安天长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，赋能客户提升网络安全整体水平。

1. 网络流量威胁趋势

研究人员近日揭示了一个名为AndroxGh0st的恶意软件，该软件针对使用Laravel框架的应用程序，窃取敏感数据，包括云服务凭证。研究人员表示，AndroxGh0st通过扫描和窃取.env文件中的重要信息，揭露了与AWS和Twilio等服务相关的登录详情。该恶意软件自2022年起就已在野外被检测到，利用者通过它访问Laravel环境文件，窃取包括亚马逊云服务(AWS)在内的各种云服务应用程序的凭证。AndroxGh0st利用已知的Apache HTTP服务、Laravel框架和PHPUnit中的安全漏洞，以获得初步访问权限，并进行权限提升与持久化控制。今年1月，美国网络安全和情报机构即警告攻击者正在部署AndroxGh0st恶意软件来构建一个用于“在目标网络中识别和利用受害者”的僵尸网络。此外，研究人员观察到针对CVE-2017-9841的活动有所增加，呼吁用户迅速更新到最新版本以避免风险。

同时，研究人员还发现了一场新型网络钓鱼攻击，威胁者通过伪装成银行支付通知的电子邮件，诱导用户打开附加的压缩文件。该压缩文件隐藏了一个恶意加载程序，用于在受害主机上部署一个称为Agent Tesla的信息窃取器和键盘记录器。这一加载程序运用了混淆技术来逃避检测，并利用复杂的解密方法和多态行为。它能够绕过杀毒软件防御，通过代理服务器和特定的URLs以及用户代理来检索其有效载荷，以此进一步隐藏其流量。攻击中所使用的加载器是用.NET编写的，研究者发现了两种不同的变体，每种都采用不同的解密程序来获取其配置，并最终从远程服务器检索经过异或编码的Agent Tesla有效载荷。在最后阶段，加载器将Agent Tesla解码并在内存中执行，使得攻击者能够通过使用一个在土耳其合法的安全系统供应商的被泄露电子邮件账户隐秘地窃取敏感数据。

本期活跃的安全漏洞信息

1Apache Airflow 权限管理不当漏洞 (CVE-2024-29735)

2Firefox 越界访问漏洞(CVE-2024-29943)

3Tenda AC10 操作系统命令注入漏洞(CVE-2024-2853)

4GitHub Enterprise Server 远程代码执行漏洞(CVE-2024-2469)

5Progress Kemp LoadMaster 命令注入漏洞(CVE-2024-1212)

值得关注的安全事件

1安天发布《通过Github传播窃密木马的攻击活动分析》报告

近期，安天CERT监测到通过GitHub传播窃密木马的攻击活动。攻击者在其发布项目的环境依赖文件requirements.txt中添加恶意URL，以获取其恶意篡改的流行开源模块，从而在受害者电脑中植入窃密木马。攻击者使用空格将恶意代码掩藏在该行代码的末尾，以避免被用户察觉；并使用多种手段对恶意代码进行混淆处理，以规避安全产品检测、阻碍安全人员分析。经过多层脚本载荷的传递后，将执行一种由Python编写的窃密木马。该窃密木马会在受害主机中窃取浏览器、社交平台、加密货币钱包、游戏客户端中的敏感信息，并针对目标路径中匹配关键词的文件夹及文件进行窃取，最终将窃密数据回传至C2服务器或上传至文件共享平台Gofile中。在此次攻击活动中，攻击者在自己发布的项目中引入经过恶意篡改的流行开源模块，从而传播窃密木马。对流行的开源项目进行篡改，在其中添加恶意代码后重新打包并在发布的项目中进行恶意引用，已经成为一种攻击方式，用户很难察觉环境依赖文件中是否存在异常。

2黑客利用假谷歌站点传播AZORult木马病毒

近期，研究人员发现了一种新的恶意软件活动，攻击者通过制作伪造的谷歌站点页面，并采用HTML走私技术，传播一种名为AZORult的商业恶意软件以窃取信息。研究人员发布的报告中指出，这种钓鱼活动尚未归咎于特定的威胁行为者或团伙，但已广泛展开，目的是收集敏感数据并在黑市论坛出售。AZORult是一种信息窃取软件，最初于2016年被检测到。它通常通过钓鱼和垃圾邮件活动、为盗版软件或媒体植入的特洛伊木马以及通过恶意广告传播。一旦安装，它就能够收集来自Web浏览器的凭据、cookie和历史记录、屏幕截图、匹配特定扩展名的文档(例如.TXT，.DOC，.XLS，.DOCX，.XLSX，.AXX，和.KDBX)，以及来自137种加密货币钱包的数据。在最新的攻击活动中，攻击者创建了伪造的谷歌文档页面，并使用HTML走私技术传递恶意载荷。当受害者被诱导打开钓鱼邮件中的欺骗性页面时，浏览器就会解码脚本并在主机设备上提取有效载荷，有效绕过了常规安全控制。此次AZORult活动通过增加验证码障碍，不仅增加了合法性的外表，还充当了针对URL扫描器的额外保护层。

2. 安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期修改网络攻击行为特征涉及命令执行、文件上传等高风险，涉及回连C2、SQL注入等中风险。

3. 更新列表

本期安天网络行为检测引擎规则库部分更新列表如下：

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2024032907，建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.2 SP1及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，研判网络安全形势并给出专业解读。