安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

一款名为"ZionSiphon"的OT恶意软件，专门针对以色列水处理及海水淡化系统发起攻击。该样本硬编码以色列境内IP地址范围（2.52.0.0/14、79.176.0.0/12等），并嵌入"支持伊朗、巴勒斯坦和也门反对犹太复国主义侵略"及"毒害特拉维夫和海法人口"等政治宣传字符串，明确指向意识形态驱动的网络攻击。该样本存在致命逻辑缺陷：其IP范围验证函数使用错误异或密钥，导致即使目标位于以色列境内也会触发自毁程序。分析表明此版本可能为测试样本或开发中版本。

新型"PowMix"僵尸网络自2025年12月起持续攻击捷克共和国各层级组织。攻击者冒充德国零售品牌EDEKA及捷克数据保护法监管机构，向人力资源、法律和招聘机构投递以合规为主题的钓鱼邮件，诱饵文件包含薪酬数据及真实法律条文，诱骗IT、金融、物流等行业求职者点击。研究人员观察到该活动与2025年8月ZipLine行动存在战术重叠，包括ZIP载荷隐藏、滥用Heroku平台及基于CRC32的ID生成，但攻击者最终意图尚未明确。

新型勒索软件"JanaWare"正通过定制版Adwind远程访问木马（RAT）定向攻击土耳其用户。该恶意软件采用多态混淆技术，通过钓鱼邮件传播，利用Google Drive链接诱导受害者下载恶意JAR文件。其显著特征包括强制地理围栏机制——仅当系统区域设置为土耳其语且外部IP位于土耳其境内时才会激活，有效规避安全研究人员的自动化分析。

安全研究人员发现Taboola广告像素存在严重隐私漏洞。某欧洲金融平台审计显示，该平台批准的Taboola像素在未经用户同意的情况下，将已登录银行会话通过302重定向链秘密路由至Temu追踪端点。攻击链始于sync.taboola.com，经服务器重定向跳转至temu.com，并携带允许跨域传输凭证的响应头，使Temu能够读取银行用户的Cookie并建立追踪档案。

安全研究员发现自由职业平台Fiverr数千份私人文件被Google索引，可在搜索结果中直接访问。泄露数据包括身份证、驾照、工作合同、密码、API密钥、税务记录和发票等敏感信息。问题源于Fiverr使用Cloudinary存储用户文件时采用公开URL而非签名或过期URL，且部分链接被放置在公开页面上导致搜索引擎爬取。研究员在40天前通知Fiverr安全团队但未获回复。Fiverr否认这是安全事件，声称用户已同意分享文件。

欧洲刑警组织协调21国执法部门开展"断电行动"（Operation PowerOFF）最新阶段，针对分布式拒绝服务（DDoS）攻击平台实施大规模打击。行动中已向超过7.5万名使用DDoS攻击服务的个人发出警告，逮捕4名嫌疑人，查封53个域名，并签发25份搜查令。此次行动重点打击"Booter服务"——即允许用户付费租用僵尸网络发起DDoS攻击的租赁平台。这些服务常被运营者伪装成合法压力测试工具，但因缺乏目标所有权验证机制，实质用于非法攻击。