安天长期研究和积累流量侧网络行为检测能力，沉淀形成安天自主研发的网络行为检测引擎，安天定期发布网络行为检测能力升级通告，帮助客户洞察流量侧网络威胁趋势，及时调整检测策略，提升网络威胁检测效率。

1. 网络流量威胁趋势

通过监测网络流量发现基础中间组件利用、病毒木马活动、钓鱼行为活跃度提升，其中Mirai僵尸网络、挖矿木马较为活跃；综合威胁情报分析发现新一轮的网络钓鱼活动已开启。

网络威胁主要集中在僵尸网络、挖矿木马、钓鱼网站等。涉及的组织或家族有：肚脑虫、海莲花、暗象、APT33、TA505、8220挖矿、Mirai、DorkBot、Beapy、Coffee、H2Miner等。

本期活跃的安全漏洞信息

1Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)

2Spring Security RegexRequestMatcher 认证绕过漏洞(CVE-2022-22978)

3VMware Workspace ONE Access 模板注入漏洞(CVE-2022-22954)

4VMware Workspace ONE Access 认证漏洞(CVE-2022-22972)

5LanProxy 目录遍历漏洞(CVE-2021-3019)

6Microsoft MSHTML 远程代码执行漏洞(CVE-2021-40444)

值得关注的安全事件

1Zimbra RCE 漏洞被大规模利用

近日，美国网络安全和基础设施安全局（CISA）在其“已知遭利用漏洞”目录中增加了两个漏洞，分别是CVE-2022-27925和CVE-2022-37042，这两个高度严重的漏洞与Zimbra Collaboration中的缺陷有关，这两个漏洞都可以链接到受影响的电子邮件服务器上，实现未经身份验证的远程代码执行，网络安全公司 Volexity发现未知威胁行为者在大规模疯狂利用Zimbra实例。

2滥用Google等网站进行窃密的网络钓鱼活动频繁活跃

近日，安全研究人员发现新型大规模网络钓鱼活动正在滥用 Google Sites 和 Microsoft Azure Web App 创建欺诈性网站，黑客通过在各种合法网站上发布网络钓鱼页面的链接，以此来增加流量并提升恶意网站的搜索引擎排名，目前，黑客通过网络钓鱼活动试图窃取 MetaMask 钱包和加密货币交易所的凭证。建议用户不应完全信任搜索结果排名靠前的网站。

2. 安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增网络攻击行为特征涉及远程代码执行漏洞、钓鱼邮件、反序列化漏洞等高风险，涉及SQL注入、远控木马、僵尸网络等中风险，还包括侦察探测、目录遍历等低风险。

3. 更新列表

本期安天网络行为检测引擎规则库部分更新列表如下：

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2022081719，建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.2 SP1及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，对网络安全形势研判给出专业解读。