升级通告

安天网络行为检测能力升级通告(20250907)

时间:2025年09月07日    来源:安天


安天长期基于流量侧数据跟踪分析网络攻击活动,识别和捕获恶意网络行为,研发相应的检测机制与方法,积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告,帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势,协助客户及时调整安全应对策略,赋能客户提升网络安全整体水平。

1. 安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则26条,本期升级改进检测规则366条,网络攻击行为特征涉及漏洞利用、文件上传等高风险,涉及代码执行、代码注入等中风险。

2. 更新列表

本期安天网络行为检测引擎规则库部分更新列表如下:

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2025090407,建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库(请确认探海系统版本为:6.6.1.4 及以上,旧版本建议先升级至最新版本),安天售后服务热线:400-840-9234。

3. 网络流量威胁趋势

近日,研究人员发现了一起针对印度组织的网络钓鱼活动。攻击者利用伪装成PDF文件的恶意.desktop文件进行攻击,这种攻击手段与APT36组织(又称Transparent Tribe、Mythic Leopard、G0134)存在关联,这表明该组织可能是此次攻击活动的幕后黑手,并在调整其攻击方法。当这些恶意的.desktop文件被打开时,会触发一个经过重度混淆的攻击链,旨在逃避静态和动态检测。该攻击链最终会投放一个MeshAgent载荷,这是一种合法的远程管理工具。攻击者恶意利用MeshAgent获取远程访问权限,从而进一步执行后续的攻击活动。

此外,网络安全研究人员披露,不明威胁行为者正滥用开源取证工具Velociraptor,在受害系统中下载并执行Visual Studio Code,用于建立指向攻击者控制的C2隧道。攻击链利用Windows msiexec从Cloudflare Workers下载MSI文件安装Velociraptor,再通过PowerShell加载VS Code隧道功能实现远程访问和代码执行。研究指出,这类行为或为勒索软件攻击前兆,应重点监控未经授权的Velociraptor使用。与此同时,安全公司发现另一波攻击活动利用Microsoft Teams作为初始入侵渠道,攻击者冒充IT人员发送消息或发起通话,诱导受害者安装AnyDesk等远控工具并执行恶意PowerShell脚本,最终窃取凭据并获取持久控制。专家提醒,Teams钓鱼已成为常态化威胁,企业需结合日志监控与员工培训加以防范。

本期活跃的安全漏洞信息

1Fortinet FortiWeb Fabric Connector SQL 注入漏洞(CVE-2025-25257)

2用友U8Cloud 文件上传绕过漏洞(XVE-2025-29401)

3SAP ERP BW Business Content操作系统命令注入漏洞(CVE-2025-30013)

4 IBM watsonx Orchestrate Cartridge SQL注入漏洞(CVE-2025-0165)

5WordPress plugin Alone任意文件上传漏洞(CVE-2025-5394)

值得关注的安全事件

1 安天发布农夫保险交易所披露一起数据泄露事件

Farmers Insurance Exchange及其子公司近期披露了一起重大的安全事件,由于第三方供应商的数据库遭到未经授权的访问,约110万名客户的个人信息遭到泄露。该事件发生于2025年5月29日,是今年保险行业最大规模的数据泄露事件之一,影响了包含姓名、地址、出生日期、驾照号码和部分社会安全号码的客户记录。Farmers的研究人员指出,此次攻击专门针对包含保险保单持有人信息的客户数据库,这表明攻击者有意锁定高价值的个人数据。

2FBI与荷兰警方取缔假证平台VerifTools

FBI与荷兰警方联合行动,成功关闭了知名假证交易平台VerifTools,并在阿姆斯特丹查获其服务器。该平台长期提供伪造的驾驶证、护照等身份文件,以协助用户绕过身份验证系统,从事银行诈骗、钓鱼、福利欺诈及逃避追责等犯罪活动,甚至被年轻人用于规避年龄限制。调查显示,VerifTools自2022年起提供假证服务,价格低至9美元,并主要通过加密货币收款,非法收益高达约640万美元。此次执法共查封两台物理服务器和21台虚拟服务器。虽然平台管理员尚未落网,但警方表示将利用扣押的数据追查幕后人员,力争彻底打击相关犯罪网络。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,研判网络安全形势并给出专业解读。