安天长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，赋能客户提升网络安全整体水平。

1. 网络流量威胁趋势

近期，研究人员发现自2023年初以来，威胁行为者正在使用一种基于 Mirai 的新型僵尸网络NoaBot作为加密货币挖矿活动的一部分。新的僵尸网络 NoaBot 的功能包括可蠕虫的自传播程序和 SSH 密钥后门，用于下载和执行其他二进制文件或将自身传播给新的受害者。Mirai的源代码于 2016 年被泄露，它是许多僵尸网络的鼻祖，最近的一个是InfectedSlurs，它能够发起分布式拒绝服务 (DDoS) 攻击。NoaBot 可能与另一个僵尸网络活动有关，该活动涉及名为P2PInfect的基于 Rust 的恶意软件家族，该恶意软件家族最近收到了针对目标路由器和物联网设备的更新。

同时，研究人员还发现一些受 Royal 和 Akira 勒索软件团伙侵害的组织已成为冒充安全研究人员的威胁行为者的目标，该威胁行为者承诺攻击原始攻击者并删除被盗的受害者数据。Royal 和 Akira 勒索软件操作均采用双重勒索策略——窃取信息后对受害者系统进行加密，并威胁称除非支付赎金，否则就会泄露数据。网络安全公司表示，它已经调查了“几起案件”，在这些案件中，支付赎金的两个勒索软件组织的受害者被自称是道德黑客或对该领域有深入了解的安全研究人员的威胁行为者接触。这名冒牌研究人员主动提出提供对攻击者服务器上仍然存在的被盗数据的访问证明，并表示只要支付最多 5 个比特币（当时约为 19 万美元）的费用，他们就可以将其删除。研究人员介绍了 2023 年 10 月和 11 月的两个案例，网络犯罪分子联系了受到 Royal 和 Akira 勒索软件危害的组织。

本期活跃的安全漏洞信息

1IBM AIX和IBM VIOS输入验证错误漏洞(CVE-2023-45173)

2VMware权限绕过漏洞(CVE-2023-34063)

3Apache IoTDB UDTFJexl 远程代码执行漏洞(CVE-2023-46226)

4Apache Solr Metrics API 信息泄露(CVE-2023-50290)

5GitLab任意用户密码重置漏洞(CVE-2023-7028)

值得关注的安全事件

1LockBit勒索软件针对Capital Health发动攻击并威胁泄露其数据

LockBit勒索软件组织声称对2023年11月首都健康医院网络遭受的网络攻击负责，并威胁在明天之前泄露被盗数据和谈判聊天记录。Capital Health是新泽西州和宾夕法尼亚州部分地区的初级医疗保健服务提供商，运营两家大型医院以及多家卫星和专科诊所。去年 11月，该组织在网络遭受网络攻击后IT系统出现中断，并警告称该事件将影响其运营至少一周。首都健康网站上的安全事件通知显示，所有系统已恢复，运营已恢复正常，同时已采取额外的安全措施，以防止类似事件再次发生。Capital Health 的最新更新表明，他们仍在调查数据是否在网络攻击中被盗。

2网络安全研究人员开发了一种概念验证 (PoC) 代码，该代码利用Apache OfBiz 开源企业资源规划 (ERP) 系统中最近披露的一个关键缺陷来执行内存驻留有效负载。该漏洞为CVE-2023-51467（CVSS 评分：9.8），它绕过了同一软件中的另一个严重缺陷（CVE-2023-49070，CVSS 评分：9.8），可被武器化以绕过身份验证并远程执行任意命令代码。虽然该问题已在上个月发布的Apache OFbiz 版本 18.12.11中得到修复，但据观察，威胁行为者试图利用该缺陷，针对易受攻击的实例。CVE-2023-51467 可被利用直接从内存执行有效负载，几乎不留下任何恶意活动痕迹。

2. 安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增网络攻击行为特征涉及 远程代码执行、回连C2通信等高风险，涉及SQL注入、命令注入 等中风险。

3. 更新列表

本期安天网络行为检测引擎规则库部分更新列表如下：

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2024011907，建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.2 SP1及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，研判网络安全形势并给出专业解读。