安天网络行为检测能力升级通告（20250907）

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则26条，本期升级改进检测规则366条，网络攻击行为特征涉及漏洞利用、文件上传等高风险，涉及代码执行、代码注入等中风险。

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2025090407建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.4 及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

近日，研究人员发现了一起针对印度组织的网络钓鱼活动。攻击者利用伪装成PDF文件的恶意.desktop文件进行攻击，这种攻击手段与APT36组织（又称Transparent Tribe、Mythic Leopard、G0134）存在关联，这表明该组织可能是此次攻击活动的幕后黑手，并在调整其攻击方法。当这些恶意的.desktop文件被打开时，会触发一个经过重度混淆的攻击链，旨在逃避静态和动态检测。该攻击链最终会投放一个MeshAgent载荷，这是一种合法的远程管理工具。攻击者恶意利用MeshAgent获取远程访问权限，从而进一步执行后续的攻击活动。

此外，网络安全研究人员披露，不明威胁行为者正滥用开源取证工具Velociraptor，在受害系统中下载并执行Visual Studio Code，用于建立指向攻击者控制的C2隧道。攻击链利用Windows msiexec从Cloudflare Workers下载MSI文件安装Velociraptor，再通过PowerShell加载VS Code隧道功能实现远程访问和代码执行。研究指出，这类行为或为勒索软件攻击前兆，应重点监控未经授权的Velociraptor使用。与此同时，安全公司发现另一波攻击活动利用Microsoft Teams作为初始入侵渠道，攻击者冒充IT人员发送消息或发起通话，诱导受害者安装AnyDesk等远控工具并执行恶意PowerShell脚本，最终窃取凭据并获取持久控制。专家提醒，Teams钓鱼已成为常态化威胁，企业需结合日志监控与员工培训加以防范。