GlobalProtect VPN遭230万次扫描会话的探测

首页 > 安全钻研 > 安全传递 > 安全简讯

GlobalProtect VPN遭230万次扫描会话的探测

颁布功夫 2025-11-24

1. GlobalProtect VPN遭230万次扫描会话的探测

11月20日，实时谍报公司GreyNoise监测到，针对Palo Alto Networks GlobalProtect VPN登录门户的恶意扫描活动在2025年11月14日至19日间出现发作式增长，24幼时内活动量激增40倍，创90天新高，一周内达到峰值。这次攻击潮聚焦于GlobalProtect的*/global-protect/login.esp URI端点，该页面是用户进行VPN身份验证的公开入口，期间累计检测到230万次接见尝试，指标国度集中在美国、墨西哥和巴基斯坦。GreyNoise分析指出，攻击特点出现高度组织化：沉复出现的TCP/JA4t指纹、一样ASN（自治系统编号）的反复使用及活动顶峰功夫一致性，批注与汗青攻击存在关联。重要攻击源ASN为AS200373（3xK Tech GmbH，62% IP位于德国）和AS208885（Noyobzoda Faridduni Saidilhom，15% IP位于加拿大）。汗青数据显示，此类扫描顶峰80%吓宗新安全缝隙披露，Palo Alto产品关联性尤为显著。

https://www.bleepingcomputer.com/news/security/globalprotect-vpn-portals-probed-with-23-million-scan-sessions/

2. 迪拜消防巨头NAFFCO遭INC勒索软件攻击

11月20日，近日，迪拜消防安全巨头NAFFCO FZCO遭臭名远扬的INC勒索软件团伙攻击，1TB内部数据被窃并泄露至暗网，引刊行业高度关注。NAFFCO作为海湾地域最大消防设备及系统供给商之一，年收入达44亿美元，客户涵盖迪拜哈利法塔、阿布扎比卢浮宫等标志性构筑，以及ADNOC等石油巨头及当局机构。INC团伙于11月17日在暗网泄露网站颁布NAFFCO信息，并附上47张数据截图，显示泄露内容涉及公司运营详情（如员工姓名、职位、联系方式、身份证照片及签证信息）、年度合同清单（含客户名称、金额及销售代表）、单独合同文件及项目资金数据等。此类敏感信息泄露将导致员工面对身份偷窃及社会工程攻击风险，同时露出公司业务运营细节，造成严沉名誉侵害。INC勒索软件团伙成立于2023年7月，可能与俄罗斯关联，以“多沉勒索”作案手法闻名。该团伙已造成453名受害者，攻击指标涵盖医院、学堂、当局机构及科技公司。

https://cybernews.com/security/naffco-ransomware-incident-data-leak/

3. Sturnus木马：绕过加密的全职能设备节造威胁

11月20日，一款名为Sturnus的新型安卓银行木马正引发网络安全界高度警惕。该木马具备“齐全节造设备”能力，其攻击指标直指WhatsApp、Telegram、Signal等加密通讯软件，通过捕获屏幕内容绕过端到端加密，窃取银行凭证、监控实时对话，并暗藏诓骗行为。ThreatFabric分析指出，Sturnus虽处于开发阶段或有限测试期，但已对准中南欧金融机构，预示攻击者正为大规模攻击做筹备。该木马技术先进，在通讯和谈和设备支持上超过传统木马家族。其通讯模式仿照紫翅椋鸟鸣叫，在明文、RSA、AES新闻间随机切换，通过HTTP POST注册设备并实现密钥互换后，选取AES-256加密传输数据。数据窃取依赖两种互补机造：HTML覆盖层和无阻碍服务键盘纪录，可实时读取屏幕所有内容，蕴含联系人、对话线程及新闻，直接绕初步到端加密。它还通过设备治理员权限加强悠久性，监控解锁事务、阻止权限撤销及卸载，并追踪系统调换、网络状态、SIM卡更换等，调整战术躲避分析。

https://securityaffairs.com/184878/cyber-crime/sturnus-new-android-banking-trojan-targets-whatsapp-telegram-and-signal.html

4. 汽车电商平台Revolution Parts遭大规模数据泄露

11月23日，近日，美国亚利桑那州坦佩市的汽车电商平台Revolution Parts遭逢网络攻击，攻击者宣称窃取了超过500万用户的幼我信息，蕴含电子邮箱、IP地址、电话号码、家庭住址、设备数据及全名等主题信息。该公司通过经销商网络每年销售价值超6亿美元的汽车零部件，其用户数据涵盖订单详情和账号注册信息，与攻击者宣称的窃取内容高度吻合。攻击申明颁布于驰名数据泄露论坛，该平台是网络罪犯互换被盗数据的重要渠路。Cybernews钻研团队对攻击者提供的样本数据进行了核查，证实样本蕴含用户全名、电子邮箱、电话号码、家庭住址、IP地址及设备数据，这些信息与电商平台用户购物时填写的订单详情及注册信息齐全一致。钻研团队指出，此类数据可被用于身份偷窃和精准垂钓攻击，攻击者可通过度析用户偏好、地理地位等信息，假装成合法企业诱骗用户泄露更敏感信息，或通过发送带毒邮件诱导受害者下载恶意软件。

https://cybernews.com/security/revolution-parts-data-breach-claims/

5. 伊比利亚航空因供给商安全缝隙致客户数据泄露

11月23日，西班牙国度航空公司伊比利亚航空近日传递，因第三方供给商系统遭未经授权接见，导致部门客户信息泄露。据威胁谍报平台Hackmanac披露的邮件显示，泄露数据涉及客户姓名、电子邮件及伊比利亚航空俱乐部会员卡鉴别号码，但账户登录凭证、密码及银行支付信息未被波及。此前，一名网络威胁行为者在黑客论坛宣称获取了77GB据称来自该航空公司的数据，并以15万美元公开叫卖。攻击者宣称数据蕴含A320/A321技术文档、AMP守护文件及发起机信息等内部资料，但航空公司明确将泄露归因于供给商，强调其自身系统未受直接影响。事务产生后，伊比利亚航空当即启动安全和谈，执行技术及组织措施节造事态。公司已对客户账户关联的电子邮件地址增长额表�；げ�，如操作前需通过验证码验证，并持续监控系统可疑活动。有关部门已获通知，正与涉事供给商协同调查。航空公司建议客户警惕可疑信息，通过指定电话汇报异�；疃�，防备网络垂钓及社会工程攻击。

https://www.bleepingcomputer.com/news/security/iberia-discloses-customer-data-leak-after-vendor-security-breach/

6. Cox Enterprises遭Oracle零日缝隙攻击致数据泄露

11月22日，近日，美国企业集团Cox Enterprises因Oracle E-Business Suite的零日缝隙CVE-2025-61882遭黑客入侵，导致9,479名幼我数据泄露。该公司于9月29日发现可疑活动，溯源至8月9日至14日期间攻击者利用该未知缝隙执行攻击。Cox Enterprises作为年收入230亿美元、占有5.5万名员工的跨国企业，涉及电信、汽车服务等业务，其后盾运营平台遭渗入后，威胁行为者Clop勒索软件于10月27日将Cox列入暗网数据泄露网站，并颁布窃守信息。Oracle虽在10月5日颁布补丁，但缝隙已被提前利用。Cox在通知中未披露具体泄露数据类型，但为受影响者提供12个月免费身份偷窃�；ぜ靶庞嗫胤�。值妥贴心的是，Clop同期颁布了多家新受害企业，涵盖汽车、软件、科技行业，罗技、哈佛大学等机构此前亦证实存在有关缝隙。

https://www.bleepingcomputer.com/news/security/cox-enterprises-discloses-oracle-e-business-suite-data-breach/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研