安天長期基于流量側數(shù)據(jù)跟蹤分析網(wǎng)絡攻擊活動，識別和捕獲惡意網(wǎng)絡行為，研發(fā)相應的檢測機制與方法，積累沉淀形成了安天自主創(chuàng)新的網(wǎng)絡行為檢測引擎。安天定期發(fā)布最近的網(wǎng)絡行為檢測能力升級通告，幫助客戶洞察流量側的網(wǎng)絡安全威脅與近期惡意行為趨勢，協(xié)助客戶及時調整安全應對策略，賦能客戶提升網(wǎng)絡安全整體水平。

一、網(wǎng)絡流量威脅趨勢

近期勒索軟件攻擊較為活躍，研究人員近期發(fā)現(xiàn)一種冒充安全公司的SophosEncrypt勒索軟件，該勒索軟件使用Rust語言進行編寫。SophosEncrypt勒索軟件使用AES256加密算法，在加密文件的每個文件夾中放置一個名為information.hta的勒索信，并在加密完成后自動打開該勒索信。勒索信中記錄了受害者被攻擊的信息及相關聯(lián)系信息。該勒索軟件會對Windows桌面壁紙進行更改，并利用“Sophos”相關字樣進行偽裝。研究人員發(fā)現(xiàn)了與該勒索軟件相關的Tor站點，該站點并不是該勒索組織的數(shù)據(jù)泄露站點，似乎是與該勒索軟件相關的操作面板。

與此同時，研究人員還發(fā)現(xiàn)NoEscape勒索組織針對企業(yè)進行雙重勒索攻擊。攻擊者對Windows、Linux系統(tǒng)和VMware ESXi服務器進行攻擊，竊取數(shù)據(jù)并對文件進行加密。該勒索組織所勒索的金錢從數(shù)十萬美元到一千多萬美元不等，并已經在其數(shù)據(jù)泄露網(wǎng)站上列出了來自不同國家和行業(yè)的十個受害者。研究人員在對NoEscape勒索組織的加密程序進行研究后表示，該組織使用的加密程序與Avaddon組織的非常相似，其加密邏輯和文件格式幾乎相同，加密算法只有一個顯著區(qū)別。

【本期活躍的安全漏洞信息】

Microsoft Edge 遠程執(zhí)行代碼漏洞(CVE-2023-36887)

Office 和 Windows HTML 遠程代碼執(zhí)行漏洞(CVE-2023-36884)

Cisco SD-WAN vManage REST API漏洞(CVE-2023-20214)

Apache EventMesh RabbitMQ-Connector plugin 反序列化漏洞(CVE-2023-26512)

Apache StreamPipes權限提升漏洞(CVE-2023-31469)

【值得關注的安全事件】

(1) 安天發(fā)布《“游蛇”黑產團伙近期釣魚攻擊活動分析》報告

近期，安天CERT監(jiān)測到“游蛇”黑產團伙發(fā)起的新一輪釣魚攻擊活動。在此次攻擊活動中，該團伙投放的惡意程序利用圖標偽裝成圖片文件，運行后使用WMI查詢CPU溫度以檢測當前環(huán)境是否為虛擬機，檢測通過后從C2服務器中獲取多個載荷文件。該惡意程序利用其中的Videos.jpg掩飾其惡意行為，讓用戶誤認為自己打開的確實是一個圖片文件。36.exe將自身程序中名為“TXT”的資源寫入C:\1.txt文件中，并將該內容轉換為Shellcode；該Shellcode解碼并執(zhí)行一個可執(zhí)行程序，最終為Videos.exe創(chuàng)建計劃任務。Videos.exe下載執(zhí)行WinService.exe，WinService.exe讀取service.log文件的內容，將其轉換為Shellcode，并最終執(zhí)行Gh0st遠控木馬變種。

(2) 研究人員發(fā)現(xiàn)一種名為WormGPT的惡意工具

研究人員近期在黑客論壇中發(fā)現(xiàn)了一種名為WormGPT的惡意攻擊，該工具是專門為惡意攻擊活動設計的GPT模型。WormGPT是一個基于GPTJ語言模型的人工智能模塊，于2021年開發(fā)。它擁有一系列功能，包括無限字符支持、聊天內存保留和代碼格式化等。WormGPT據(jù)稱是在各種數(shù)據(jù)源上進行訓練的，特別是集中在與惡意軟件相關的數(shù)據(jù)上。然而，其開發(fā)者對訓練過程中使用的特定數(shù)據(jù)集進行保密。研究人員對該工具進行測試，發(fā)現(xiàn)由該工具生成的釣魚郵件具備較高的誘騙性，因此個人和組織需要意識到這些風險，防范此類由AI驅動的網(wǎng)絡釣魚攻擊。

二、安天網(wǎng)絡行為檢測能力概述

安天網(wǎng)絡行為檢測引擎收錄了近期流行的網(wǎng)絡攻擊行為特征。本期新增網(wǎng)絡攻擊行為特征涉及任意文件上傳、命令注入、賬號接管等高風險，涉及遠程執(zhí)行、目錄遍歷等中風險。

三、更新列表

本期安天網(wǎng)絡行為檢測引擎規(guī)則庫部分更新列表如下：

安天網(wǎng)絡行為檢測引擎最新規(guī)則庫版本為Antiy_AVLX_2023071919，建議及時更新安天探海威脅檢測系統(tǒng)-網(wǎng)絡行為檢測引擎規(guī)則庫（請確認探海系統(tǒng)版本為：6.6.1.2 SP1及以上，舊版本建議先升級至最新版本），安天售后服務熱線：400-840-9234。

四、安天探海網(wǎng)絡檢測實驗室簡介

安天探海網(wǎng)絡檢測實驗室是安天科技集團旗下的網(wǎng)絡安全研究團隊，致力于發(fā)現(xiàn)網(wǎng)絡流量中隱藏的各種網(wǎng)絡安全威脅，從多維度分析網(wǎng)絡安全威脅的原始流量數(shù)據(jù)形態(tài)，研究各種新型攻擊的流量基因，提供包含漏洞利用、異常行為、應用識別、惡意代碼活動等檢測能力，為網(wǎng)絡安全產品賦能，研判網(wǎng)絡安全形勢并給出專業(yè)解讀。

?

安天探海網(wǎng)絡檢測實驗室

?2023年07月23日