HackerNews 编译，转载请注明出处：

一名威胁行为体在高度复杂的网络攻击中入侵九家墨西哥政府机构，窃取数亿公民记录。

该活动从2025年12月底持续至2026年2月中旬，凸显了现代威胁格局的危险转变。

...

HackerNews 编译，转载请注明出处：

微软追踪的财务动机威胁行为体Storm-2755正在劫持加拿大员工账户，在薪资重定向（又称"薪资海盗"）攻击中窃取工资。

...

HackerNews 编译，转载请注明出处：

运营全球最大比特币ATM网络之一的Bitcoin Depot披露，上月系统遭入侵后，攻击者从其加密钱包窃取价值366.5万美元的比特币。

...

HackerNews 编译，转载请注明出处：

Drift协议在一场精心策划的复杂攻击中损失至少2.8亿美元，威胁行为体夺取了其安全委员会管理权限。

...

HackerNews 编译，转载请注明出处：

与伊朗关联的Handala黑客入侵了FBI局长卡什·帕特尔的个人邮箱账户，并公布了照片和文件。FBI已确认该入侵事件，称被盗数据并非近期内容，也不包含任何政府数据。

上周五，Handala威胁行为体在其网站上宣布帕特尔已被列入受害者名单，声称在数小时内就攻破了"所谓坚不可摧的FBI系统"。

黑客表示，此举是对FBI查封Handala域名及美国政府悬赏1000万美元征集该组织成员信息的回应。

然而，黑客实际入侵的是FBI局长的个人Gmail收件箱。

"卡什·帕特尔的所有个人机密信息，包括邮件、对话、文件甚至机密文件，现均可公开下载，"Handala黑客在公布入侵证据前表示。

公告发布后，该威胁行为体公布了一组带水印的个人照片和从帕特尔收件箱提取的文件，以及其担任FBI局长之前的邮件往来。

FBI在向BleepingComputer发表的声明中表示，已注意到黑客"针对局长帕特尔个人邮箱信息"的攻击。

该局进一步指出，已采取一切必要预防措施，以减少该活动可能带来的负面影响。

"FBI已注意到恶意行为体针对局长帕特尔个人邮箱信息的攻击，我们已采取所有必要措施降低与此活动相关的潜在风险。所涉信息为历史性质，不涉及任何政府信息。"——联邦调查局

Handala黑客组织此前曾入侵医疗技术巨头Stryker的微软环境，并擦除了近8万台设备。

该组织又称Handala Hack、Hatef和Hamsa，于2023年12月出现，是为伊朗情报与安全部（MOIS）实施网络活动的黑客行动主义 persona。

在关于局长帕特尔个人邮箱账户被入侵的声明中，FBI重申了国务院"正义奖赏"项目"就识别伊朗Handala黑客团队信息"提供的1000万美元悬赏。

...

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

DIY 连锁品牌 ManoMano 正通知客户发生数据泄露事件，该事件由黑客入侵第三方服务提供商导致。

...

HackerNews 编译，转载请注明出处：

GreyNoise 发现一起针对 Citrix Gateway 的双模式侦察活动，攻击者利用超过 6.3 万个住宅代理及亚马逊云科技（AWS）基础设施，搜寻登录面板并枚举系统版本。
2026年1月28日至2月2日期间，GreyNoise 追踪到一起协同进行的侦察活动，目标直指 Citrix ADC 和 NetScaler 网关。攻击者先通过超 6.3 万个住宅代理探测登录面板，随后切换至 AWS 基础设施，在 11.1 万余次会话中集中枚举暴露在外的系统版本。

该活动共记录来自超 6.3 万个 IP 的 111834 次会话，其中 79% 的流量直指 Citrix 网关蜜罐，可见攻击者是针对性开展基础设施测绘，而非随机爬取。GreyNoise 发布的报告指出：“数据足以说明问题 ——111834 次会话、超 6.3 万个独立源 IP，且对 Citrix 网关蜜罐的针对性攻击率达 79%，这一比例至关重要，远高于基准扫描噪声水平，表明攻击者是刻意开展基础设施测绘，而非投机性爬取。”

就在 2026 年 2 月 1 日前夕，发生了两起针对 Citrix 基础设施的相关活动。其一活动通过全网扫描探测登录面板，另一场则快速核查软件版本，可见这是一场协同化的侦察行动。

登录面板探测环节高度依赖住宅代理。攻击者将大量流量集中在一个大型 Azure IP 上，剩余流量则来自全球数千个合法民用 IP。每个 IP 均配有唯一浏览器指纹，助力攻击者绕过地理围栏及信誉过滤机制。

版本核查环节由 10 个 AWS IP 发起，持续超 6 小时，且均使用同一老旧 Chrome 浏览器指纹。这种快速且精准的活动态势表明，攻击者在锁定潜在目标后迅速开展行动。

基于 Azure 的扫描器通过 VPN 及隧道转发流量，且采用略低于标准的最大分段大小（MSS），可见攻击者具备严谨的操作安全意识。住宅代理源自 Windows 设备，但会经 Linux 代理转发，以此混入民用流量规避检测。AWS 版本扫描器则使用了只有在数据中心环境下才可能配置的巨帧设置，这证实了攻击者依赖的是专用基础设施，而非普通的消费级网络。

TCP 协议分析显示，尽管基础设施配置不同，但三者共用同一框架：Azure 流量走 VPN 隧道、住宅代理扫描经 Linux 代理转发、AWS 扫描则依赖数据中心级网络配置。三者共享相同 TCP 特征，表明三场攻击活动依托同一底层工具集。

报告补充道：“尽管基础设施类型不同，但所有指纹的 TCP 选项顺序完全一致，这表明即便操作层面相互隔离，底层仍共用同一工具或框架”。

此次侦察活动大概率是攻击前的基础设施测绘，攻击者重点瞄准 EPA 安装文件，或为后续针对性漏洞利用做准备。企业应重点监测异常用户代理、快速登录枚举行为、老旧浏览器指纹及针对敏感路径的外部访问请求。防护措施包括限制基础设施暴露面、强化身份认证机制、隐藏系统版本信息、标记可疑地区流量。

该报告（内含入侵指标）总结道：“此次侦察活动大概率是漏洞利用前的基础设施测绘，对 EPA 安装文件路径的精准瞄准，表明攻击者有意针对已知 Citrix ADC 漏洞开发版本专属利用程序，或开展漏洞验证”。

...

HackerNews 编译，转载请注明出处：

HackerNews 编译，转载请注明出处：

谷歌旗下威胁情报公司Mandiant于周五发布报告称，发现一类 “威胁活动呈扩张态势” 的攻击，其攻击手法与黑客组织ShinyHunters发起的勒索导向攻击高度一致。

该类攻击借助高级语音钓鱼（又称钓鱼电话）及仿冒目标企业的虚假凭证窃取站点，通过收集单点登录凭证及多因素认证验证码，非法侵入受害者环境。攻击最终目标是针对云原生软件即服务应用，窃取敏感数据与内部通信内容，并对受害者实施勒索。

已将相关活动归类为多个攻击集群进行追踪，包括 UNC6661、UNC6671 及 UNC6240（即ShinyHunters），以此覆盖这些组织可能存在的作案手法演变或模仿已知攻击战术的情况。

Mandiant指出：“尽管这种瞄准身份提供商和SaaS平台的攻击模式，与我们先前观察到的、ShinyHunters品牌勒索攻击前的威胁活动一致，但随着攻击者为了勒索而寻求获取更多敏感数据，其瞄准的云平台范围仍在持续扩大。此外，在近期事件中，他们似乎升级了勒索策略，包括骚扰受害企业的员工等。”

钓鱼攻击与凭证窃取详情如下：

...