上个月传出有人针对Palo Alto Networks旗下的SSL VPN平台GlobalProtect发动攻击，一天内攻击流量激增40倍，5天内监测到超过230万次访问GlobalProtect的活动，半个月后类似活动再次出现，安全公司上周已发布预警。

12月2日，威胁情报公司GreyNoise发现新一轮攻击，攻击者通过超过7000个IP地址尝试登录GlobalProtect，这些攻击均来自一家德国公司3xK GmbH运营的基础设施。相关攻击并非首次发生，GreyNoise比对了三个客户端的特征后发现，这些客户端曾在9月下旬至10月中旬用于其他攻击行动。当时GreyNoise发现，攻击者使用的自治系统编号（ASN）此前从未与恶意基础设施有关联。对此，我们已联系Palo Alto Networks，但在截稿前尚未收到回复。

然而，仅过一天，威胁态势发生变化，攻击者转而针对SonicWall防火墙设备，大规模扫描其防火墙操作系统SonicOS的API。GreyNoise指出，尽管攻击所用基础设施和目标厂商有所改变，但所观测到的攻击客户端特征完全一致。