安天長(zhǎng)期基于流量側(cè)數(shù)據(jù)跟蹤分析網(wǎng)絡(luò)攻擊活動(dòng)，識(shí)別和捕獲惡意網(wǎng)絡(luò)行為，研發(fā)相應(yīng)的檢測(cè)機(jī)制與方法，積累沉淀形成了安天自主創(chuàng)新的網(wǎng)絡(luò)行為檢測(cè)引擎。安天定期發(fā)布最近的網(wǎng)絡(luò)行為檢測(cè)能力升級(jí)通告，幫助客戶洞察流量側(cè)的網(wǎng)絡(luò)安全威脅與近期惡意行為趨勢(shì)，協(xié)助客戶及時(shí)調(diào)整安全應(yīng)對(duì)策略，賦能客戶提升網(wǎng)絡(luò)安全整體水平。

?

一、網(wǎng)絡(luò)流量威脅趨勢(shì)

近期釣魚郵件攻擊活動(dòng)頻繁，涉及制造、能源、互聯(lián)網(wǎng)、教育科研、政府等多個(gè)行業(yè)，同時(shí)隨著聊天機(jī)器人ChatGPT火爆出圈，其已成為AI屆“頂流”，快速滲透至各個(gè)行業(yè)，目前黑客已利用ChatGPT釣魚網(wǎng)站開始傳播惡意軟件。建議用戶及時(shí)關(guān)注釣魚郵件及釣魚網(wǎng)站。

近期網(wǎng)絡(luò)安全事件涉及OxtaRAT、Mirai、Clasiopa、Earth Yako等組織。

【本期活躍的安全漏洞信息】

泛微e-cology9 SQL注入漏洞（CNVD-2023-12632）

Microsoft Word遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2023-21716)

PHP緩沖區(qū)溢出漏洞(CVE-2023-0568)

Windows 通用日志文件系統(tǒng)驅(qū)動(dòng)程序特權(quán)提升漏洞(CVE-2023-23376)

【值得關(guān)注的安全事件】

(1) 利用GuLoader加載器投遞AgentTesla的釣魚活動(dòng)分析

近日，安天CERT監(jiān)測(cè)到利用GuLoader加載器投遞AgentTesla竊密木馬的新一輪釣魚活動(dòng)。攻擊者以產(chǎn)品報(bào)價(jià)為主題，向歐洲、亞洲多個(gè)國(guó)家的制造、能源、互聯(lián)網(wǎng)等領(lǐng)域的企業(yè)發(fā)送釣魚郵件，并在其中發(fā)現(xiàn)一起針對(duì)國(guó)內(nèi)某企業(yè)的攻擊活動(dòng)。在此次釣魚郵件活動(dòng)中，攻擊者以項(xiàng)目報(bào)價(jià)邀請(qǐng)函為主題對(duì)我國(guó)汽車行業(yè)某企業(yè)發(fā)送釣魚郵件，將附件中的文件以項(xiàng)目名稱命名，誘導(dǎo)目標(biāo)執(zhí)行附件中的VBS腳本，從而執(zhí)行GuLoader加載器將Shellcode加載至內(nèi)存中，投遞的最終載荷為AgentTesla竊密木馬，建議用戶關(guān)注相關(guān)主題的釣魚郵件。

(2) 黑客利用ChatGPT釣魚網(wǎng)站傳播惡意軟件感染用戶

近日，聊天機(jī)器人ChatGPT火爆全球，同時(shí)引起人們對(duì)人工智能及其可能用途的興趣，它已成為網(wǎng)絡(luò)犯罪分子傳播惡意軟件和實(shí)施其他人工智能輔助網(wǎng)絡(luò)攻擊的新工具。研究人員發(fā)現(xiàn)一些黑客利用ChatGPT的圖標(biāo)和名稱創(chuàng)建虛假網(wǎng)站，以此來傳播惡意軟件并竊取信用卡信息，這些網(wǎng)站是通過一個(gè)擁有超過3500名粉絲的非官方ChatGPT社交媒體頁面推廣的，其中一些帖子包含指向ChatGPT或其開發(fā)商OpenAI虛假網(wǎng)站的鏈接。當(dāng)用戶點(diǎn)擊釣魚網(wǎng)站上的“下載Windows”或“嘗試ChatGPT”按鈕時(shí)，帶有竊取惡意軟件的惡意文件會(huì)自動(dòng)下載到他們的設(shè)備上。一旦惡意軟件被執(zhí)行，它可以在受害者不知情的情況下收集敏感數(shù)據(jù)。研究人員發(fā)現(xiàn)，這些釣魚網(wǎng)站散布了幾個(gè)臭名昭著的惡意軟件家族。除了托管信息竊取程序和其他惡意軟件外，黑客還利用ChatGPT和基于OpenAI的釣魚網(wǎng)站實(shí)施財(cái)務(wù)欺詐。

?

二、安天網(wǎng)絡(luò)行為檢測(cè)能力概述

安天網(wǎng)絡(luò)行為檢測(cè)引擎收錄了近期流行的網(wǎng)絡(luò)攻擊行為特征。本期新增網(wǎng)絡(luò)攻擊行為特征涉及遠(yuǎn)程代碼執(zhí)行、命令注入攻擊、后門等高風(fēng)險(xiǎn)，涉及SQL注入攻擊、跨站腳本攻擊、木馬等中風(fēng)險(xiǎn)。??

?

三、更新列表

本期安天網(wǎng)絡(luò)行為檢測(cè)引擎規(guī)則庫部分更新列表如下：? ? ? ? ?

安天網(wǎng)絡(luò)行為檢測(cè)引擎最新規(guī)則庫版本為Antiy_AVLX_2023030119，建議及時(shí)更新安天探海威脅檢測(cè)系統(tǒng)-網(wǎng)絡(luò)行為檢測(cè)引擎規(guī)則庫（請(qǐng)確認(rèn)探海系統(tǒng)版本為：6.6.1.2 SP1及以上，舊版本建議先升級(jí)至最新版本），安天售后服務(wù)熱線：400-840-9234。

?

安天探海網(wǎng)絡(luò)檢測(cè)實(shí)驗(yàn)室簡(jiǎn)介

安天探海網(wǎng)絡(luò)檢測(cè)實(shí)驗(yàn)室是安天科技集團(tuán)旗下的網(wǎng)絡(luò)安全研究團(tuán)隊(duì)，致力于發(fā)現(xiàn)網(wǎng)絡(luò)流量中隱藏的各種網(wǎng)絡(luò)安全威脅，從多維度分析網(wǎng)絡(luò)安全威脅的原始流量數(shù)據(jù)形態(tài)，研究各種新型攻擊的流量基因，提供包含漏洞利用、異常行為、應(yīng)用識(shí)別、惡意代碼活動(dòng)等檢測(cè)能力，為網(wǎng)絡(luò)安全產(chǎn)品賦能，研判網(wǎng)絡(luò)安全形勢(shì)并給出專業(yè)解讀。

?