安天网络行为检测能力概述
安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则97条,本期升级改进检测规则16条,网络攻击行为特征涉及漏洞利用、文件上传等高风险,涉及代码执行、代码注入等中风险。
更新列表
安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2025052907建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库(请确认探海系统版本为:6.6.1.4 及以上,旧版本建议先升级至最新版本),安天售后服务热线:400-840-9234。
网络流量威胁趋势
近日,究人员发现了一种名为PumaBot的新型僵尸网络,该网络专门针对基于Linux的物联网设备。PumaBot僵尸网络使用Go语言编写,它通过暴力破解SSH登录凭证进行传播,并在受感染的主机上部署额外的恶意软件。具体而言,PumaBot会从命令与控制服务器获取目标列表,尝试暴力破解SSH凭证,一旦成功入侵目标主机,便会接收远程命令并建立持久化机制。此外,该恶意软件还会伪装成合法的Redis系统文件,创建一个持久化的systemd服务,并执行从服务器接收到的命令,这些命令中包括用于非法挖矿的指令。除此之外,PumaBot还会部署其他相关恶意软件,例如ddaemon、networkxm、installx.sh、jc.sh、pam_unix.so等工具,这些工具被用于进一步扩大感染范围以及窃取用户凭证。
此外,研究人员发现,一种新型自我传播恶意软件正针对配置不当的Docker容器发起攻击,并将受感染的Docker容器变成用于挖掘Dero加密货币的僵尸网络。该恶意软件通过两个组件实现其攻击链:其中一个组件是名为“nginx”的恶意软件,它负责扫描互联网上暴露的Docker容器;另一个组件则是用于挖掘Dero加密货币的“cloud”矿工程序。这两个组件均使用Golang语言开发。“nginx”恶意软件被设计为记录自身的运行活动、启动矿工程序,并进入一个无限循环,在循环中生成随机IPv4网络子网,以标记更多易受攻击的Docker容器。此外,该恶意软件还会通过安装masscan和docker.io工具来感染其他网络,进而实现恶意软件的进一步传播。其最终目标是部署用于挖掘Dero加密货币的程序。
新华三技术有限公司Gr-5400ax漏洞(CVE-2025-5156)
VMware vCenter Server命令执行漏洞(CVE-2025-41225)
Microsoft Office代码执行漏洞(CVE-2025-30377)
微软威胁情报团队披露,俄罗斯APT组织Void Blizzard正针对全球能源、通信及政府机构展开系统性网络间谍活动。该组织通过伪装成技术文档的钓鱼邮件投递恶意载荷,并利用工业控制系统(ICS)软件中的未修复漏洞渗透目标网络,窃取敏感数据与运营技术配置信息。攻击活动覆盖东欧、北美及亚太地区,至少涉及12家关键基础设施供应商。在此次攻击活动中,Void Blizzard采用多阶段攻击链,包括使用内存驻留型后门规避静态检测,通过私有域前置技术混淆C2服务器通信。
Silver远程控制木马的完整源代码曾被短暂泄露至GitHub仓库“SilverRAT - FULL - Source - Code”,随后该仓库被平台迅速删除。尽管这个仓库的存活时间不足24小时,但其内容已被存档并在安全研究圈内传播。该恶意软件由与叙利亚有关联的组织Anonymous Arabic开发,首次出现于2023年,具备加密货币钱包监控、数据窃取、浏览器密码盗取以及隐藏远程控制等多项高危功能,并且通过恶意软件即服务模式在地下论坛流通。此次泄露的代码包含Visual Studio项目文件、构建说明以及模块化组件,攻击者只需具备基础的.NET知识,就能轻松编译并定制恶意软件变种。尤其值得关注的是,泄露内容提及了“私有存根”(Private Stub)功能,并承诺提供完全免杀(FUD)版本,这可能会进一步降低攻击门槛。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...