（C2）服务器，并执行指令，包括： sosano：获取当前目录或更改工作目录 yangom：枚举当前目录内容 monday：下载并运行下一阶段的未知载荷 raian：删除或移除目录 lunna：执行Shell命令 Proofpoint指出，UNK_CraftyCamel的攻击手法与任何已知的黑客组织或威胁团体均无明显关联。 Proofpoint高级威胁研究员Joshua Miller对《The Hacker News》表示：“我们的分析表明，这次行动很可能由一个与伊朗有联系的攻击团体实施，可能与伊朗伊斯兰革命卫队（IRGC）相关。” “被攻击的行业对经济稳定和国家安全至关重要，因此成为地缘政治竞争中的重要情报目标。这场攻击规模虽小但极具针对性，攻击者不仅利用了多种混淆技术，还通过可信的第三方账户进行渗透，目标直指阿联酋的航空、卫星通信及关键交通基础设施。这表明，与国家相关的黑客组织正不断升级手法，以规避检测并达成情报收集任务。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Broadcom 发布了安全更新，以解决 VMware ESXi、Workstation 和 Fusion 产品中的三个被积极利用的安全漏洞，这些漏洞可能导致代码执行和信息泄露。 漏洞详情 CVE-2025-22224（CVSS 评分：9.3）：这是一个 TOCTOU（Time-of-Check Time-of-Use）漏洞，导致越界写入。具有虚拟机本地管理权限的恶意行为者可利用此漏洞在主机上以虚拟机的 VMX 进程身份执行代码。 CVE-2025-22225（CVSS 评分：8.2）：这是一个任意写入漏洞。具有 VMX 进程权限的恶意行为者可利用此漏洞实现沙盒逃逸。 CVE-2025-22226（CVSS 评分：7.1）：这是一个信息泄露漏洞，源于 HGFS 中的越界读取。具有虚拟机管理权限的恶意行为者可利用此漏洞泄露 vmx 进程的内存内容。 受影响版本及修复情况 VMware ESXi 8.0：修复版本为 ESXi80U3d-24585383 和 ESXi80U2d-24585300。 VMware ESXi 7.0：修复版本为 ESXi70U3s-24585291。 VMware Workstation 17.x：修复版本为 17.6.3。 VMware Fusion 13.x：修复版本为 13.6.3。 VMware Cloud Foundation 5.x：异步修复至 ESXi80U3d-24585383。 VMware Cloud Foundation 4.x：异步修复至 ESXi70U3s-24585291。 VMware Telco Cloud Platform 5.x, 4.x, 3.x, 2.x：修复版本为 ESXi 7.0U3s、ESXi 8.0U2d 和 ESXi 8.0U3d。 VMware Telco Cloud Infrastructure 3.x, 2.x：修复版本为 ESXi 7.0U3s。 Broadcom 在一份 FAQ 中承认，有信息表明这些漏洞在野外已被利用，但未详细说明攻击的性质或利用这些漏洞的威胁行为者的身份。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 部署 Black Basta 和 CACTUS 勒索软件家族的威胁行为者被发现依赖相同的 BackConnect（BC）模块来维持对受感染主机的持续控制，这表明以前与 Black Basta 有关联的附属机构可能已经转向 CACTUS。 “一旦渗透，它就授予攻击者广泛的远程控制功能，允许他们在受感染的机器上执行命令，”Trend Micro 在周一的分析中表示，“这使他们能够窃取敏感数据，如登录凭据、财务信息和个人文件。” 值得注意的是，BC 模块的细节，由于其与 QakBot 加载程序的重叠，被网络安全公司跟踪为 QBACKCONNECT，首次于 2025 年 1 月下旬由沃尔玛的网络情报团队和 Sophos 文档，后者将该集群命名为 STAC5777。 在过去的 2024 年，Black Basta 攻击链越来越多地利用电子邮件炸弹战术来诱使潜在目标在联系后安装 Quick Assist，这些威胁行为者以 IT 支持或帮助台人员的身份出现。 访问然后作为渠道，通过 OneDriveStandaloneUpdater.exe 侧载恶意 DLL 加载程序（“winhttp.dll”），这是一个负责更新 Microsoft OneDrive 的合法可执行文件。加载程序最终解密并运行 BC 模块。 CACTUS 勒索软件 Trend Micro 观察到一次 CACTUS 勒索软件攻击，该攻击使用了相同的植入 BackConnect 的方式，但还超越了这一点，进行了各种后期利用操作，如横向移动和数据泄露。然而，加密受害者网络的努力以失败告终。 这种战术的汇聚在最近的 Black Basta 聊天记录泄露的背景下显得尤为重要，这些记录揭示了网络犯罪团伙的内部运作和组织结构。 具体来说，已经发现该团伙的成员共享了有效的凭据，其中一些来自信息窃取日志。其他一些突出的初始访问点是远程桌面协议（RDP）门户和 VPN 端点。 “威胁行为者正在使用这些战术、技术和程序（TTP）—— 电话钓鱼、Quick Assist 作为远程工具，以及 BackConnect—— 来部署 Black Basta 勒索软件，”Trend Micro 表示。 “具体来说，有证据表明，成员已经从 Black Basta 勒索软件团伙转向了 CACTUS 勒索软件团伙。这一结论是通过对 CACTUS 团伙使用的类似战术、技术和程序（TTP）的分析得出的。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在 Wazuh 服务器中发现了一个关键的远程代码执行（RCE）漏洞，Wazuh 是一个用于威胁检测和合规监控的流行开源安全平台。 该漏洞被标识为 CVE-2025-24016，允许具有 API 访问权限的攻击者在服务器上执行任意 Python 代码，对受影响的系统构成重大威胁。该漏洞的 CVSS 评分为 9.9，反映了其严重性。 问题源于 Wazuh API 的 DistributedAPI 组件中的不安全反序列化。具体来说，参数被序列化为 JSON，并在 framework/wazuh/core/cluster/common.py 文件中使用 as_wazuh_object 函数进行反序列化。 攻击者可以通过在 DistributedAPI（DAPI）请求或响应中注入未经过滤的字典来利用这一点，从而执行任意代码。 一个值得注意的攻击向量涉及 run_as 端点，攻击者可以操纵 auth_context 参数来构建恶意请求。 这些请求可能导致在主服务器上执行任意代码。此外，在某些配置下，被攻陷的 Wazuh 代理可以通过在 API 请求中注入恶意负载来利用此漏洞。 受影响的版本 易受攻击的版本：Wazuh Manager 4.4.0 至 4.9.0 版本。 已修复的版本：4.9.1 及更高版本。 该漏洞允许攻击者： 远程执行任意 Python 代码。 关闭或控制 Wazuh 服务器。 利用被攻陷的代理在集群内传播攻击。 此类攻击可能破坏系统的完整性、可用性和机密性，对于依赖 Wazuh 进行安全监控的组织来说，这是一个关键问题。 一个公开的 PoC（概念验证）演示了攻击者如何通过 API 请求发送精心制作的 JSON 负载来利用此漏洞。例如，对 run_as 端点的恶意请求可以注入一个未经过滤的异常（unhandled_exc），从而触发任意代码执行。 为了解决此漏洞： 立即升级：更新到 Wazuh 4.9.1 或更高版本，该问题已在这些版本中得到修复。 限制 API 访问：将 API 访问限制在受信任的网络，并强制执行严格的认证措施。 监控日志：定期审查日志，留意可疑活动，如异常的 API 调用或未授权的访问尝试。 加强代理配置：确保 Wazuh 代理的安全，防止通过被攻陷的端点进行利用。 强烈建议各组织尽快实施这些措施，以降低潜在的利用风险，保护其基础设施免受利用 CVE-2025-24016 的攻击者侵害。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Netskope 威胁实验室发现了一起广泛的钓鱼活动，该活动利用嵌入 PDF 文档中的伪造 CAPTCHA 图像来窃取信用卡信息和分发恶意软件。自 2024 年下半年以来，这场活动已经影响了超过 1150 个组织和 7000 名用户。 攻击者利用搜索引擎优化（SEO）技术，引诱受害者访问托管钓鱼 PDF 的恶意网站。这些 PDF 通常伪装成用户指南、手册、模板和表格，使用 “pdf”、“免费”、“下载” 和 “可打印” 等关键词。当受害者打开 PDF 时，会看到一个伪造的 CAPTCHA 图像，并被指示在运行窗口中复制和粘贴一个命令。该命令执行一个恶意的 PowerShell 脚本，下载并安装 Lumma Stealer 恶意软件。 这场钓鱼活动针对各个行业的组织，其中技术、金融服务和制造业受影响尤为严重。 该恶意软件使攻击者能够： 窃取存储的浏览器凭证 盗取加密货币钱包 截获银行凭证 捕获屏幕截图和键盘输入 鉴于其广泛的传播和隐蔽的感染链，Lumma Stealer 对个人用户和企业网络都构成了重大风险。 该活动已被观察到在 260 个独特的域名上进行，包括 Webflow、GoDaddy、Strikingly、Wix 和 Fastly 等热门内容交付网络。一些钓鱼 PDF 还被上传到在线库和 PDF 存储库，进一步扩大了攻击面。 Netskope 威胁实验室强调，从互联网下载 PDF 文件时，即使来自看似可信的来源，也应保持谨慎。用户应避免点击未知发件人的链接或打开附件，并在输入个人信息前始终仔细检查网站 URL。   消息来源：Security Online； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项新发现的网络安全威胁显示，至少 320 万用户受到伪装成合法工具的恶意浏览器扩展的影响。16 个扩展（从屏幕截图工具到广告拦截器和表情键盘）被发现向用户的浏览器注入恶意代码。根据 GitLab 威胁情报，这些扩展促进了广告欺诈和搜索引擎优化（SEO）操纵，同时对数据泄露和进一步网络入侵的潜在初始访问构成了重大风险。 威胁行为者采用的攻击链是多阶段且高度复杂的，旨在规避检测的同时破坏浏览器安全。GitLab 的报告指出：“威胁行为者使用复杂的多阶段攻击来降低用户浏览器的安全性，然后注入内容，穿越浏览器安全边界并将恶意代码隐藏在扩展之外。” 攻击似乎始于 2024 年 7 月，威胁行为者获取了合法扩展的访问权限，而不是直接破坏它们。报告暗示，原始开发者可能在不知情的情况下将扩展的所有权转让给了攻击者，为恶意更新提供了直接路径。 到 2024 年 12 月，攻击升级为供应链入侵，涉及对开发者账户的网络钓鱼攻击，允许攻击者通过 Chrome 网上应用店推送恶意更新。这些更新引入了窃取 HTTP 头数据和 DOM 内容的脚本，利用远程存储的动态配置。 虽然这些扩展提供了其宣传的功能，但它们嵌入了一个通用的恶意框架。GitLab 的调查发现了服务工作线程功能的一致性，包括： 安装时进行配置检查，将扩展版本和唯一 ID 传输到远程服务器。 修改浏览器安全策略，特别是从每个会话访问的前 2000 个网站中删除内容安全策略（CSP）头。 持续的心跳信号以刷新配置数据并保持与攻击者命令与控制（C2）基础设施的连接。 GitLab 警告称，删除 CSP 会显著削弱浏览器安全，使用户容易受到跨站脚本（XSS）攻击和其他注入式利用。 “这一例程完全删除了恶意扩展用户的 Content Security Policy 保护。Content Security Policy 在防止 Cross Site Scripting 攻击方面发挥着重要作用，扩展在未经用户同意的情况下降低这种保护，明显违反了 Chrome 网上应用店程序政策，”报告警告说。 对恶意扩展基础设施的分析显示了一个专用配置服务器网络，每个服务器都与特定扩展相关联。例如： 扩展名称 配置服务器 Blipshot blipshotextension[.]com Emojis Keyboard emojikeyboardextension[.]com Nimble Capture api.nimblecapture[.]com Adblocker for Chrome abfc-extension[.]com KProxy kproxyservers[.]site 这些配置服务器利用了 BunnyCDN 和 DigitalOcean 的 Apps Platform，并使用一致的 x-do-app-origin 头，表明攻击者通过单一基于云的应用程序部署了所有配置。 此外，与攻击相关的脚本也被发现在针对组织的网络钓鱼工具包中嵌入，这表明攻击者与参与凭证盗窃活动的网络入侵行为者之间可能存在联系。 攻击者通过动态脚本注入确保了长期持久性。rcx-cd-v3.js 有效载荷使用了高级 JavaScript 混淆技术在浏览器中执行代码。这一有效载荷使得网络请求的修改成为可能，包括： 通过在服务工作线程中执行请求来绕过 CORS 限制。 修改广告拦截规则，允许广告域的同时阻止微软的跟踪服务。 向访问欧洲地区亚马逊产品页面的受害者注入带有恶意内容的 iframe 和后台标签。 GitLab 的研究人员怀疑，这些活动支持点击欺诈活动、SEO 操纵，甚至可能涉及敏感数据盗窃。 谷歌在 2025 年 1 月接到通知，并已从 Chrome 网上应用店中移除了所有已识别的恶意扩展。然而，从应用店中移除并不会触发自动卸载。之前安装了这些扩展的用户必须手动从浏览器中删除它们。   消息来源：Security Online； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Rubrik 上个月披露，其一台托管日志文件的服务器遭到入侵，导致公司更换了可能泄露的认证密钥。 该公司已向 BleepingComputer 确认，此次入侵并非勒索软件事件，且公司未收到任何来自威胁行为者的通信。 Rubrik 是一家专注于数据保护、备份和恢复的网络安全公司，在全球 22 个办公室拥有超过 3000 名员工。该公司在全球拥有超过 6000 名客户，包括 AMD、Adobe、Pepsico、Home Depot、Allstate、Sephora、GSK、Honda、Harvard University 和 TrelliX 等知名企业。 在 2 月 2 日发布的一份安全公告中，Rubrik 表示检测到其托管日志文件的服务器上存在异常活动，Kevin Beaumont 首先发现了这一公告。 “Rubrik 信息安全团队最近发现一台包含日志文件的服务器上存在异常活动。我们立即将该服务器下线以降低风险，” Rubrik 的安全公告中写道。 “在第三方法医合作伙伴支持下进行的调查确认，此次事件仅限于这一台服务器，我们未发现任何未经授权访问我们代表客户保护的数据或我们内部代码的证据。” 然而，Rubrik 表示，少量日志文件中包含访问信息，出于谨慎考虑，公司决定更换认证密钥。 该公司表示，没有迹象表明这些信息被滥用。 此外，Rubrik 表示，他们的调查未发现威胁行为者获取客户数据或内部源代码的证据。 Rubrik 此前曾在 2023 年遭受数据泄露，当时公司的数据在 Clop 勒索软件团伙发起的大规模 Fortra GoAnywhere 数据盗窃攻击中被盗。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文