安天长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，提升网络安全整体水平。

一、安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则125条，本期升级改进检测规则28条，网络攻击行为特征涉及代码执行、代码注入等高风险，涉及漏洞利用、文件上传等中风险。

二、更新列表

本期安天网络行为检测引擎规则库部分更新列表如下：

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2026052107，建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.4 及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

三、网络流量威胁趋势

近期，研究人员发现PureLogs新型信息窃取器正通过钓鱼邮件在全球范围内传播，其传播载体为附发票主题的TXZ压缩包，邮件以“逾期余额确认”为诱饵，伪造采购经理身份催促用户立即打开附件，利用用户的紧急心理实施攻击。该恶意软件采用先进隐写术技术，将加密后的恶意载荷隐藏在普通猫咪PNG照片中，成功规避多数安全软件检测。用户打开附件后，内置的JavaScript脚本会通过混淆手段隐藏恶意命令，启动隐藏的PowerShell会话，加载PawsRunner组件并通过RC4加密解密下载链接，最终获取PureLogs主载荷。该窃取器功能强大，可全面窃取全球用户各类敏感数据，包括主流及小众浏览器的凭证、100余款加密钱包与桌面钱包信息、Discord、Telegram等通讯软件数据，以及Bitwarden、LastPass等密码管理器和各类验证器的相关信息，还能窃取Steam、FileZilla等常用软件的账号数据。其采用异步代码提升执行效率，同时加大分析难度，窃取的数据经AES加密后外传，可用于金融盗窃或在黑产市场出售，而隐写术已成为当前攻击者规避检测的常用手段。

此外安全研究人员发现，微软Windows系统自带的旧工具MSHTA虽为合法组件，但仍被攻击者大量滥用，成为常用的LOLBIN（Living-off-the-Land binary）工具，用于投递各类恶意软件。该工具可默认执行VBScript和JavaScript脚本，即便IE浏览器已退役，其相关功能仍被保留以保障兼容性，这也成为攻击者可利用的漏洞。攻击者借助MSHTA的合法进程身份，构建多阶段无文件执行链，通过虚假软件下载、ClickFix式诱饵等社会工程学手段，依托CountLoader、Emmenhtal Loader等加载器，向目标设备投递LummaStealer、Amatera等信息窃取器，以及ClipBanker、PurpleFox等高级恶意软件。部分攻击还通过剪贴板劫持、伪造验证页面等方式，诱导用户主动执行恶意指令。监测显示，此类攻击自2025年底开始增多，攻击者不断更换域名后缀规避检测，微软已宣布计划2027年默认禁用相关脚本功能，研究人员建议企业尽快限制MSHTA使用，迁移至更安全的现代管理工具，降低被攻击风险。

本期活跃的安全漏洞信息

1Microsoft Dynamics 365远程代码执行漏洞（CVE-2026-42898）

2Microsoft Excel代码执行漏洞（CVE-2026-40362）

3Microsoft Excel信息泄露漏洞（CVE-2026-40360）

4Microsoft Windows Shell安全功能绕过漏洞（CVE-2026-32225）

5Adobe Framemaker类型混淆漏洞（CVE-2026-27298）

值得关注的安全事件

1全球连锁便利店7-11近期确认遭遇数据泄露事件

全球连锁便利店7-11近期确认遭遇数据泄露事件，知名黑客组织ShinyHunters公开宣称，已成功入侵7-11存储加盟商信息的系统，窃取超60万条Salesforce相关记录及加盟商敏感数据，涵盖加盟商个人身份信息、经营数据、联系方式等，同时包含部分企业内部业务数据。据悉，此次攻击发生于4月8日，黑客组织通过漏洞入侵系统后，窃取数据并向7-11索要赎金，威胁若不支付将公开全部泄露数据。目前，7-11已紧急启动安全调查，全面排查系统漏洞，同时通知所有受影响的加盟商，提醒其做好信息防护。ShinyHunters是全球知名黑客组织，长期专注于攻击企业Salesforce系统，此前曾成功入侵谷歌、思科、Zara等多家知名企业，窃取大量用户及业务数据，多次通过勒索赎金获取非法利益。

2国际刑警组织牵头在中东和北非的13个国家开展网络犯罪打击行动

Interpol牵头13个中东、北非国家开展“Ramz行动”，这是该地区首次大规模网络犯罪打击行动。行动历时4个月，累计逮捕201人、查获53台服务器、识别382名嫌疑人，打击范围涵盖钓鱼服务、恶意软件及金融诈骗。期间还发现约旦有受害者被迫参与诈骗，多国同步开展服务器查封、设备扣押等行动，并有多家安全机构提供支持，目前相关调查仍在推进中。参与这项行动的机构收集了近8000条数据，这些数据在参与国之间共享，以支持正在进行的调查。

四、安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，研判网络安全形势并给出专业解读。