HackerNews 编译，转载请注明出处： 沃尔沃集团北美公司披露，因美国商业服务巨头 Conduent 的 IT 系统被攻陷，该公司发生间接数据泄露事件，Volvo 是 Conduent 的客户。 沃尔沃集团北美公司是这家瑞典跨国企业在美国、加拿大和墨西哥的运营分支机构。其主营商用车与重型设备制造，产品包括卡车、客车、工程设备、发动机及工业动力系统。美国知名品牌 Mack Trucks 是其旗下子公司。Volvo Group 与 Volvo Cars 并非同一家公司，前者不生产乘用车。 在 Conduent 于 2025 年末披露的大规模数据泄露事件中，沃尔沃集团北美公司近 17000 名客户及 / 或公司员工的个人信息遭泄露。 Conduent 是一家美国业务流程外包（BPO）公司，为政府及企业提供数字化平台与服务。该公司在 2024 年 10 月 21 日至 2025 年 1 月 13 日期间发生安全入侵事件，威胁攻击者窃取了用户全名、社会安全号码（SSN）、出生日期、医疗保险保单详情、身份证件号码及医疗信息。 Conduent 尚未确定受影响的具体人数，但此前已披露该事件波及俄勒冈州 1050 万人、得克萨斯州 1550 万人。 该公司目前正代其客户向受影响人员发送通知，为沃尔沃集团北美公司的客户及员工提供为期至少一年的免费身份监控服务，同时附赠信用监控、暗网监控及身份修复服务。此外，通知建议接收者为自己的信用报告设置欺诈预警或安全冻结。 沃尔沃集团北美公司近期再度发生数据泄露事件，同样由第三方供应商引发，导致员工全名、社会安全号码等信息泄露。此次泄露源于 IT 服务供应商 Miljödata 在 2025 年 8 月遭入侵，导致 150 万人信息泄露，其中包括沃尔沃集团在瑞典和美国的员工。 2021 年，Volvo Cars 曾发生安全入侵事件，黑客从其服务器窃取了研发（R&D）数据。数据勒索组织 Snatch 宣称对该起攻击负责，并在其勒索平台上泄露了窃取的文件。     消息来源： bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 被称为 Bloody Wolf 的威胁行为者被确认参与了一场针对乌兹别克斯坦和俄罗斯的攻击行动，旨在使用名为 NetSupport RAT 的远程访问木马感染系统。 网络安全供应商 Kaspersky 以 Stan Ghouls 为代号追踪此次活动。据知，该威胁行为者至少自 2023 年以来一直活跃，针对俄罗斯、吉尔吉斯斯坦、哈萨克斯坦和乌兹别克斯坦的制造业、金融业和 IT 行业组织鱼叉式钓鱼攻击。 据估计，此次行动已导致乌兹别克斯坦约 50 名受害者受损，俄罗斯也有 10 台设备受到影响。在哈萨克斯坦、土耳其、塞尔维亚和白俄罗斯也发现了其他感染案例，但程度较轻。政府组织、物流公司、医疗机构和教育机构的设备上也记录到了感染企图。 Kaspersky 指出：“鉴于 Stan Ghouls 以金融机构为目标，我们认为其主要动机是经济利益。也就是说，他们大量使用远程访问木马也可能暗示其进行网络间谍活动。” 滥用 NetSupport（一款合法的远程管理工具）对该威胁行为者而言是一种转变，其先前在攻击中利用的是 STRRAT（又名 Strigoi Master）。2025年11月，Group-IB 记录了针对吉尔吉斯斯坦实体以分发该工具的钓鱼攻击。 攻击链相当直接，即使用携带恶意 PDF 附件的钓鱼邮件作为触发感染的跳板。PDF 文档中嵌有链接，点击后会下载一个执行多项任务的恶意加载器： ·     显示虚假错误信息，让受害者误以为应用程序无法在其计算机上运行。 ·     检查此前的远程访问木马安装尝试次数是否少于三次。 ·     若次数达到或超过限制，加载器会抛出错误信息：“尝试次数已达上限。请尝试另一台计算机。” ·     从多个外部域名之一下载 NetSupport 远程访问木马并启动它。 ·     通过以下方式确保 NetSupport 远程访问木马的持久性：在启动文件夹中配置自启动脚本，在注册表的自启动项中添加 NetSupport 启动脚本 (“run.bat”)，并创建一个计划任务来触发执行同一个批处理脚本。 Kaspersky 表示，还在与 Bloody Wolf 相关的基础设施上发现了暂存的 Mirai 僵尸网络载荷，这增加了该威胁行为者可能已扩展其恶意软件库以针对物联网设备的可能性。 该公司总结道：“此次行动已攻击超过 60 个目标，对于一个复杂的定向攻击活动而言，数量非常庞大。这表明这些行为者愿意为其行动投入大量资源。” 此次披露恰逢多起针对俄罗斯组织的网络攻击活动，其中包括 ExCobalt 发起的攻击。ExCobalt 利用已知的安全漏洞和从承包商处窃取的凭证来获取对目标网络的初始访问权限。Positive Technologies 将该对手描述为攻击俄罗斯实体的“最危险组织”之一。 这些攻击的特点是使用各种工具，并试图从受感染的主机窃取 Telegram 凭证和消息历史记录，以及通过向登录页面注入恶意代码来窃取 Outlook Web Access 凭证： ·     CobInt，该组织使用的已知后门。 ·     勒索软件，如 Babuk 和 LockBit。 ·     PUMAKIT，一个用于提升权限、隐藏文件和目录、以及隐藏自身不被系统工具发现的内核级 Rootkit，其早期版本包括 Facefish（2021年2月）、Kitsune（2022年2月）和 Megatsune（2023年11月）。BI.ZONE 将 Kitsune 的使用与一个被称为 Sneaky Wolf（又名 Sneaking Leprechaun）的威胁集群联系起来。 ·     Octopus，一个基于 Rust 的工具包，用于在受感染的 Linux 系统中提升权限。 Positive Technologies 表示：“该组织改变了初始访问的策略，将关注重点从利用互联网上可访问的企业服务（例如 Microsoft Exchange）中的 1-day 漏洞，转移到通过承包商渗透主要目标的基础设施。” 俄罗斯的国家机构、科学企业和 IT 组织也成为了一个此前未知的、被称为 Punishing Owl 的威胁行为者的目标，该组织采取窃取数据并在暗网上泄露的手段。该组织疑似具有政治动机的黑客行动主义实体，自 2025 年 12 月以来一直活跃，其一个社交媒体账户由来自哈萨克斯坦的管理员操作。 攻击使用带有密码保护 ZIP 压缩包的钓鱼邮件，打开后内含一个伪装成 PDF 文档的 Windows 快捷方式（LNK）文件。打开 LNK 文件会导致执行 PowerShell 命令，从远程服务器下载一个名为 ZipWhisper 的窃密程序，以收集敏感数据并将其上传到同一服务器。 另一个将目标对准俄罗斯和白俄罗斯的威胁集群是 Vortex Werewolf。攻击的最终目标是部署 Tor 和 OpenSSH，以便于实现持久的远程访问。该活动此前于 2025 年 11 月由 Cyble 和 Seqrite Labs 曝光，后者称此活动为 Operation SkyCloak。 消息来源: thehackernews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露一起“大规模的活动”，该活动系统地针对云原生环境，搭建恶意基础设施以实施后续攻击。 该活动于 2025 年 12 月 25 日左右被发现，属于 “蠕虫式传播” 攻击，利用暴露的 Docker API、Kubernetes 集群、Ray 面板、Redis 服务器，以及近期披露的 React2Shell（CVE-2025-55182，CVSS 评分 10.0）漏洞。该行动由威胁集群 TeamPCP（别名 DeadCatx3、PCPcat、PersyPCP、ShellForce）实施。 TeamPCP 至少自 2025 年 11 月起活跃，其首个 Telegram 活动记录可追溯至 2025 年 7 月 30 日。该组织的 Telegram 频道目前拥有超 700 名成员，用于发布从加拿大、塞尔维亚、韩国、阿联酋、美国等多国受害者处窃取的数据。安全研究机构 Beelzebub 于 2025 年 12 月首次以 Operation PCPcat 为代号记录了该威胁组织的详细信息。 Flare 安全研究员 Assaf Morag 在上周发布的报告中表示：“该行动的目标是大规模搭建分布式代理与扫描基础设施，进而攻陷服务器、窃取数据、部署勒索软件、实施敲诈并挖掘加密货币。” TeamPCP 以云原生网络犯罪平台为运作模式，利用配置错误的 Docker API、Kubernetes API、Ray 面板、Redis 服务器及存在漏洞的 React/Next.js 应用作为主要感染入口，攻破现代化云基础设施实施数据窃取与敲诈。 此外，遭攻陷的基础设施还被用于多种非法用途，包括加密货币挖矿、数据托管、代理转发与命令与控制（C2）中继。 TeamPCP 并未使用新型攻击手法，而是依托成熟的攻击技术 —— 包括现有工具、已知漏洞和常见配置错误 —— 搭建自动化、批量化的攻击平台。Flare 指出，这一模式将暴露的基础设施转化为 “自我传播的犯罪生态系统”。 漏洞成功利用后，攻击者会从外部服务器部署下一阶段恶意载荷，包括基于 Shell 和 Python 的脚本，用于搜寻新目标以扩大攻击范围。核心组件之一为 proxy.sh，该脚本用于安装代理、点对点（P2P）与隧道工具，并投放各类扫描器，持续在互联网中搜寻存在漏洞与配置错误的服务器。 Morag 表示：“值得注意的是，proxy.sh 在执行时进行环境指纹识别。在运行早期，它会检查自己是否在 Kubernetes 集群内运行。如果检测到 Kubernetes 环境，脚本会转入一个独立的执行路径，并投放一个针对集群的二级有效载荷，这表明 TeamPCP 为云原生目标维护着不同的工具和技术，而不是仅仅依赖通用的 Linux 恶意软件。” 其他有效载荷的简要说明如下： ·     scanner.py：旨在通过从一个名为“DeadCatx3”的 GitHub 账户下载无类别域间路由（CIDR）列表，来查找配置不当的 Docker API 和 Ray 仪表板，同时提供运行加密货币矿工（“mine.sh”）的选项。 ·    kube.py：包含针对 Kubernetes 的功能，以进行集群凭据窃取和基于 API 的资源（如 Pod 和命名空间）发现，然后向可访问的 Pod 中投放“proxy.sh”以进行更广泛的传播，并通过在每个挂载了主机目录的节点上部署特权 Pod 来建立持久后门。 ·    react.py：旨在利用 React 漏洞（CVE-2025-29927）实现大规模的远程命令执行。 ·    pcpcat.py：旨在发现大范围 IP 地址段内暴露的 Docker API 和 Ray 仪表板，并自动部署执行 Base64 编码有效载荷的恶意容器或作业。 ·    Flare 表示，位于 67.217.57[.]240 的 C2 服务器节点也与 Sliver 的运作相关联，Sliver 是一个已知被威胁行为者滥用于攻击后目的的开源 C2 框架。 该安全公司的数据显示，攻击者主要针对亚马逊云（AWS）和微软云（Azure）环境。此类攻击属于机会主义攻击，核心瞄准能支撑其犯罪目标的基础设施，而非特定行业。这导致运行此类云基础设施的机构成为攻击中的 “附带受害者”。 Morag 称：“PCPcat 行动展现了专为现代化云基础设施设计的完整攻击生命周期，涵盖扫描、漏洞利用、持久化、隧道搭建、数据窃取与非法牟利。TeamPCP 的威胁性并非源于技术创新，而是其攻击流程的整合度与攻击规模。” 深度分析显示，该组织的大部分漏洞利用程序与恶意软件均基于已知漏洞和轻度修改的开源工具开发。  “与此同时，TeamPCP 将基础设施攻击、数据窃取与敲诈勒索相结合。窃取的简历数据库、身份信息与企业数据通过 ShellForce 渠道泄露，用于支撑勒索软件、网络诈骗等犯罪活动，并树立其网络犯罪影响力。” 这种混合模式使该组织可同时通过算力与信息非法牟利，形成多元收入来源，提升对抗平台关停的能力。 消息来源: thehackernews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一起影响塞内加尔政府的网络安全事件，已迫使该国一个负责管理国民身份证、护照及其他生物识别数据等敏感信息的办公室关停。 塞内加尔档案自动化管理局（DAF）上周发布通知，警告该国1950万居民，一起网络攻击已迫使政府暂时中止该办公室的业务。 一名高级警官表示，他们正试图恢复系统，并声称公民个人数据的“完整性”“保持完好”。DAF未回应置评请求。 该通知发布前，一个名为Green Blood Group的勒索软件团伙声称已入侵该组织，并窃取了139 GB数据，其中包括公民数据库记录、生物识别数据及移民文件。 黑客分享了被盗数据的样本，以及来自IRIS Corporation Berhad高级总经理Quik Saw Choo的一封电子邮件——这家马来西亚公司近期受委托为塞内加尔制作新的数字身份证。 在这封日期为1月20日的邮件中，Choo警告DAF及塞内加尔其他部委的官员，黑客于1月19日入侵了两台DAF服务器，并窃取了其中一台服务器上的卡片个性化数据。Choo的团队已在其端采取多项措施，包括切断通往一台服务器的网络连接，并更改了另一台服务器的密码。他们还切断了通往所有外国使领馆及其他办公室的网络连接。 Choo表示，IRIS正与马来西亚网络安全专家合作，并计划于 1 月 22 日前往塞内加尔首都达喀尔，开展进一步调查并落实整改措施。 文件自动化管理局与 IRIS 公司均未回应置评请求。 一家当地新闻媒体报告称，截至2月5日，DAF的业务已中断至少五天，且塞内加尔与 IRIS 公司正处于款项纠纷中。截至周一下午，DAF网站仍处于瘫痪状态。 Green Blood Group于今年1月出现，宣称除 DAF 外还攻陷了另外 4 家目标机构。 高级黑客长期将政府身份数据库作为攻击目标，阿根廷、爱沙尼亚等国均曾遭遇类似安全事件。   消息来源: therecord.media： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）警告称，勒索软件攻击者正利用 SmarterMail 中的高危漏洞 CVE-2026-24423，该漏洞可实现无认证远程代码执行。 SmarterMail 是 SmarterTools 公司推出的一款基于 Windows 系统的自托管邮件服务器与协作平台。该产品提供 SMTP/IMAP/POP 邮件服务，同时搭载网页邮箱、日历、通讯录及基础群件功能。 该产品普遍部署于托管服务提供商（MSP）、中小企业及提供邮件服务的托管公司。据 SmarterTools 公司数据，其产品在全球 120 个国家拥有约 1500 万用户。 CVE-2026-24423漏洞影响SmarterTools SmarterMail版本9511之前的构建版本，成功利用可通过ConnectToHub API导致远程代码执行（RCE）。 该漏洞由watchTowr、CODE WHITE和VulnCheck网络安全公司的安全研究人员发现并负责任地披露给了SmarterTools。 供应商于1月15日在SmarterMail Build 9511中修复了该漏洞。 CISA现已将该漏洞纳入已知被利用漏洞（KEV）目录，并标记其在勒索软件攻击活动中遭积极利用。 该联邦机构警示称：“SmarterTools SmarterMail 的 ConnectToHub 接口方法存在关键功能未做身份认证的漏洞。” “该漏洞可使攻击者将 SmarterMail 实例指向搭载恶意操作系统指令的恶意 HTTP 服务器，进而引发指令执行风险。” CISA要求受 22-01 号强制性运营指令约束的联邦机构及实体，需在 2026 年 2 月 26 日前完成安全更新部署、落实厂商建议的缓解措施，或停止使用该产品。 就在 SmarterTools 公司修复 CVE-2026-24423 漏洞同期，watchTowr 研究人员发现另一处身份认证绕过漏洞，内部编号为 WT-2026-0001。 该未分配公开编号的漏洞可实现无验证重置管理员密码，且在厂商发布补丁后不久便遭黑客利用。 研究人员依据匿名线索、受攻陷系统日志中的特定调用记录，以及与漏洞代码路径完全匹配的端点得出该结论。 此后，SmarterMail 又修复了多项标注为 “高危” 的安全漏洞，建议系统管理员将产品升级至最新版本，即 1 月 30 日发布的 9526 版本。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 意大利罗马大学（La Sapienza）近日成为网络攻击目标，其IT系统遭受影响，导致该教育机构内部运营大面积瘫痪。 校方于本周早些时候首次通过社交媒体披露了此次事件，称其IT基础设施“已成为网络攻击的目标”。作为预防性措施并确保数据完整与安全，学校已下令立即关闭所有网络系统。 罗马大学是欧洲在校学生规模最大的高校，在册学生超 11.25 万名；目前已就该事件报备有关部门，并成立技术专项小组，启动漏洞修复与系统恢复工作 截至撰稿时，该校官方网站仍无法访问。其Instagram官方账号持续更新状态，显示恢复工作仍在进行中。根据昨日发布的公告，校方已设立临时“信息服务点”，为学生们提供因当前数字系统与数据库无法访问而难以获取的各类信息。 尽管校方未透露攻击具体类型及实施者详情，但意大利《晚邮报》援引内部消息称，此次事件系名为Femwar02的亲俄黑客组织发起的勒索软件攻击，已造成数据被加密。 该媒体依据恶意软件特征与攻击模式分析指出，此次攻击与Bablock/Rorschach勒索软件高度相似。该勒索软件变种于2023年首次出现，以加密速度快、定制化程度高为特点。网络安全公司Check Point分析认为，该勒索软件整合了Babuk、LockBit v2.0、DarkSide三款勒索软件的泄露源代码开发而成。 据《晚邮报》消息源透露，攻击者已索要赎金，但校方工作人员未打开赎金通知，以避免触发 72 小时倒计时机制，因此赎金金额尚未明确。目前，该校技术人员正联合意大利计算机安全事件响应小组（CSIRT）、国家网络安全局（ACN）及邮政警察部门专家开展工作，通过未受影响的备份数据推进系统恢复。 需注意的是，尽管Rorschach勒索软件未在暗网设立专门的勒索数据泄露站点，但被窃数据仍可能被传播或转售给其他数据勒索集团，因此数据泄露至公网的风险仍极高。 基于当前情况，罗马大学全体师生需高度警惕钓鱼攻击，切勿点击陌生信息中的链接，并持续监控个人账户是否存在可疑活动。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 罗马尼亚国家输油管道运营商 Conpet 披露，本周二遭遇网络攻击，其业务系统受干扰，公司官网也已无法访问。 Conpet 运营着近 4000 公里输油管网，负责向罗马尼亚全国炼油厂输送国产及进口原油，以及汽油、液态乙烷等石油衍生品。 该公司在周三发布的新闻稿中表示，此次事件仅影响企业 IT 基础设施，未干扰核心运营，也未影响合同履约能力。Conpet 补充称，官网因攻击下线，目前正联合国家网络安全部门开展事件调查，推进受影响系统恢复工作。 该输油管道运营商已通报罗马尼亚有组织犯罪与恐怖主义调查局（DIICOT），并就此次事件提起刑事诉讼。Conpet 表示：“需说明的是，运营技术系统（监控与数据采集系统及通信系统）未受影响，因此公司核心业务 —— 通过国家石油运输系统输送原油与汽油 —— 运行正常，未出现任何中断。”而受此次事件影响，公司官网 www.conpet.ro 目前无法访问。 尽管 Conpet 尚未披露攻击类型，但 Qilin 勒索软件团伙已宣称对此次攻击负责，并于今日早些时候将 Conpet 列入其暗网数据泄露平台。该威胁团伙还声称，已从 Conpet遭攻陷的系统中窃取近 1TB 文件，并泄露十余张内部文件照片（含财务信息及护照扫描件），以此证实数据泄露属实。 Conpet 在Qilin的泄露网站上（From:BleepingComputer） Qilin 团伙于 2022 年 8 月以“Agenda”为名开始作为勒索软件即服务（RaaS）运营。过去四年间，其宣称攻击了近 400 个目标，包括日产汽车、日本朝日啤酒、出版业巨头李企业集团、病理服务商 Synnovis 以及澳大利亚维多利亚州法院服务局等知名机构。 BleepingComputer 已就此事联系 Conpet 寻求置评，但截至发稿未获回复。科技媒体 BleepingComputer 就此次事件联系 Conpet 求证，但暂未获得回应。 此前在去年 12 月，罗马尼亚水务局（全国水务管理机构）、奥尔特尼亚能源集团（该国最大煤电能源生产商）也曾遭遇勒索软件攻击。2024 年 12 月，罗马尼亚大型电力供应与分销商电力集团（Electrica Group）遭 Lynx 索软件攻击；2024 年 2 月，超 100 家罗马尼亚医院因遭遇 Backmydata 勒索软件攻击，医疗管理系统瘫痪，陷入全面停摆。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 意大利外交部长 Tajani 表示，该国已挫败一系列针对外交部办公机构及冬奥会官网、相关酒店的俄关联网络攻击。据他透露，意大利已挫败一系列俄关联网络攻击，攻击目标包括外交部驻外办公机构（含华盛顿办事处）、冬奥会官方网站及科尔蒂纳丹佩佐地区的冬奥相关酒店。 兼任副总理的Tajani 强调：“我们挫败了一系列针对外交部办公机构（首当其冲是华盛顿办事处）及部分冬奥场所（含科尔蒂纳地区酒店）的网络攻击。”他明确指出“这些行动由俄罗斯主导”。据意大利安莎通讯社报道，Tajani 是在华盛顿出访期间向记者披露此事的。 亲俄黑客组织 Noname057(16) 宣称实施了这些分布式拒绝服务（DDoS）攻击。近期该组织已通过自身渠道公布目标清单，涵盖科尔蒂纳地区多家酒店及外交部等政府网站。 该组织声称，发起攻击是对意大利亲乌立场的报复，同时列出其他攻击目标，包括意大利驻华盛顿大使馆及驻悉尼、多伦多、巴黎领事馆。得益于意大利有关部门及国家网络安全局的应对处置，此次攻击造成的影响目前较为有限。 目前监测到的攻击强度尚未达到极高水平，但各方已明确，当前威胁态势中存在可发起大规模分布式拒绝服务攻击的僵尸网络，这类攻击需通过复杂方案才能缓解。例如近期 AISURU 僵尸网络发起的攻击就具备这样的规模，但该僵尸网络似乎并不属于Noname057(16)这类亲俄激进黑客组织的攻击武器库。 意大利内政部长 Piantedosi 宣布，意方将在米兰至多洛米蒂赛区的各个场馆部署6000名安全人员，其中包括拆弹小组、狙击手及反恐部队。 消息来源: securityaffairs.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： GreyNoise 发现一起针对 Citrix Gateway 的双模式侦察活动，攻击者利用超过 6.3 万个住宅代理及亚马逊云科技（AWS）基础设施，搜寻登录面板并枚举系统版本。 2026年1月28日至2月2日期间，GreyNoise 追踪到一起协同进行的侦察活动，目标直指 Citrix ADC 和 NetScaler 网关。攻击者先通过超 6.3 万个住宅代理探测登录面板，随后切换至 AWS 基础设施，在 11.1 万余次会话中集中枚举暴露在外的系统版本。 该活动共记录来自超 6.3 万个 IP 的 111834 次会话，其中 79% 的流量直指 Citrix 网关蜜罐，可见攻击者是针对性开展基础设施测绘，而非随机爬取。GreyNoise 发布的报告指出：“数据足以说明问题 ——111834 次会话、超 6.3 万个独立源 IP，且对 Citrix 网关蜜罐的针对性攻击率达 79%，这一比例至关重要，远高于基准扫描噪声水平，表明攻击者是刻意开展基础设施测绘，而非投机性爬取。” 就在 2026 年 2 月 1 日前夕，发生了两起针对 Citrix 基础设施的相关活动。其一活动通过全网扫描探测登录面板，另一场则快速核查软件版本，可见这是一场协同化的侦察行动。 登录面板探测环节高度依赖住宅代理。攻击者将大量流量集中在一个大型 Azure IP 上，剩余流量则来自全球数千个合法民用 IP。每个 IP 均配有唯一浏览器指纹，助力攻击者绕过地理围栏及信誉过滤机制。 版本核查环节由 10 个 AWS IP 发起，持续超 6 小时，且均使用同一老旧 Chrome 浏览器指纹。这种快速且精准的活动态势表明，攻击者在锁定潜在目标后迅速开展行动。 基于 Azure 的扫描器通过 VPN 及隧道转发流量，且采用略低于标准的最大分段大小（MSS），可见攻击者具备严谨的操作安全意识。住宅代理源自 Windows 设备，但会经 Linux 代理转发，以此混入民用流量规避检测。AWS 版本扫描器则使用了只有在数据中心环境下才可能配置的巨帧设置，这证实了攻击者依赖的是专用基础设施，而非普通的消费级网络。 TCP 协议分析显示，尽管基础设施配置不同，但三者共用同一框架：Azure 流量走 VPN 隧道、住宅代理扫描经 Linux 代理转发、AWS 扫描则依赖数据中心级网络配置。三者共享相同 TCP 特征，表明三场攻击活动依托同一底层工具集。 报告补充道：“尽管基础设施类型不同，但所有指纹的 TCP 选项顺序完全一致，这表明即便操作层面相互隔离，底层仍共用同一工具或框架”。 此次侦察活动大概率是攻击前的基础设施测绘，攻击者重点瞄准 EPA 安装文件，或为后续针对性漏洞利用做准备。企业应重点监测异常用户代理、快速登录枚举行为、老旧浏览器指纹及针对敏感路径的外部访问请求。防护措施包括限制基础设施暴露面、强化身份认证机制、隐藏系统版本信息、标记可疑地区流量。 该报告（内含入侵指标）总结道：“此次侦察活动大概率是漏洞利用前的基础设施测绘，对 EPA 安装文件路径的精准瞄准，表明攻击者有意针对已知 Citrix ADC 漏洞开发版本专属利用程序，或开展漏洞验证”。 消息来源:securityaffairs.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Step Finance 发布公告称，因公司高管团队设备遭黑客入侵，平台损失价值 4000 万美元的数字资产。 该平台于1月31日检测到此次入侵，并联系了网络安全研究人员，后者帮助其追回了部分被盗资产。 Step Finance是一个构建于Solana区块链上的去中心化金融（DeFi）平台和分析工具，允许用户可视化展示、跟踪、分析并管理自身加密资产及持仓情况。 该平台被视为最活跃且使用最广泛的Solana仪表板之一，还可通过自身界面支持交易执行、代币兑换、质押及其他去中心化金融操作。平台同时发行自有代币 $STEP，该代币交易量相对有限。 1 月 31 日，Step Finance 发布公告称，平台多个金库钱包遭入侵，威胁行为者利用了某一 “已知攻击载体” 实施攻击。 Step Finance 在初始声明中表示：“今日早些时候（亚太时段），我方多个金库钱包遭一名技术老练的攻击者入侵。” 该平台已向有关部门报备，并与网络安全专业团队紧密协作，快速制定漏洞修复及风险补救措施。 区块链分析机构 CertiK 当时通报，被盗资产折合 261854 枚 SOL 代币，价值约 2890 万美元，但 Step Finance 经调查确认，本次损失总额约为 4000 万美元。 得益于Token22保护机制和合作伙伴的协调，目前已追回价值约 370 万美元的 Remora 相关资产及 100 万美元的其他持仓。 受此次事件影响，平台已暂停部分业务，全力推进安全防护加固工作。Step Finance 指出，其旗下子平台 Remora Markets 未受此次事件波及，且所有 rToken 代币仍保持 1:1 全额储备。 平台建议用户在调查结束前，暂停所有 $STEP 代币相关操作。平台将对漏洞攻击前的系统状态进行快照留存，针对 $STEP 代币持有者的解决方案目前正在推进中。 Step Finance 未披露攻击细节及攻击者身份，这引发了外界对该事件可能是 “卷款跑路” 或 “内鬼作案” 的猜测，相关质疑目前尚未得到妥善回应。 该平台 4000 万美元的损失数额虽触目惊心，但仅占 1 月全球加密资产失窃总金额的约十分之一。CertiK 本周早些时候发布的数据显示，今年 1 月全球加密资产失窃总金额达 3.98 亿美元，其中仅约 436.6 万美元被追回。 2025 年全年共发生 147 起已确认的加密领域黑客攻击事件，总损失近 28.7 亿美元；而历史损失最高年份仍为 2022 年，当年 179 起成功攻击造成的损失达 37.1 亿美元。 消息来源:bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文