安天长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，赋能客户提升网络安全整体水平。

一、网络流量威胁趋势

近期，研究人员近期发现Gamaredon组织利用鱼叉式网络钓鱼邮件针对乌克兰军事人员进行攻击。这些邮件中包含恶意的XHTML附件，打开后会执行经过混淆处理的JavaScript代码，用于下载一个恶意的压缩文件。这个压缩文件中含有一个Windows快捷方式（LNK）文件，触发后会使用mshta.exe获取并执行托管在TryCloudflare上的tar压缩文件。目前研究人员未能捕获到具体的tar压缩文件，但Gamaredon组织在以往的攻击活动中通常会投递额外的恶意软件，用于窃取受害者的敏感信息。

此外，卡巴斯基创建了一种名为TDSSKiller的工具，该工具可以扫描系统中是否存在rootkit和bootkit。研究人员最近发现RansomHub勒索组织滥用TDSSKiller工具，通过命令行脚本或批处理文件与内核级服务进行交互，从而禁用运行在机器上的Malwarebytes反恶意软件服务（MBAMService）。然后，RansomHub组织部署LaZagne凭证收集工具，从各种应用程序数据库中提取登录信息，用于在网络中进行横向移动。

【本期活跃的安全漏洞信息】

Microsoft SQL Server 访问控制错误漏洞（CVE-2024-37341）

Red Hat Keycloak 授权问题漏洞（CVE-2024-7341）

Kibana任意代码执行漏洞（CVE-2024-37288）

Microsoft Azure Stack 访问控制错误漏洞（CVE-2024-38220）  

Mozilla Firefox和Mozilla Firefox ESR 类型混淆漏洞漏洞（CVE-2024-8381）

【值得关注的安全事件】

(1) 研究人员披露Mallox勒索软件

Mallox勒索软件背后的攻击组织于2021年上半年开始运作，首个已知的加密样本被发现于2021年5月。该勒索软件是根据特定受害者定制的，目标公司的名称被硬编码在勒索信中并作为加密文件的扩展名。2023年，与Mallox勒索软件相关的攻击活动有所增加，发现的样本总数超过700个。2024年上半年，该恶意软件仍在积极开发中，每月发布多个新版本，同时，其背后的攻击组织也在暗网论坛中招募新的攻击者。

(2) 迪士尼公司泄露的数据中包含财务及战略信息

今年夏天沃尔特·迪士尼公司（DIS.N）泄露的数据中含有财务和战略信息，以及一些员工和客户的个人身份信息。该公司在8月份表示，正在调查其一个通信系统中超过1TB数据的泄露事件。据报道，泄露的部分数据中包含其邮轮工作人员的护照号码、签证详情、地址和出生地，而另一份电子表格中则包含一些迪士尼邮轮乘客的姓名、地址和电话号码。泄露的文件还包括由Disney+和ESPN+等产品产生的收入详细信息、乐园定价优惠以及一些迪士尼云基础设施的登录凭证。据称，黑客组织NullBulge发布了该公司数千个Slack频道的数据，包括计算机代码和未发布项目的详细信息。

二、安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则60条，升级改进检测规则45条，网络攻击行为特征涉及变种木马、代码执行等高风险，涉及SQL注入、文件写入等中风险。

三、更新列表

本期安天网络行为检测引擎规则库部分更新列表如下：

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2024091307建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.2 SP1及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

四、安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，研判网络安全形势并给出专业解读。

、