GlobalProtect VPN遭230万次扫描会话的探测

首页 > 清静研究 > 清静转达 > 清静简讯

GlobalProtect VPN遭230万次扫描会话的探测

宣布时间 2025-11-24

1. GlobalProtect VPN遭230万次扫描会话的探测

11月20日，实时情报公司GreyNoise监测到，针对Palo Alto Networks GlobalProtect VPN登录门户的恶意扫描运动在2025年11月14日至19日间泛起爆发式增添，24小时内运动量激增40倍，创90天新高，一周内抵达峰值。此次攻击潮聚焦于GlobalProtect的*/global-protect/login.esp URI端点，该页面是用户举行VPN身份验证的果真入口，时代累计检测到230万次会见实验，目的国家集中在美国、墨西哥和巴基斯坦。GreyNoise剖析指出，攻击特征泛起高度组织化：重复泛起的TCP/JA4t指纹、相同ASN（自治系统编号）的重复使用及运动岑岭时间一致性，批注与历史攻击保存关联。主要攻击源ASN为AS200373（3xK Tech GmbH，62% IP位于德国）和AS208885（Noyobzoda Faridduni Saidilhom，15% IP位于加拿大）。历史数据显示，此类扫描岑岭80%先于新清静误差披露，Palo Alto产品关联性尤为显著。

https://www.bleepingcomputer.com/news/security/globalprotect-vpn-portals-probed-with-23-million-scan-sessions/

2. 迪拜消防巨头NAFFCO遭INC勒索软件攻击

11月20日，克日，迪拜消防清静巨头NAFFCO FZCO遭污名昭著的INC勒索软件团伙攻击，1TB内部数据被窃并泄露至暗网，引刊行业高度关注。NAFFCO作为海湾地区最大消防装备及系统供应商之一，年收入达44亿美元，客户涵盖迪拜哈利法塔、阿布扎比卢浮宫等标记性修建，以及ADNOC等石油巨头及政府机构。INC团伙于11月17日在暗网泄露网站宣布NAFFCO信息，并附上47张数据截图，显示泄露内容涉及公司运营详情（如员工姓名、职位、联系方法、身份证照片及签证信息）、年度条约清单（含客户名称、金额及销售代表）、单独条约文件及项目资金数据等。此类敏感信息泄露将导致员工面临身份偷窃及社会工程攻击危害，同时袒露公司营业运营细节，造成严重声誉损害。INC勒索软件团伙建设于2023年7月，可能与俄罗斯关联，以“多重勒索”作案手法著名。该团伙已造成453名受害者，攻击目的涵盖医院、学校、政府机构及科技公司。

https://cybernews.com/security/naffco-ransomware-incident-data-leak/

3. Sturnus木马：绕过加密的全功效装备控制威胁

11月20日，一款名为Sturnus的新型安卓银行木马正引发网络清静界高度小心。该木马具备“完全控制装备”能力，其攻击目的直指WhatsApp、Telegram、Signal等加密通讯软件，通过捕获屏幕内容绕过端到端加密，窃取银行凭证、监控实时对话，并隐藏诓骗行为。ThreatFabric剖析指出，Sturnus虽处于开发阶段或有限测试期，但已瞄准中南欧金融机构，预示攻击者正为大规模攻击做准备。该木马手艺先进，在通讯协媾和装备支持上逾越古板木马家族。其通讯模式模拟紫翅椋鸟鸣叫，在明文、RSA、AES新闻间随机切换，通过HTTP POST注册装备并完成密钥交流后，接纳AES-256加密传输数据。数据窃取依赖两种互补机制：HTML笼罩层和无障碍服务键盘纪录，可实时读取屏幕所有内容，包括联系人、对话线程及新闻，直接绕起源到端加密。它还通过装备治理员权限增强长期性，监控解锁事务、阻止权限作废及卸载，并追踪系统变换、网络状态、SIM卡替换等，调解战略规避剖析。

https://securityaffairs.com/184878/cyber-crime/sturnus-new-android-banking-trojan-targets-whatsapp-telegram-and-signal.html

4. 汽车电商平台Revolution Parts遭大规模数据泄露

11月23日，克日，美国亚利桑那州坦佩市的汽车电商平台Revolution Parts遭遇网络攻击，攻击者宣称窃取了凌驾500万用户的小我私家信息，包括电子邮箱、IP地点、电话号码、家庭住址、装备数据及全名等焦点信息。该公司通过经销商网络每年销售价值超6亿美元的汽车零部件，其用户数据涵盖订单详情和账号注册信息，与攻击者声称的窃取内容高度吻合。攻击声明宣布于着名数据泄露论坛，该平台是网络罪犯交流被盗数据的主要渠道。Cybernews研究团队对攻击者提供的样本数据举行了核查，证实样本包括用户全名、电子邮箱、电话号码、家庭住址、IP地点及装备数据，这些信息与电商平台用户购物时填写的订单详情及注册信息完全一致。研究团队指出，此类数据可被用于身份偷窃和精准垂纶攻击，攻击者可通太过析用户偏好、地理位置等信息，伪装成正当企业诱骗用户泄露更敏感信息，或通过发送带毒邮件诱导受害者下载恶意软件。

https://cybernews.com/security/revolution-parts-data-breach-claims/

5. 伊比利亚航空因供应商清静误差致客户数据泄露

11月23日，西班牙国家航空公司伊比利亚航空克日转达，因第三方供应商系统遭未经授权会见，导致部分客户信息泄露。据威胁情报平台Hackmanac披露的邮件显示，泄露数据涉及客户姓名、电子邮件及伊比利亚航空俱乐部会员卡识又名码，但账户登录凭证、密码及银行支付信息未被波及。此前，一名网络威胁行为者在黑客论坛声称获取了77GB据称来自该航空公司的数据，并以15万美元果真叫卖。攻击者宣称数据包括A320/A321手艺文档、AMP维护文件及发念头信息等内部资料，但航空公司明确将泄露归因于供应商，强调其自身系统未受直接影响。事务爆发后，伊比利亚航空连忙启动清静协议，实验手艺及组织步伐控制事态。公司已对客户账户关联的电子邮件地点增添特殊�；げ�，如操作前需通过验证码验证，并一连监控系统可疑运动。相关部分已获通知，正与涉事供应商协同视察。航空公司建议客户小心可疑信息，通过指定电话报告异�Ｔ硕�，提防网络垂纶及社会工程攻击。

https://www.bleepingcomputer.com/news/security/iberia-discloses-customer-data-leak-after-vendor-security-breach/

6. Cox Enterprises遭Oracle零日误差攻击致数据泄露

11月22日，克日，美国企业集团Cox Enterprises因Oracle E-Business Suite的零日误差CVE-2025-61882遭黑客入侵，导致9,479名小我私家数据泄露。该公司于9月29日发明可疑运动，溯源至8月9日至14日时代攻击者使用该未知误差实验攻击。Cox Enterprises作为年收入230亿美元、拥有5.5万名员工的跨国企业，涉及电信、汽车服务等营业，厥后台运营平台遭渗透后，威胁行为者Clop勒索软件于10月27日将Cox列入暗网数据泄露网站，并宣布窃守信息。Oracle虽在10月5日宣布补丁，但误差已被提前使用。Cox在通知中未披露详细泄露数据类型，但为受影响者提供12个月免费身份偷窃�；ぜ靶庞眉嗫胤�。值得注重的是，Clop同期宣布了多家新受害企业，涵盖汽车、软件、科技行业，罗技、哈佛大学等机构此前亦证实保存相关误差。

https://www.bleepingcomputer.com/news/security/cox-enterprises-discloses-oracle-e-business-suite-data-breach/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究