安天长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，赋能客户提升网络安全整体水平。

1. 网络流量威胁趋势

近期，研究人员发现随着网络犯罪分子通过 PDF 传播恶意软件（包括 WikiLoader、Ursnif 和 DarkGate），PDF 威胁呈上升趋势。与同年第一季度相比，2023 年第四季度 PDF 威胁增加了 7%。它指出，以前 PDF 诱饵曾被用来通过网络钓鱼获取受害者的凭据和财务详细信息。现在恶意软件正在通过这些文档传播。研究人员表示，一个值得注意的例子是 WikiLoader 活动使用虚假包裹递送 PDF 来诱骗用户安装 Ursnif 恶意软件。用于加剧攻击的广告工具，并列举多个攻击案例说明具体危害。

同时，研究人员还发现HomuWitch 是一种勒索软件最初出现于 2023 年 7 月。与当前大多数勒索软件病毒不同，HomuWitch 的目标目标是最终用户（个人），而不是机构和公司。它的流行率并不是特别高，所要求的赎金金额也不是很大，这使得该恶意软件迄今为止一直处于相对低调的状态。在调查威胁过程中，研究人员发现了一个漏洞，该漏洞能够为所有 HomuWitch 受害者创建免费解密工具。现在公开共享此工具，以帮助受影响的个人免费解密文件。

本期活跃的安全漏洞信息

1Apache OFBiz 路径遍历漏洞(CVE-2024-25065)

2IBM Security Guardium 操作系统命令注入漏洞(CVE-2023-25925)

3Microsoft Exchange Server 权限提升漏洞（CVE-2024-21410）

4PostgreSQL JDBC SQL注入漏洞(CVE-2024-1597)

5Apache Solr Schema Designer代码执行漏洞(CVE-2023-50292)

值得关注的安全事件

1(1) 新的Migo恶意软件针对Redis服务器开展挖矿活动

研究人员最近遇到了一种针对 Redis 进行初始访问的新型恶意软件活动。虽然 Redis 对于 Linux 和云攻击者的利用并不陌生，但这次特殊的攻击活动涉及使用许多新颖的系统削弱技术来攻击数据存储本身。 该恶意软件被开发人员命名为 Migo，是一种 Golang ELF 二进制文件，具有编译时混淆功能并能够在 Linux 机器上持久存在。旨在破坏 Redis 服务器，以便在底层 Linux 主机上挖掘加密货币。 研究人员对该恶意软件进行深度分析。

2(2) 研究人员发现新型远程访问木马Xeno RAT

一种名为Xeno RAT的的远程访问木马 (RAT)已在 GitHub 上发布，其他参与者无需额外付费即可使用该木马。该开源 RAT 采用 C# 编写，与 Windows 10 和 Windows 11 操作系统兼容，它包括 SOCKS5 反向代理和录制实时音频的功能，并结合DarkVNC 的隐藏虚拟网络计算 (hVNC) 模块，使攻击者能够远程访问受感染的计算机。 另一个值得注意的方面是它有一个构建器，可以创建恶意软件的定制变体。

2. 安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期修改网络攻击行为特征涉及远程代码执行、命令注入等高风险，涉及信息泄露、文件上传等中风险。

3. 更新列表

本期安天网络行为检测引擎规则库部分更新列表如下：

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2024030107，建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.2 SP1及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，研判网络安全形势并给出专业解读。