安天长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，赋能客户提升网络安全整体水平。

1. 网络流量威胁趋势

近期勒索软件攻击较为活跃，研究人员近期发现一种冒充安全公司的SophosEncrypt勒索软件，该勒索软件使用Rust语言进行编写。SophosEncrypt勒索软件使用AES256加密算法，在加密文件的每个文件夹中放置一个名为information.hta的勒索信，并在加密完成后自动打开该勒索信。勒索信中记录了受害者被攻击的信息及相关联系信息。该勒索软件会对Windows桌面壁纸进行更改，并利用“Sophos”相关字样进行伪装。研究人员发现了与该勒索软件相关的Tor站点，该站点并不是该勒索组织的数据泄露站点，似乎是与该勒索软件相关的操作面板。

与此同时，研究人员还发现NoEscape勒索组织针对企业进行双重勒索攻击。攻击者对Windows、Linux系统和VMware ESXi服务器进行攻击，窃取数据并对文件进行加密。该勒索组织所勒索的金钱从数十万美元到一千多万美元不等，并已经在其数据泄露网站上列出了来自不同国家和行业的十个受害者。研究人员在对NoEscape勒索组织的加密程序进行研究后表示，该组织使用的加密程序与Avaddon组织的非常相似，其加密逻辑和文件格式几乎相同，加密算法只有一个显著区别。

本期活跃的安全漏洞信息

1Microsoft Edge 远程执行代码漏洞(CVE-2023-36887)

2Office和 Windows HTML 远程代码执行漏洞(CVE-2023-36884)

3Cisco SD-WAN vManage REST API漏洞(CVE-2023-20214)

4Apache EventMesh RabbitMQ-Connector plugin 反序列化漏洞(CVE-2023-26512)

5Apache StreamPipes权限提升漏洞(CVE-2023-31469)

值得关注的安全事件

1安天发布《“游蛇”黑产团伙近期钓鱼攻击活动分析》报告

近期，安天CERT监测到“游蛇”黑产团伙发起的新一轮钓鱼攻击活动。在此次攻击活动中，该团伙投放的恶意程序利用图标伪装成图片文件，运行后使用WMI查询CPU温度以检测当前环境是否为虚拟机，检测通过后从C2服务器中获取多个载荷文件。该恶意程序利用其中的Videos.jpg掩饰其恶意行为，让用户误认为自己打开的确实是一个图片文件。36.exe将自身程序中名为“TXT”的资源写入C:\1.txt文件中，并将该内容转换为Shellcode；该Shellcode解码并执行一个可执行程序，最终为Videos.exe创建计划任务。Videos.exe下载执行WinService.exe，WinService.exe读取service.log文件的内容，将其转换为Shellcode，并最终执行Gh0st远控木马变种。

2研究人员发现一种名为WormGPT的恶意工具

研究人员近期在黑客论坛中发现了一种名为WormGPT的恶意攻击，该工具是专门为恶意攻击活动设计的GPT模型。WormGPT是一个基于GPTJ语言模型的人工智能模块，于2021年开发。它拥有一系列功能，包括无限字符支持、聊天内存保留和代码格式化等。WormGPT据称是在各种数据源上进行训练的，特别是集中在与恶意软件相关的数据上。然而，其开发者对训练过程中使用的特定数据集进行保密。研究人员对该工具进行测试，发现由该工具生成的钓鱼邮件具备较高的诱骗性，因此个人和组织需要意识到这些风险，防范此类由AI驱动的网络钓鱼攻击。

2. 安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增网络攻击行为特征涉及任意文件上传、命令注入、账号接管等高风险，涉及远程执行、目录遍历等中风险。

3. 更新列表

本期安天网络行为检测引擎规则库部分更新列表如下：

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2023071919，建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.2 SP1及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，研判网络安全形势并给出专业解读。