安天长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，赋能客户提升网络安全整体水平。

1. 网络流量威胁趋势

近期，研究人员发现原本潜伏的、动机不明的点对点恶意软件僵尸网络P2PInfect最近开始变得活跃起来，在对Redis服务器的攻击中部署了勒索软件模块和加密矿工，研究人员声称有证据表明该恶意软件以“雇佣僵尸网络”的形式运行。从2024年5月16日开始，感染P2PInfect的设备开始收到从指定URL下载并运行勒索软件负载(rsagen)的指令，该命令有效期至2024年12月17日，勒索软件针对与数据库（SQL、SQLITE3、DB）、文档（DOC、XLS）和媒体文件（MP3、WAV、MKV）相关的特定扩展名的文件进行加密。

同时，研究人员发现威胁行为体使用搜索引擎优化(SEO)投毒技术在Google搜索结果页面上显示虚假网站，诱导毫无戒心的网站访问者下载包含Windows批处理脚本的ZIP存档，最终安装一个名为AdsExhaust的恶意广告软件，该广告软件能够从受感染的设备中窃取截图，并使用模拟按键与浏览器进行交互，例如自动点击广告或将浏览器重定向到特定的URL，从而为广告软件运营商创造收入。

本期活跃的安全漏洞信息

1Puppeteer Renderer 路径遍历漏洞(CVE-2024-36527)

2Progress MOVEit Transfer身份认证绕过漏洞（CVE-2024-5806）

3WordPress WP-Recall SQL注入漏洞（CVE-2024-32709）

4Apache HTTP Server 代码问题漏洞（CVE-2024-38477）

5OpenSSH远程代码执行漏洞(CVE-2024-6387)

值得关注的安全事件

1研究人员揭露新型勒索软件组织VolcanoDemon

安全研究人员揭露了一个新的勒索软件组织VolcanoDemon，该组织在过去两周内发动了数起攻击。VolcanoDemon使用名为LukaLocker的加密器，特别针对带有.nba文件扩展名的文件进行加密。攻击者在攻击前清除了日志，使得取证评估受限。此外值得注意的是，该勒索组织通过频繁的电话与受害者的领导层和IT高管进行勒索和协商，目前尚不清楚 Volcano Demon是独立运作还是某个已知勒索软件组织的附属机构。

2安天发布《OpenSSH远程代码执行漏洞(CVE-2024-6387)风险提示》

近日，安天CERT监测发现OpenSSH修复了一个远程代码执行漏洞(CVE-2024-6387)，该漏洞是由于OpenSSH服务器(sshd)中的信号处理程序竞争问题导致，未经身份验证的攻击者可以利用此漏洞在Linux系统上以root身份执行任意代码，目前该漏洞技术细节（含PoC）已在互联网上公开。且有近千万个OpenSSH实例在互联网公开，建议受漏洞影响的用户及时升级至最新版本修复该漏洞，或采用安全防护措施加强防护能力，防范网络攻击。

2. 安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则77条，升级改进检测规则85条，网络攻击行为特征涉及变种木马、代码执行等高风险，涉及SQL注入、文件写入等中风险。

3. 更新列表

本期安天网络行为检测引擎规则库部分更新列表如下：

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2024070507建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.2 SP1及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，研判网络安全形势并给出专业解读。