HackerNews 编译，转载请注明出处： 随着伊朗当局于2026年1月初实施的大规模互联网封锁结束，隐秘的伊朗威胁组织 Infy 在启用全新命令与控制（C2）基础设施的同时，也升级了其战术以更好地隐藏行踪。 安全公司SafeBreach在 2025 年 12 月发布的报告中，披露了该威胁组织的全新攻击手法，包括使用升级版 Foudre 和 Tonnerre 恶意软件，其中 Tonnerre 搭载电报机器人，疑似用于下达指令及收集数据的研究副总裁Tomer Bar在报告中指出：“这是我们监测该威胁组织活动以来，其首次于 1 月 8 日停止维护 C2 服务器。”他进一步分析称：“当日伊朗当局为应对近期抗议活动，实施了全国断网，这或许表明，即便是政府关联的网络部队，在伊朗境内也不具备开展恶意活动的能力或动机。” 该网络安全公司表示，其于 2026 年 1 月 26 日观测到该黑客团伙重启活动，搭建了新的 C2 服务器，而次日伊朗政府便放宽了境内网络限制。这一动态意义重大，尤为关键的是，它提供了该威胁组织为伊朗国家资助、受伊朗政府支持的确凿证据。 Infy 是伊朗境内众多国家资助黑客团伙之一，这些团伙均围绕德黑兰战略利益，开展间谍活动、破坏行动及舆论影响操作。同时它也是历史最悠久、知名度较低的团伙之一，自 2004 年起便隐匿行踪、低调运作，通过针对个人的 “精准聚焦式” 攻击开展情报收集，从未引发过多关注。 SafeBreach在 2025 年 12 月发布的报告中，披露了该威胁组织的全新攻击手法，包括使用升级版 Foudre 和 Tonnerre 恶意软件，其中 Tonnerre 搭载电报机器人，疑似用于下达指令及收集数据。Tonnerre 最新版本（50 版）被赋予代号 “龙卷风（Tornado）” 对该威胁组织 2025 年 12 月 19 日至 2026 年 2 月 3 日期间活动的持续监测发现，攻击者已更换所有版本 Foudre 和 Tonnerre 的 C2 基础设施，同时推出 51 版龙卷风恶意软件，该版本同时采用 HTTP 协议与电报平台作为 C2 信道。 Bar 表示：“该恶意软件通过两种不同方式生成 C2 域名，一是全新域名生成算法（DGA），二是借助区块链数据反混淆技术生成固定域名，这是一种独特的方式，我们推测其用途是在无需升级龙卷风版本的前提下，提升 C2 域名注册的灵活性。” 另有迹象表明，Infy已将WinRAR中的一个“1-day”漏洞（CVE-2025-8088或CVE-2025-6218）武器化，用于在受感染主机上释放Tornado恶意负载。攻击载体的转变被视为提高其行动成功率的手段。2025年12月中旬，这些特制 RAR 压缩包从德国和印度被上传至 VirusTotal 平台，表明这两个国家或为攻击目标。 该RAR文件内为一个自解压（SFX）存档，包含两个文件： AuthFWSnapin.dll：即Tornado 51版的主DLL文件。 reg7989.dll：一个安装程序，会先检查是否未安装Avast杀毒软件；若未安装，则创建计划任务以实现持久化，并执行Tornado DLL。 Tornado通过HTTP与C2服务器通信，下载并执行主后门，同时收集系统信息。若选择Telegram作为C2通道，则会利用机器人API外传系统数据并接收进一步指令。 值得注意的是，恶意软件第50版使用了一个名为“سرافراز”（意为“自豪”）的Telegram群组，群内包含机器人账号“@ttestro1bot”和用户“@ehsan8999100”。而在最新版本中，后者已被替换为名为“@Ehsan66442”的新用户。 Bar 补充道：“与此前一样，Telegram群组中的机器人成员仍无权读取群聊消息。12月21日，原用户@ehsan8999100被添加至一个名为‘Test’的新Telegram频道，该频道当时仅有3名订阅者。此频道的具体用途尚不明确，但我们推测其被用于对受害机器的命令与控制。” SafeBreach称，其已成功提取该私密电报群组内的所有消息，获取了 2025 年 2 月 16 日以来所有被窃取的 Foudre 和 Tonnerre 相关文件，包括 118 个文件及 14 个共享链接 —— 链接内包含该威胁组织发送给 Tonnerre 的加密指令。对这些数据的分析揭示了两项关键发现： 一是发现一个恶意 ZIP 文件，会释放 ZZ 窃取器，该窃取器会加载 StormKitty 信息窃取软件的定制变种。 二是 ZZ 窃取器攻击链，与针对 Python 包索引（PyPI）仓库的攻击活动存在 “极强关联性”—— 攻击者上传恶意包 testfiwldsd21233s，用于释放 ZZ 窃取器早期版本，并通过电报机器人接口窃取数据。 三是 Infy 与Charming Kitten 组织，因均使用 ZIP 文件、Windows 快捷方式（LNK）文件及 PowerShell 加载器技术，存在 “较弱的潜在关联性”。 SafeBreach解释道：“ZZ Stealer似乎是一种第一阶段恶意软件（类似Foudre），会首先收集环境数据、截取屏幕截图并窃取所有桌面文件。此外，当从C2服务器收到‘8==3’指令时，它将下载并执行同样被攻击者命名为‘8==3’的第二阶段恶意软件。”   消息来源: thehackernews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 勒索软件运营者正在滥用合法虚拟基础设施管理服务商ISPsystem提供的虚拟机，大规模托管并分发恶意攻击载荷。 网络安全厂商 Sophos 研究人员在调查近期 WantToCry 勒索软件事件时，发现了该攻击手法。研究人员发现，攻击者使用的 Windows 虚拟机均带有相同主机名，推测这些虚拟机源自 ISPsystem 旗下虚拟化管理平台 VMmanager 的默认模板。 深入调查后研究人员发现，该相同主机名还出现在多个勒索软件团伙的基础设施中，包括LockBit、Qilin、Conti、BlackCat/ALPHV、Ursnif 等多款信息窃取软件的恶意攻击活动。 ISPsystem是一家正规软件公司，主营托管服务商专用控制面板开发，可用于虚拟服务器管理、操作系统维护等场景。VMmanager  是该公司旗下虚拟化管理平台，可为客户快速创建 Windows 或 Linux 虚拟机。 Sophos发现，VMmanager 的 Windows 默认模板每次部署时，都会复用相同的主机名及系统标识符。 部分明知故犯、支持网络犯罪活动且无视下架请求的高防托管服务商，正利用这一设计缺陷实施恶意行为。这些服务商允许恶意行为者通过 VMmanager 创建虚拟机，将其用作命令与控制（C2）及恶意载荷投递基础设施。 这一行为本质是将恶意系统隐藏在数千台正常虚拟机中，既增加了攻击溯源难度，也让快速下架恶意节点成为泡影。 绝大多数恶意虚拟机由少数口碑恶劣或受制裁的托管服务商托管，包括Stark Industries Solutions Ltd.、Zomro B.V.、First Server Limited、Partner Hosting LTD及JSC IOT。 Sophos 还发现一家拥有物理基础设施直接控制权的服务商 MasterRDP，该服务商利用 VMmanager 规避检测，提供的虚拟专用服务器（VPS）及远程桌面（RDP）服务均不响应合法合规请求。 据Sophos统计，ISPsystem 旗下最常用的四个主机名 “占所有暴露在公网的 ISPsystem 虚拟机总量的 95% 以上”，具体如下： ·    WIN-LIVFRVQFMKO ·    WIN-LIVFRVQFMKO ·    WIN-344VU98D3RU ·    WIN-J9D866ESIJ2 这四个主机名均在客户检测结果或与网络犯罪活动相关的遥测数据中出现过。 研究人员指出，尽管 ISPsystem VMmanager 是合法虚拟化管理平台，但因其 “成本低、准入门槛低、具备一站式部署能力”，对网络犯罪分子极具吸引力。 科技媒体 BleepingComputer 已联系 ISPsystem，询问其是否知晓 VM 模板遭大规模滥用及后续整改计划，但截至发稿时尚未收到回应。     消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 意大利罗马大学（La Sapienza）近日成为网络攻击目标，其IT系统遭受影响，导致该教育机构内部运营大面积瘫痪。 校方于本周早些时候首次通过社交媒体披露了此次事件，称其IT基础设施“已成为网络攻击的目标”。作为预防性措施并确保数据完整与安全，学校已下令立即关闭所有网络系统。 罗马大学是欧洲在校学生规模最大的高校，在册学生超 11.25 万名；目前已就该事件报备有关部门，并成立技术专项小组，启动漏洞修复与系统恢复工作 截至撰稿时，该校官方网站仍无法访问。其Instagram官方账号持续更新状态，显示恢复工作仍在进行中。根据昨日发布的公告，校方已设立临时“信息服务点”，为学生们提供因当前数字系统与数据库无法访问而难以获取的各类信息。 尽管校方未透露攻击具体类型及实施者详情，但意大利《晚邮报》援引内部消息称，此次事件系名为Femwar02的亲俄黑客组织发起的勒索软件攻击，已造成数据被加密。 该媒体依据恶意软件特征与攻击模式分析指出，此次攻击与Bablock/Rorschach勒索软件高度相似。该勒索软件变种于2023年首次出现，以加密速度快、定制化程度高为特点。网络安全公司Check Point分析认为，该勒索软件整合了Babuk、LockBit v2.0、DarkSide三款勒索软件的泄露源代码开发而成。 据《晚邮报》消息源透露，攻击者已索要赎金，但校方工作人员未打开赎金通知，以避免触发 72 小时倒计时机制，因此赎金金额尚未明确。目前，该校技术人员正联合意大利计算机安全事件响应小组（CSIRT）、国家网络安全局（ACN）及邮政警察部门专家开展工作，通过未受影响的备份数据推进系统恢复。 需注意的是，尽管Rorschach勒索软件未在暗网设立专门的勒索数据泄露站点，但被窃数据仍可能被传播或转售给其他数据勒索集团，因此数据泄露至公网的风险仍极高。 基于当前情况，罗马大学全体师生需高度警惕钓鱼攻击，切勿点击陌生信息中的链接，并持续监控个人账户是否存在可疑活动。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 罗马尼亚国家输油管道运营商 Conpet 披露，本周二遭遇网络攻击，其业务系统受干扰，公司官网也已无法访问。 Conpet 运营着近 4000 公里输油管网，负责向罗马尼亚全国炼油厂输送国产及进口原油，以及汽油、液态乙烷等石油衍生品。 该公司在周三发布的新闻稿中表示，此次事件仅影响企业 IT 基础设施，未干扰核心运营，也未影响合同履约能力。Conpet 补充称，官网因攻击下线，目前正联合国家网络安全部门开展事件调查，推进受影响系统恢复工作。 该输油管道运营商已通报罗马尼亚有组织犯罪与恐怖主义调查局（DIICOT），并就此次事件提起刑事诉讼。Conpet 表示：“需说明的是，运营技术系统（监控与数据采集系统及通信系统）未受影响，因此公司核心业务 —— 通过国家石油运输系统输送原油与汽油 —— 运行正常，未出现任何中断。”而受此次事件影响，公司官网 www.conpet.ro 目前无法访问。 尽管 Conpet 尚未披露攻击类型，但 Qilin 勒索软件团伙已宣称对此次攻击负责，并于今日早些时候将 Conpet 列入其暗网数据泄露平台。该威胁团伙还声称，已从 Conpet遭攻陷的系统中窃取近 1TB 文件，并泄露十余张内部文件照片（含财务信息及护照扫描件），以此证实数据泄露属实。 Conpet 在Qilin的泄露网站上（From:BleepingComputer） Qilin 团伙于 2022 年 8 月以“Agenda”为名开始作为勒索软件即服务（RaaS）运营。过去四年间，其宣称攻击了近 400 个目标，包括日产汽车、日本朝日啤酒、出版业巨头李企业集团、病理服务商 Synnovis 以及澳大利亚维多利亚州法院服务局等知名机构。 BleepingComputer 已就此事联系 Conpet 寻求置评，但截至发稿未获回复。科技媒体 BleepingComputer 就此次事件联系 Conpet 求证，但暂未获得回应。 此前在去年 12 月，罗马尼亚水务局（全国水务管理机构）、奥尔特尼亚能源集团（该国最大煤电能源生产商）也曾遭遇勒索软件攻击。2024 年 12 月，罗马尼亚大型电力供应与分销商电力集团（Electrica Group）遭 Lynx 索软件攻击；2024 年 2 月，超 100 家罗马尼亚医院因遭遇 Backmydata 勒索软件攻击，医疗管理系统瘫痪，陷入全面停摆。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 数字出版平台 Substack 发生数据泄露事件，一名黑客泄露了据称取自该公司系统的用户记录，目前平台已正式披露此事。 Substack 是一款热门订阅制出版平台，支持作家、播客主及创作者向订阅者直接推送时事通讯，同时实现作品商业化变现。最新数据显示，该平台拥有约 3500 万订阅用户。 该公司已开始向用户推送通知，告知其发生一起安全事件，导致用户电子邮箱、电话号码及内部元数据遭泄露。 Substack 表示，该事件发生于 2025 年 10 月，但直至 2 月 3 日才被发现，当日公司发现 “系统存在漏洞，导致未授权第三方得以非法访问部分用户数据”。 由 Substack 首席执行官Chris Best签署的用户通知中明确，用户密码、银行卡号及其他金融信息未发生泄露。 尽管公司表示暂无证据表明泄露信息已被滥用，但仍敦促用户警惕可疑电子邮件与短信。就在此次通知发出数日前，一名黑客泄露了其宣称是 Substack 用户数据的相关信息。 该黑客在论坛帖子中声称，窃取的数据包括姓名、邮箱、电话号码、个人资料照片、用户 ID 及个人简介等信息。 该威胁行为者称，通过数据爬取手段获取了近 70 万条用户记录，并表示此次攻击 “动静较大”，致使平台迅速采取了缓解措施。 消息来源:securityweek.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 今年 1 月，自动化投资平台 Betterment 系统遭黑客攻陷，140 万用户账户的电子邮箱地址及其他个人信息被窃取。 Betterment 主营自动化投资工具与金融咨询服务，是美国 “机器人投顾” 领域的先驱企业。这家金融科技公司共为超 100 万客户管理着 650 亿美元资产。 尽管 Betterment 未披露受影响总人数，但数据泄露查询平台 Have I Been Pwned 分析被盗数据后表示，此次泄露波及 1435174 个账户，涉及信息包括电子邮箱、姓名及地理位置数据。 遭泄露的信息还包括出生日期、通讯地址、电话号码、设备信息、雇主地理位置及职位名称。 Betterment 于 1 月 10 日披露，威胁行为者通过社会工程学攻击侵入部分系统后，还发送伪装成公司促销活动的欺诈邮件，试图诱导目标客户落入奖励骗局 —— 该骗局宣称，向攻击者控制的比特币、以太坊钱包转入加密货币，可获得三倍金额返还。 Betterment 警示用户：“此活动并非官方福利，切勿理会；即便点击了活动通知，也不会影响你的 Betterment 账户安全。目前非授权访问已被阻断，且暂无证据表明非授权人员获取过 Betterment 客户账户的访问权限。” 1 月 13 日科技媒体 BleepingComputer 报道称，Betterment 遭分布式拒绝服务（DDoS）攻击且被勒索，此后该公司确认，官网及移动应用的间歇性宕机系 DDoS 攻击所致，但尚未披露任何与勒索相关的细节。 本周早些时候，Betterment 再发声明称，联合网络安全厂商 CrowdStrike 开展后续溯源调查后确认，此次泄露未导致客户账户被攻陷。 该公司表示：“在 CrowdStrike 支持下，我们完成溯源调查，确认 1 月 9 日的事件未造成客户账户、密码及登录信息泄露。”“分析结果进一步确认，此次隐私影响主要集中在部分客户联系信息（含姓名、邮箱）；部分案例中，联系信息还关联了通讯地址、电话号码、出生日期等其他客户信息。” 截至发稿，Betterment发言人在BleepingComputer就此事联系问询后尚未作出回复。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 意大利外交部长 Tajani 表示，该国已挫败一系列针对外交部办公机构及冬奥会官网、相关酒店的俄关联网络攻击。据他透露，意大利已挫败一系列俄关联网络攻击，攻击目标包括外交部驻外办公机构（含华盛顿办事处）、冬奥会官方网站及科尔蒂纳丹佩佐地区的冬奥相关酒店。 兼任副总理的Tajani 强调：“我们挫败了一系列针对外交部办公机构（首当其冲是华盛顿办事处）及部分冬奥场所（含科尔蒂纳地区酒店）的网络攻击。”他明确指出“这些行动由俄罗斯主导”。据意大利安莎通讯社报道，Tajani 是在华盛顿出访期间向记者披露此事的。 亲俄黑客组织 Noname057(16) 宣称实施了这些分布式拒绝服务（DDoS）攻击。近期该组织已通过自身渠道公布目标清单，涵盖科尔蒂纳地区多家酒店及外交部等政府网站。 该组织声称，发起攻击是对意大利亲乌立场的报复，同时列出其他攻击目标，包括意大利驻华盛顿大使馆及驻悉尼、多伦多、巴黎领事馆。得益于意大利有关部门及国家网络安全局的应对处置，此次攻击造成的影响目前较为有限。 目前监测到的攻击强度尚未达到极高水平，但各方已明确，当前威胁态势中存在可发起大规模分布式拒绝服务攻击的僵尸网络，这类攻击需通过复杂方案才能缓解。例如近期 AISURU 僵尸网络发起的攻击就具备这样的规模，但该僵尸网络似乎并不属于Noname057(16)这类亲俄激进黑客组织的攻击武器库。 意大利内政部长 Piantedosi 宣布，意方将在米兰至多洛米蒂赛区的各个场馆部署6000名安全人员，其中包括拆弹小组、狙击手及反恐部队。 消息来源: securityaffairs.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软警示，信息窃取类攻击正从 Windows 系统 “快速扩张” 至苹果 macOS 环境，攻击者借助 Python 等跨平台语言开发恶意程序，并滥用可信平台实现大规模分发。 微软 Defender 防御安全研究团队表示，自 2025 年末起，观测到针对 macOS 的信息窃取攻击活动，攻击者采用 ClickFix 等社会工程学手法，分发磁盘镜像（DMG）安装包，投放 Atomic macOS Stealer（AMOS）、MacSync、DigitStealer 等多个信息窃取恶意软件家族。 研究发现，此类攻击活动采用无文件执行、macOS 原生工具调用、 AppleScript 自动化等技术，助力数据窃取行为实施，窃取的数据包括浏览器登录凭证与会话数据、iCloud 钥匙串信息及开发者密钥等敏感内容。 此类攻击的起点通常是恶意广告（多通过谷歌广告投放），搜索 DynamicLake 工具、人工智能工具的用户会被重定向至搭载 ClickFix 诱导手段的虚假网站，进而被骗安装恶意软件，导致设备感染。 微软表示：“攻击者借助 Python 编写的信息窃取软件，可快速适配攻击场景、复用代码，以极低成本针对异构环境发起攻击，这类恶意软件通常通过钓鱼邮件分发，窃取目标包括登录凭证、会话 Cookie、认证令牌、信用卡信息及加密货币钱包数据。” PXA 窃取器就是典型代表，该软件与越南语区威胁行为者相关联，可窃取登录凭证、金融信息及浏览器数据。微软指出，其已识别出两起 PXA 窃取器攻击活动，分别发生在 2025 年 10 月和 12 月，均以钓鱼邮件作为初始入侵途径。 攻击链条涉及使用注册表启动项或计划任务实现持久化，并利用 Telegram 进行命令与控制通信及数据外传。 此外，观测显示，恶意行为者还将 WhatsApp 等主流即时通讯应用武器化，用于分发 Eternidade Stealer 等恶意软件，进而非法访问受害者金融及加密货币账户。该攻击活动的相关细节已于 2025 年 11 月由 LevelBlue / Trustwave 团队公开披露。 其他窃取程序相关攻击则围绕 Crystal PDF 等虚假 PDF 编辑器展开，通过恶意广告及谷歌广告的搜索引擎优化（SEO）投毒进行分发，进而部署针对 Windows 的窃取程序，可隐蔽收集 Mozilla Firefox 与 Chrome 浏览器的 Cookie、会话数据及凭证缓存。 为应对信息窃取软件带来的威胁，微软建议企业开展用户安全教育，普及恶意广告重定向链路、虚假安装包、ClickFix 式复制粘贴诱导等社会工程学攻击的识别方法。同时建议监测可疑终端活动及 iCloud 钥匙串访问行为，核查网络出站流量中发往新注册或可疑域名的 POST 请求。 微软强调：“设备遭信息窃取软件攻陷后，可能引发数据泄露、内网非法访问、企业邮箱入侵、供应链攻击及勒索软件攻击等一系列严重后果。” 消息来源:thehackernews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： GreyNoise 发现一起针对 Citrix Gateway 的双模式侦察活动，攻击者利用超过 6.3 万个住宅代理及亚马逊云科技（AWS）基础设施，搜寻登录面板并枚举系统版本。 2026年1月28日至2月2日期间，GreyNoise 追踪到一起协同进行的侦察活动，目标直指 Citrix ADC 和 NetScaler 网关。攻击者先通过超 6.3 万个住宅代理探测登录面板，随后切换至 AWS 基础设施，在 11.1 万余次会话中集中枚举暴露在外的系统版本。 该活动共记录来自超 6.3 万个 IP 的 111834 次会话，其中 79% 的流量直指 Citrix 网关蜜罐，可见攻击者是针对性开展基础设施测绘，而非随机爬取。GreyNoise 发布的报告指出：“数据足以说明问题 ——111834 次会话、超 6.3 万个独立源 IP，且对 Citrix 网关蜜罐的针对性攻击率达 79%，这一比例至关重要，远高于基准扫描噪声水平，表明攻击者是刻意开展基础设施测绘，而非投机性爬取。” 就在 2026 年 2 月 1 日前夕，发生了两起针对 Citrix 基础设施的相关活动。其一活动通过全网扫描探测登录面板，另一场则快速核查软件版本，可见这是一场协同化的侦察行动。 登录面板探测环节高度依赖住宅代理。攻击者将大量流量集中在一个大型 Azure IP 上，剩余流量则来自全球数千个合法民用 IP。每个 IP 均配有唯一浏览器指纹，助力攻击者绕过地理围栏及信誉过滤机制。 版本核查环节由 10 个 AWS IP 发起，持续超 6 小时，且均使用同一老旧 Chrome 浏览器指纹。这种快速且精准的活动态势表明，攻击者在锁定潜在目标后迅速开展行动。 基于 Azure 的扫描器通过 VPN 及隧道转发流量，且采用略低于标准的最大分段大小（MSS），可见攻击者具备严谨的操作安全意识。住宅代理源自 Windows 设备，但会经 Linux 代理转发，以此混入民用流量规避检测。AWS 版本扫描器则使用了只有在数据中心环境下才可能配置的巨帧设置，这证实了攻击者依赖的是专用基础设施，而非普通的消费级网络。 TCP 协议分析显示，尽管基础设施配置不同，但三者共用同一框架：Azure 流量走 VPN 隧道、住宅代理扫描经 Linux 代理转发、AWS 扫描则依赖数据中心级网络配置。三者共享相同 TCP 特征，表明三场攻击活动依托同一底层工具集。 报告补充道：“尽管基础设施类型不同，但所有指纹的 TCP 选项顺序完全一致，这表明即便操作层面相互隔离，底层仍共用同一工具或框架”。 此次侦察活动大概率是攻击前的基础设施测绘，攻击者重点瞄准 EPA 安装文件，或为后续针对性漏洞利用做准备。企业应重点监测异常用户代理、快速登录枚举行为、老旧浏览器指纹及针对敏感路径的外部访问请求。防护措施包括限制基础设施暴露面、强化身份认证机制、隐藏系统版本信息、标记可疑地区流量。 该报告（内含入侵指标）总结道：“此次侦察活动大概率是漏洞利用前的基础设施测绘，对 EPA 安装文件路径的精准瞄准，表明攻击者有意针对已知 Citrix ADC 漏洞开发版本专属利用程序，或开展漏洞验证”。 消息来源:securityaffairs.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司 Tenable 的研究人员发现两款漏洞，攻击者可利用其完全攻陷 Google Looker 商业智能平台实例。 Google Looker 可助力企业将分散数据集整合至统一数据层，进而构建实时可视化报表、交互式仪表盘及数据驱动型应用。 企业可选择 Google Cloud 完全托管的软件即服务（SaaS）版本，也可将 Looker 实例部署在自有基础设施上（自托管模式）。 Tenable 研究人员发现，影响该平台的两个漏洞一旦被利用，可能导致远程代码执行与敏感数据遭窃。这两个漏洞被统称为“LookOut”，攻击者只需拥有目标 Looker 实例的开发者权限即可利用。 据 Tenable 介绍，其中远程代码执行漏洞可让攻击者获取底层基础设施的完整管理员权限，攻击者可借此窃取密钥信息、篡改数据，或进一步向内网渗透。 Tenable 解释道：“在云托管实例场景下，该漏洞或引发跨租户访问风险。” 至于第二款漏洞，该安全厂商将其定义为 “权限绕过漏洞 —— 攻击者可借助该漏洞接入 Looker 内部数据库连接，通过基于错误的 SQL 注入窃取完整的内部 MySQL 数据库数据。” 谷歌已于 2025 年 9 月下旬修复了这些漏洞。谷歌已为旗下云托管实例完成补丁部署，但自托管实例用户需自行确认已升级至修复版本。 谷歌表示，目前未发现该漏洞存在在野利用的相关证据。 消息来源:securityweek.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文