安天長(zhǎng)期基于流量側(cè)數(shù)據(jù)跟蹤分析網(wǎng)絡(luò)攻擊活動(dòng)，識(shí)別和捕獲惡意網(wǎng)絡(luò)行為，研發(fā)相應(yīng)的檢測(cè)機(jī)制與方法，積累沉淀形成了安天自主創(chuàng)新的網(wǎng)絡(luò)行為檢測(cè)引擎。安天定期發(fā)布最近的網(wǎng)絡(luò)行為檢測(cè)能力升級(jí)通告，幫助客戶洞察流量側(cè)的網(wǎng)絡(luò)安全威脅與近期惡意行為趨勢(shì)，協(xié)助客戶及時(shí)調(diào)整安全應(yīng)對(duì)策略，賦能客戶提升網(wǎng)絡(luò)安全整體水平。

?

一、網(wǎng)絡(luò)流量威脅趨勢(shì)

近期網(wǎng)絡(luò)釣魚攻擊活躍，主要利用Microsoft OneNote文件偽裝成稅單表進(jìn)行釣魚郵件攻擊，并以此來(lái)傳播惡意軟件；同時(shí)新生的勒索軟件組織Dark Power橫空出世，在不到一個(gè)月的時(shí)間里攻破了至少10個(gè)組織；而衛(wèi)星和太空行業(yè)的組織和設(shè)備已經(jīng)成為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，也面臨著日益增加的網(wǎng)絡(luò)威脅，黑客和勒索軟件組織開始瞄準(zhǔn)該行業(yè)，并可能利用漏洞和數(shù)據(jù)泄漏來(lái)獲得未經(jīng)授權(quán)的訪問(wèn)和干擾通信，建議用戶及時(shí)關(guān)注網(wǎng)內(nèi)釣魚郵件、勒索軟件攻擊活動(dòng)。

近期網(wǎng)絡(luò)安全事件涉及APT37、Dark Power、DarkPink、GhostSec等組織。其中APT37組織使用Microsoft CHM文件傳播新的惡意軟件，還通過(guò)網(wǎng)絡(luò)釣魚攻擊多個(gè)電子郵件和云服務(wù)；GhostSec黑客組織主要針對(duì)衛(wèi)星接收器發(fā)起網(wǎng)絡(luò)攻擊。

?

【本期活躍的安全漏洞信息】

Microsoft Exchange Server遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2023-21710)

Microsoft Outlook權(quán)限提升漏洞(CVE-2023-23397)

Windows本地提權(quán)漏洞(CVE-2023-21768)

Zoom clients安全漏洞(CVE-2023-28597)

?

【值得關(guān)注的安全事件】

(1) DarkPink組織針對(duì)印度尼西亞外交部門和菲律賓軍事部門的攻擊活動(dòng)

近期，安天監(jiān)測(cè)到多起APT組織DarkPink針對(duì)印度尼西亞外交部門及菲律賓軍事部門的攻擊活動(dòng)。DarkPink（又稱saaiwc）組織最早在2021年年中開始活躍，其主要攻擊目標(biāo)為柬埔寨、印度尼西亞、馬來(lái)西亞、菲律賓、越南、波斯尼亞和黑塞哥維那等國(guó)家的外交、軍事等部門及行業(yè)。攻擊者采用DLL側(cè)加載攻擊的方式作為其初始手段，利用受信的開發(fā)工具M(jìn)SBuild.exe或者直接利用加密的PowerShell腳本啟動(dòng)惡意載荷。惡意載荷使用Telegram作為攻擊者和受害主機(jī)之間的通信通道，實(shí)現(xiàn)遠(yuǎn)程控制，最終竊取目標(biāo)主機(jī)的敏感信息。

(2) Emotet惡意軟件利用偽造的W-9稅單進(jìn)行釣魚攻擊

近日，研究人員發(fā)現(xiàn)Emotet惡意軟件偽裝成W-9稅單開展最新的釣魚攻擊，利用帶有嵌入式腳本的Microsoft OneNote文件分發(fā)Emotet惡意軟件。一旦感染，惡意軟件將竊取受害者的電子郵件信息，用于未來(lái)進(jìn)行持久化的攻擊，并安裝其他惡意軟件。建議用戶不要打開來(lái)自未知發(fā)送者的電子郵件，避免啟用Word附件中的宏。

?

二、安天網(wǎng)絡(luò)行為檢測(cè)能力概述

安天網(wǎng)絡(luò)行為檢測(cè)引擎收錄了近期流行的網(wǎng)絡(luò)攻擊行為特征。本期新增網(wǎng)絡(luò)攻擊行為特征涉及遠(yuǎn)控木馬、代碼執(zhí)行、跨站腳本攻擊等高風(fēng)險(xiǎn)，涉及等SQL注入、登陸繞過(guò)、代碼注入漏洞等中風(fēng)險(xiǎn)及遠(yuǎn)程協(xié)助軟件、內(nèi)網(wǎng)穿透等低風(fēng)險(xiǎn)。?

?

三、更新列表

本期安天網(wǎng)絡(luò)行為檢測(cè)引擎規(guī)則庫(kù)部分更新列表如下：

安天網(wǎng)絡(luò)行為檢測(cè)引擎最新規(guī)則庫(kù)版本為Antiy_AVLX_2023032909，建議及時(shí)更新安天探海威脅檢測(cè)系統(tǒng)-網(wǎng)絡(luò)行為檢測(cè)引擎規(guī)則庫(kù)（請(qǐng)確認(rèn)探海系統(tǒng)版本為：6.6.1.2 SP1及以上，舊版本建議先升級(jí)至最新版本），安天售后服務(wù)熱線：400-840-9234。

?

安天探海網(wǎng)絡(luò)檢測(cè)實(shí)驗(yàn)室簡(jiǎn)介

安天探海網(wǎng)絡(luò)檢測(cè)實(shí)驗(yàn)室是安天科技集團(tuán)旗下的網(wǎng)絡(luò)安全研究團(tuán)隊(duì)，致力于發(fā)現(xiàn)網(wǎng)絡(luò)流量中隱藏的各種網(wǎng)絡(luò)安全威脅，從多維度分析網(wǎng)絡(luò)安全威脅的原始流量數(shù)據(jù)形態(tài)，研究各種新型攻擊的流量基因，提供包含漏洞利用、異常行為、應(yīng)用識(shí)別、惡意代碼活動(dòng)等檢測(cè)能力，為網(wǎng)絡(luò)安全產(chǎn)品賦能，研判網(wǎng)絡(luò)安全形勢(shì)并給出專業(yè)解讀。

?