安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

研究人员披露，在调查近期“WantToCry”勒索软件攻击事件时，发现多个勒索软件运营者通过滥用ISPsystem提供的虚拟机基础设施来托管和分发恶意有效载荷。调查显示，不同恶意活动中使用的Windows虚拟机具有相同主机名，表明其来源于ISPsystem的默认模板。受影响的活动涉及WantToCry、LockBit、Qilin、Conti、BlackCat/ALPHV等多个恶意软件家族。

研究人员披露，一场针对NGINX服务器及管理面板（如Baota Panel）的网络流量劫持活动正在进行，攻击者利用与React2Shell漏洞相关的入侵向NGINX注入恶意配置，将合法流量转发至攻击者控制的后端服务器。该活动涉及多个亚洲国家顶级域名（.in、.id、.pe、.bd、.th）、中国托管基础设施（使用宝塔面板）以及政府和教育类顶级域名（.edu、.gov）。

自动化投资平台Betterment披露，其系统在今年1月遭到入侵，攻击者窃取了用户的电子邮件地址及其他个人信息。数据泄露通知服务网站Have I Been Pwned分析显示，约1435174个账户信息被泄露，涉及姓名、地理位置、出生日期、实际地址、电话号码、设备信息以及雇主相关数据。Betterment表示，攻击者通过社会工程方式获得部分系统访问权限，并伪装成促销邮件实施加密货币奖励骗局。

Microsoft表示，其人工智能安全团队开发了一款轻量级扫描器，用于检测开放权重大型语言模型中的后门。研究人员指出，该工具基于三种可观测信号来识别异常模型行为，并可在保持较低误报率的同时标记潜在后门。Microsoft介绍，该研究关注模型权重（指机器学习模型中支撑决策逻辑并将输入数据转换为预测输出的可学习参数）篡改和模型投毒（将隐藏行为直接嵌入模型权重中，导致模型在检测到特定触发条件时执行非预期操作）等风险场景。

罗马尼亚国家石油管道运营商Conpet披露，其企业IT基础设施遭到网络攻击并导致公司网站关闭。Conpet运营着近4000公里的管道网络，向罗马尼亚全国各地的炼油厂供应国内和进口原油及其衍生物，包括汽油和液态乙烷，该公司表示事件未影响其技术运营（SCADA系统和电信系统）或合同履行能力，正在在国家网络安全部门协助下调查并恢复受影响系统。Qilin勒索软件团伙声称对此负责，并从Conpet被入侵的系统中窃取了近1TB的文件，并泄露了十几张包含财务信息和护照扫描件的内部文件照片，作为入侵的证据。

大量Zendesk客服工单系统用户反馈称，近期收到大量由Zendesk支持系统自动生成的“激活账户”等邮件。多名收件人表示，个人陆续收到了数百条主题奇怪或令人担忧的消息，这些邮件看似来自合法的客户支持门户网站，但他们并未在这些网站注册账户或提交工单。安全研究人员指出，攻击者可能正在滥用Zendesk的工单或账户创建流程，导致邮箱被大规模邮件轰炸。