HackerNews 编译，转载请注明出处： 网络安全公司Malwarebytes最新研究显示，近半数（44%）移动用户每日遭遇诈骗威胁，多数用户担忧重要文件丢失及生产力损失。该公司对美国、英国、奥地利、德国和瑞士的1300名成年人开展调查并发布《点击、滑动、诈骗》报告。 尽管报告聚焦个人安全威胁，但鉴于大量企业允许自带设备（BYOD），这些风险正持续向企业领域蔓延。数据显示美国（51%）和英国（49%）用户风险暴露率最高。 核心发现： 识别难度激增 66%受访者承认难以辨别诈骗与合法通讯，超三分之一（36%）曾因此受害，近五分之一（36%）遭遇过恶意软件感染。 攻击渠道分布 主要威胁渠道包括：电子邮件（65%）、电话（53%）、短信（50%）、社交媒体（47%）、即时通讯软件（40%）及交易平台（36%）。 社会工程主导 53%用户遭遇过社交工程攻击，其中19%受害。这与Zimperium研究相印证：2024年9月数据显示82%钓鱼网站针对移动设备，同年8月每日移动钓鱼攻击峰值超1000次。 勒索威胁蔓延 37%用户遭遇勒索类威胁，17%实际受害，具体包括：勒索软件（25%）、性勒索（24%）、深度伪造诈骗（20%）。值得注意的是，18%用户经历过虚拟绑架威胁。 心理创伤加剧： 75%受害者遭受心理伤害，其中心理健康问题占比46%，勒索骚扰达25%。Malwarebytes高级隐私倡导者David Ruiz指出：“移动威胁既是技术问题，更是人身安全问题。随着深度伪造与AI技术被犯罪者利用，我们需超越意识培养，为用户配备防护工具与知识。数字生活不该以诈骗为代价——无需感到羞耻，我们应让民众自信识别、阻断并举报任何隐私性诈骗。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 思科Talos最新报告显示，俄罗斯威胁组织再次使用破坏性恶意软件瞄准乌克兰关键基础设施。2022年1月至2月俄乌冲突爆发期间，攻击者曾协调部署WhisperGate、HermeticWiper、IsaacWiper及CaddyWiper等擦除器恶意软件；同年4月，Industroyer2被用于攻击工业控制系统。 随着俄罗斯在网络空间加剧活动，2023年12月乌克兰最大移动运营商Kyivstar的IT基础设施遭部分摧毁。最新事件中，乌克兰某关键基础设施实体成为新型擦除器PathWiper的攻击目标。 该恶意软件与HermeticWiper存在相似性——后者被归因于俄罗斯军事情报总局（GRU）关联的APT组织沙虫（亦被追踪为Seashell Blizzard、APT44、Iridium、TeleBots和Voodoo Bear），在2024年2月俄罗斯全面入侵乌克兰时被发现。Talos指出，两者均以主引导记录（MBR）和NTFS相关构件为破坏目标，但机制存在差异：PathWiper会扫描所有连接的驱动器与卷，识别卷标并记录有效数据；而HermeticWiper仅遍历0到100编号的物理驱动器。 攻击者利用合法端点管理框架执行恶意命令并部署PathWiper，其使用的文件名和操作均模仿该管理工具的控制台特征。Talos解释称：“管理工具控制台发出的指令会被终端客户端接收，并以批处理文件形式执行。其命令行部分与Impacket命令执行相似，但此类命令不一定表明环境中存在Impacket。” PathWiper运行时尝试卸载卷，并用随机数据覆盖文件系统构件，每个驱动器和卷对应独立线程。目标构件包括MBR、MFT（主文件表）、MFTMirr（镜像文件）、LogFile（日志文件）、Boot（引导文件）、Bitmap（位图）、TxfLog（事务日志）、Tops（拓扑文件）及AttrDef（属性定义）。 2022年部分针对乌克兰的擦除器攻击被归因于GRU下属APT组织“Cadet Blizzard”，该组织成员已于去年被美国司法部起诉。研究人员警示：“擦除器恶意软件的持续演进，凸显俄乌战争长期化背景下乌克兰关键基础设施面临的威胁未减。”       消息来源：  securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Cisco Talos披露，黑客正利用OpenAI ChatGPT和InVideo AI等热门人工智能工具的虚假安装程序作为诱饵，传播CyberLock、Lucky_Gh0$t勒索软件及新型恶意软件Numero等威胁。 “基于PowerShell开发的CyberLock勒索软件主要针对受害者系统中的特定文件进行加密，”研究员切坦·拉古普拉萨德在报告中指出，“Lucky_Gh0$t则是Yashma勒索软件的变种，属于Chaos勒索软件家族的第六代迭代，仅对勒索程序二进制文件进行了微调。”而Numero属于破坏性恶意软件，通过篡改Windows操作系统图形界面组件使设备瘫痪。 这些正版AI工具在B2B销售和营销领域广受欢迎，表明相关行业的个人与机构成为攻击者的主要目标。虚假网站“novaleadsai[.]com”疑似冒充正规潜在客户开发平台NovaLeads，可能通过SEO投毒技术提升搜索引擎排名。该网站以“首年免费使用，后续月费95美元”为诱饵，诱使用户下载内含恶意.NET可执行文件(“NovaLeadsAI.exe”)的压缩包。该文件实为加载器，用于部署基于PowerShell的CyberLock勒索软件。 该勒索软件具备权限提升功能，若未获管理员权限将自我提权执行，随后加密“C:”、“D:”、“E:”分区中特定扩展名的文件，并投放勒索信索要5万美元门罗币赎金。值得注意的是，攻击者在勒索信中宣称赎金将用于援助巴勒斯坦、乌克兰、非洲、亚洲等“长期遭受不公”地区的妇女儿童。“与无辜生命尤其是儿童的牺牲相比，这笔金额微不足道。遗憾的是，我们认定多数人不会主动施以援手，迫使我们出此下策。”勒索信写道。最后阶段，攻击者利用系统原生二进制工具“cipher.exe”配合“/w”参数清除磁盘可用空间，阻碍取证恢复。 另一攻击者则通过伪造ChatGPT高级版安装程序传播Lucky_Gh0$t勒索软件。恶意自解压安装包内含仿冒微软程序“dwm.exe”的勒索程序“dwn.exe”，同时捆绑微软官方开源AI工具。一旦运行安装程序，脚本即触发勒索程序。这款Yashma变种在加密1.2GB以下文件前会删除卷影副本及备份。勒索信包含专属解密ID，要求受害者通过Session通讯软件联系支付赎金获取解密工具。 此外，黑客还利用AI视频创作平台InVideo AI的伪造安装程序传播破坏性恶意软件Numero。该安装程序作为投放器包含三个组件：Windows批处理文件、VB脚本及Numero可执行程序。启动后，批处理文件通过无限循环调用VB脚本，每60秒中断并重启Numero进程。这款C++编写的32位程序会检测分析工具和调试器进程，随后将桌面窗口标题、按钮及内容覆盖为数字串“1234567890”。 此次披露恰逢谷歌旗下Mandiant曝光利用Facebook和LinkedIn恶意广告的欺诈活动。该活动将用户诱导至冒充Luma AI、Canva Dream Lab、Kling AI等正规AI视频工具的虚假网站。据Morphisec和Check Point本月初揭露，该活动被归因于越南关联组织UNC6032，至少自2024年中持续活跃。 攻击流程中，用户访问虚假网站后被要求输入提示词生成视频。无论输入内容如何，网站都会触发下载基于Rust的投放器STARKVEIL。该程序投放三款信息窃取类模块化恶意软件：使用TOR隧道获取.NET有效载荷的下载器GRIMPULL；收集系统信息及密码管理器/加密货币钱包数据的.NET后门FROSTRIFT；具备键盘记录、远程命令执行等功能的.NET远控木马XWorm。STARKVEIL还通过Python投放器COILHATCH，借助DLL侧加载技术启动上述载荷。 “这些AI工具已不仅针对设计师，任何人都可能被看似无害的广告诱骗，”Mandiant警告道，“尝试最新AI工具的诱惑可能让任何人沦为受害者。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   网络安全研究人员发现新型利用Python软件包索引（PyPI）传播机器学习模型恶意载荷的攻击活动。ReversingLabs披露，攻击者通过Pickle文件格式将恶意软件植入伪装成AI工具的开源组件，相关软件包声称提供阿里云AI服务的Python SDK，实际却部署窃密程序。 恶意软件包aliyun-ai-labs-snippets-sdk、ai-labs-snippets-sdk及aliyun-ai-labs-sdk表面为AI开发工具，实则不包含任何功能性代码。攻击者将信息窃取程序嵌入PyTorch模型文件（本质为压缩的Pickle文件），利用初始化脚本触发恶意载荷。该程序具备以下窃密能力： 窃取用户身份信息及网络配置数据 探测设备所属组织架构 提取.gitconfig版本控制配置文件 研究人员发现，恶意代码专门检测是否存在阿里会议（AliMeeting）开发者特征，显示攻击目标可能聚焦特定区域。 PyTorch模型加载机制与Pickle反序列化漏洞的结合形成攻击突破口。Pickle允许序列化对象执行任意代码的特性，使其成为绕过传统安全检测的理想载体。三个恶意软件包中有两个通过此方式投放全功能恶意程序。ReversingLabs逆向工程师Karlo Zanki指出：“当前安全工具对恶意机器学习模型的检测能力仍处于原始阶段，现有防护体系缺乏针对此类攻击的必要功能。” 尽管PyPI官方已下架相关软件包，但其在存活期间累计被下载约1600次。攻击者可能通过社会工程或钓鱼手段诱导开发者安装，具体诱导方式尚未明确。该事件凸显AI/ML工具成为软件开发核心组件后，亟需建立更严格的文件验证机制与零信任原则来应对ML制品的安全风险。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年5月19日至22日，欧洲刑警组织（Europol）与欧洲司法组织（Eurojust）协调发起的“终局行动”（Operation ENDGAME）成功摧毁了全球勒索软件基础设施。执法部门共查封300台服务器和650个域名，并签发20份国际逮捕令。 欧洲刑警组织在新闻稿中披露：“行动周期间，海牙总部设立了指挥中心，来自加拿大、丹麦、法国、德国、荷兰、英国和美国的调查人员与欧洲网络犯罪中心（EC3）及其联合网络犯罪行动特别工作组（J-CAT）展开合作。自2024年调查启动以来，欧洲司法组织始终提供关键司法协作支持，确保各国当局高效交换信息并协调调查行动。” 当局还查获价值350万欧元的加密货币，使累计缴获金额突破2120万欧元。此次行动延续了2024年打击僵尸网络的成果，旨在遏制不断演变的恶意软件威胁和网络犯罪集团。 行动重点打击勒索软件部署前的初始入侵恶意软件，已瓦解包括Bumblebee、Lactrodectus、Qakbot、Hijackloader、DanaBot、Trickbot和Warmcookie在内的多个恶意软件家族，这些工具普遍应用于勒索软件即服务（RaaS）模式。执法机构同时针对核心运营者签发20份国际通缉令。 多名恶意软件幕后主脑已被列入国际公开通缉名单。德国将于5月23日起将其中18人列入欧盟头号通缉名单，指控其提供或运营用于重大勒索攻击的工具。 欧洲刑警组织执行主任Catherine De Bolle强调：“即便犯罪分子更新装备重组架构，此次行动再次证明执法部门具备灵活应对能力。通过破坏勒索软件赖以生存的服务链，我们正从源头斩断犯罪生态。”     消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现名为“os-info-checker-es6”的恶意npm包，其伪装成操作系统信息工具，在受感染系统中秘密投递下一阶段恶意载荷。Veracode在向《黑客新闻》提供的报告中指出：“该攻击活动采用基于Unicode的隐写术隐藏初始恶意代码，并通过Google Calendar短链接动态分发最终载荷。” “os-info-checker-es6”由用户“kim9123”于2025年3月19日上传至npm仓库，截至5月15日已被下载2001次。该用户还上传了另一个名为“skip-tot”的npm包（下载量94次），其中将“os-info-checker-es6”列为依赖项。虽然前五个版本未显现数据窃取或恶意行为，但2025年5月7日更新的版本在“preinstall.js”文件中植入混淆代码，通过解析Unicode“私有使用区”字符提取下一阶段载荷。 恶意代码通过向Google Calendar事件短链接（calendar.app[.]google/<字符串>）发送Base64编码字符串（解码后指向IP地址140.82.54[.]223的远程服务器）建立通信。Veracode指出：“攻击者利用Google Calendar这类受信任的合法服务作为中间层托管C2链接，这种策略能有效规避检测并增加攻击初始阶段的阻断难度。”目前尚未发现后续载荷分发，可能表明攻击活动仍处于测试阶段、暂时休眠或已结束，亦或C2服务器仅响应特定条件的设备。 应用安全公司Aikido补充指出，另有三个npm包（vue-dev-serverr、vue-dummyy、vue-bit）将“os-info-checker-es6”列为依赖项，怀疑属于同一攻击活动。Veracode强调：“该恶意包展现了npm生态中复杂的多阶段攻击威胁，攻击者从测试行为逐步升级至部署成熟恶意软件。” 此次披露恰逢软件供应链安全公司Socket发布2025上半年威胁报告，指出攻击者主要采用六类技术：typosquatting（拼写劫持）、Go仓库缓存滥用、混淆代码、多阶段执行、slopsquatting（相似包劫持）以及合法服务与开发工具滥用。安全研究员Kirill Boychenko与Philipp Burckhardt建议：“防御者需关注安装后脚本异常、文件覆写及未经授权外联等行为特征，采用静态/动态分析、版本锁定及CI/CD日志审查等手段，在恶意依赖项进入生产环境前实施阻断。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司FortiGuard事件响应团队（FGIR）在一份报告中披露，某伊朗国家支持的黑客组织对中东地区一家关键国家基础设施（CNI）实施了持续近两年的网络入侵。此次攻击活动从2023年5月持续至2025年2月，涉及“大规模间谍行动及疑似网络预置行为（一种用于维持长期访问以获取未来战略优势的战术）”。Fortinet指出，该攻击的技术特征与已知伊朗国家级威胁组织Lemon Sandstorm（原Rubidium，亦追踪为Parisite、Pioneer Kitten、UNC757）存在重叠。 该组织自2017年起活跃，攻击目标涵盖美国、中东、欧洲及澳大利亚的航空航天、石油天然气、水务和电力行业。工业网络安全公司Dragos分析称，该组织曾利用Fortinet、Pulse Secure和Palo Alto Networks的VPN已知漏洞获取初始访问权限。2023年，美国网络安全与情报机构指控Lemon Sandstorm对美国、以色列、阿塞拜疆和阿联酋的实体部署勒索软件。 此次针对CNI实体的攻击分为四个阶段，攻击者根据受害方的防御措施持续升级工具链： 2023年5月15日至2024年4月29日，攻击者利用窃取的登录凭证入侵受害者SSL VPN系统，在对外服务器部署Web Shell，并植入Havoc、HanifNet、HXLibrary三款后门程序维持长期访问； 2024年4月30日至2024年11月22日，攻击者追加部署Web Shell及新型后门NeoExpressRAT，使用plink、Ngrok等工具渗透内网，定向窃取受害者邮件数据并进行横向移动至虚拟化基础设施； 2024年11月23日至2024年12月13日，在受害者启动初步封堵措施后，攻击者部署更多Web Shell及后门MeshCentral Agent、SystemBC； 2024年12月14日至今，攻击者尝试利用Biotime漏洞（CVE-2023-38950、CVE-2023-38951、CVE-2023-38952）重新渗透网络，并对11名员工发起钓鱼攻击以窃取Microsoft 365凭证 值得注意的是，Havoc和MeshCentral都是开源工具，分别作为命令和控制（C2）框架和远程监控和管理（RMM）软件。另一方面，SystemBC指的是一种商品恶意软件，通常是勒索软件部署的前兆。 下面简要介绍了攻击中使用的其他自定义恶意软件家族和开源工具： Havoc：开源C2框架 MeshCentral：开源远程监控管理（RMM）软件 SystemBC：常用于勒索攻击前期的商品化恶意软件 HanifNet：未签名的.NET可执行文件，支持远程命令执行（2023年8月首次出现） HXLibrary：恶意IIS模块，通过Google Docs文档获取C2配置（2023年10月部署） CredInterceptor：基于DLL的凭证窃取工具，针对LSASS进程内存（2023年11月使用） RemoteInjector：载荷加载器，用于启动Havoc等后续攻击模块（2024年4月投入） NeoExpressRAT：疑似通过Discord通信的后门程序（2024年8月出现） DarkLoadLibrary：开源加载器，用于激活SystemBC（2024年12月部署） 攻击者使用的C2服务器（apps.gist.githubapp[.]net、gupdate[.]net）与Lemon Sandstorm历史活动存在关联。Fortinet指出，受害者受限的运营技术（OT）网络是主要攻击目标，攻击者通过链式代理工具和定制化植入程序绕过网络分段限制进行横向移动，后期甚至串联四种不同代理工具访问内部网段。尽管攻击者渗透了OT相邻系统所在的网络分区，但尚未发现其侵入OT网络的证据。 分析显示，大部分恶意活动为人工键盘操作（依据命令错误及规律工作时间判断），且攻击者可能早在2021年5月15日已获得网络访问权限。Fortinet强调：“攻击者在整个入侵过程中展现出极高的战术素养，通过定制化工具链维持持久性并规避检测，其操作纪律性暗示该组织可能具有国家背景或掌握充足资源。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现一款伪装成合法WordPress插件的危险恶意软件变种。该恶意软件名为“WP-antymalwary-bot.php”，可让攻击者持久访问受感染网站、注入恶意代码，并能向网站访问者推送远程广告。 Wordfence威胁情报团队在2025年1月22日的常规网站清理中发现，该恶意软件模仿真实插件的结构，包含标准格式和元数据。但它具有多个特别危险的后门功能：紧急登录所有管理员（emergency_login_all_admins）功能允许攻击者使用GET请求和硬编码密码以管理员身份登录；执行管理员命令（execute_admin_command）功能通过REST API接收命令并无权限检查地执行，使攻击者能将PHP代码注入主题头部或清除插件缓存。 该插件最令人担忧的是自我复制特性。若被删除，它会通过修改后的wp-cron.php文件重新安装。该文件在网站被访问时运行，成为隐秘的再感染渠道：将恶意插件重新写入系统并自动激活。 恶意软件每分钟都会与位于塞浦路斯的命令与控制（C2）服务器通信，发送受感染网站的URL和时间戳。这种利用WordPress内置调度器的报告功能属于非常规策略，用于维护被入侵网站的数据库。 根据Wordfence，WP-antymalwary-bot.php的主要感染迹象包括： 包含check_plugin或emergency_login的异常GET请求 被篡改的wp-cron.php文件 主题header.php文件中的代码注入 通过base64解码URL插入的JavaScript广告 近期变种显示其复杂程度提升，允许动态更新广告推送URL（部分实现仍不完整），表明该恶意软件正在积极开发中并可能持续改进。 为降低感染风险，网站管理员应： 定期审计已安装插件和主题 移除未使用或可疑文件 监控未经授权的修改 确保文件完整性 禁用直接文件编辑功能 使用强管理员凭证和多因素认证（MFA） 实施定期异地备份 部署可靠的安全插件或防火墙       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Zimperium在《2025全球移动威胁报告》中披露，超50%的移动设备仍在使用过时操作系统，极易遭受网络攻击。报告同时强调，随着企业移动化进程加速，攻击者正利用智能手机的广泛部署特性，推动针对移动终端的恶意攻击及应用程序漏洞数量正在显著增加。 短信钓鱼（Smishing）目前占所有移动钓鱼事件的69.3%。与此同时，语音钓鱼（vishing）和短信钓鱼攻击总量分别上升28%和22%。 Keeper Security首席执行官Darren Guccione表示：“复杂且大规模的移动钓鱼活动兴起反映了不断演变的威胁态势。网络犯罪分子利用看似官方的钓鱼页面来剥削用户信任。” 报告概述了影响移动设备安全性的多个关键因素，包括： 50%的移动设备运行过时操作系统 超过25%的移动设备无法升级至最新操作系统 60%以上的iOS应用和34%的Android应用缺乏基本代码保护 近60%的iOS应用和43%的Android应用存在个人身份信息（PII）数据泄露风险 恶意软件仍是攻击者的主要工具，木马程序使用量同比增长50%。研究人员已识别出Vultur、DroidBot、Errorfather和BlankBot等新型恶意软件家族。 尽管对移动威胁的认知度有所提高，移动应用安全性仍是持续存在的弱点。通过非官方商店下载的应用尤其危险，使用户和组织暴露于木马和数据泄露风险。 Sectigo高级研究员Jason Soroko表示：“侧载（Sideloading）绕过了官方应用商店的严格审查流程，使设备暴露于恶意软件和未授权代码。” 内部开发的应用也持续面临严重风险。Salt Security网络安全战略总监Eric Schwake评论称：“威胁行为者认为移动应用具有吸引力，因为它们通常管理敏感用户数据。”设计缺陷、不安全的API接口和薄弱的安全措施被列为导致漏洞持续存在的主要因素。 为防范此类威胁，建议组织和个人采用实时移动威胁检测、确保定期更新和补丁管理，并实施零信任模型等综合安全框架。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，一种名为DslogdRAT的新型恶意软件正通过利用Ivanti Connect Secure（ICS）中已修复的安全漏洞进行传播。该恶意软件与Web Shell在2024年12月期间通过零日漏洞CVE-2025-0282被植入日本多家机构的系统。JPCERT/CC研究员Yuma Masubuchi在周四发布的报告中指出：“攻击者当时利用该零日漏洞安装恶意软件。” CVE-2025-0282是ICS中的关键远程代码执行漏洞，Ivanti已于2025年1月初修复。该漏洞已被中文背景的网络间谍组织UNC5337用作零日漏洞，用于投递SPAWN恶意软件生态系统及DRYHOOK、PHASEJAM等工具，后两种恶意软件尚未关联到已知威胁组织。 JPCERT/CC和美国网络安全与基础设施安全局（CISA）发现，攻击者后续利用同一漏洞投递SPAWN的更新版本SPAWNCHIMERA和RESURGE。本月初，谷歌旗下Mandiant披露另一个ICS漏洞CVE-2025-22457被用于分发与中国黑客组织UNC5221关联的SPAWN恶意软件。 目前尚不确定使用DslogdRAT的攻击是否属于UNC5221操纵的SPAWN恶意软件活动。攻击链利用CVE-2025-0282部署Perl Web Shell，进而投递DslogdRAT等载荷。DslogdRAT通过套接字连接外联服务器发送系统信息，接收执行Shell命令、文件传输及代理劫持等指令。 威胁情报公司GreyNoise同时警告，过去24小时内针对ICS和Ivanti Pulse Secure（IPS）设备的可疑扫描活动激增9倍，涉及270多个独立IP地址；过去90天累计超过1000个IP。其中255个IP被判定为恶意，643个标记为可疑。恶意IP使用TOR出口节点，可疑IP关联小型托管商，主要来源国为美国、德国和荷兰。该公司表示：“此波扫描可能预示协同侦察及未来攻击准备，尽管尚未关联具体CVE，但类似峰值常出现在实际攻击前。”     消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文