安天长期基于流量侧数据跟踪分析网络攻击活动,识别和捕获恶意网络行为,研发相应的检测机制与方法,积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布网络行为检测能力升级通告,帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势,协助客户及时调整安全应对策略,赋能客户提升网络安全整体水平。安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则74条,升级改进检测规则206条,网络攻击行为特征涉及变种木马、代码执行等高风险,涉及SQL注入、文件写入等中风险。
安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2024120607建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库(请确认探海系统版本为:6.6.1.4 及以上,旧版本建议先升级至最新版本),安天售后服务热线:400-840-9234。
近日,一种新型的钓鱼攻击通过滥用微软Word的文件恢复功能,向受害者发送损坏的Word文档,成功绕过安全软件检测。这些附件看似来自薪资和人力资源部门,主题与员工福利和奖金相关,文件名如“Annual_Benefits_&Bonus_for”。当受害者打开这些文件时,Word会提示文件内容无法读取,并询问是否要恢复,随后恢复后的文档展示了一个QR码,要求用户扫描以获取“正式文档”。扫描QR码后,用户会被引导至一个伪装成微软登录页面的钓鱼网站,旨在窃取用户凭证。研究人员指出,这些文件由于故意损坏,未能被大多数安全软件检测到,导致其广泛传播并成功达成攻击目的。尽管这种方法并不涉及恶意代码的嵌入,但凭借这种新颖的技巧,攻击者能够有效避开安全防护。
此外,Binarly研究团队发现了一个新的威胁—Bootkitty,这是一种能够感染Linux内核的UEFI引导木马。该木马的开发利用了LogoFAIL漏洞(CVE-2023-40238),这是一个已被报告超过一年的UEFI固件图像解析漏洞,影响整个UEFI固件生态系统。Bootkitty通过修改的BMP图像利用该漏洞,执行恶意代码并绕过安全启动保护,向MokList变量注入伪造的证书,从而实现系统的控制。Bootkitty首次出现在VirusTotal上,标志着恶意攻击者不仅将目标扩展到Windows生态系统,还开始攻击Linux平台,尤其是Ubuntu配置。根据Binarly的研究,受影响的设备包括Acer、HP、富士通和联想等品牌,且漏洞可能被针对特定硬件配置进行了定制。尽管Insyde发布了补丁来缓解此漏洞,但未打补丁的设备仍然处于风险之中。研究人员深入分析了两张名为logofail.bmp和logofail_fake.bmp的图像文件,发现logofail.bmp文件异常庞大且包含嵌入式Shellcode。分析后确认,Bootkitty正是通过利用LogoFAIL漏洞来部署其恶意负载。
Google Chrome类型混淆漏洞(CVE-2024-12053)IBM
Security Verify Access 信任管理问题漏洞(CVE-2024-49805)Apache
Arrow R package反序列化漏洞(CVE-2024-52338)
Microsoft
Copilot Studio 跨站脚本漏洞(CVE-2024-49038)
Mozilla
Firefox 代码执行漏洞(CVE-2024-11699)
朝鲜黑客利用武器化的JavaScript项目攻击开发人员
朝鲜黑客集团利用武器化的Javascript项目瞄准软件开发人员,其中包括通过NPM软件包部署的BeaverTail恶意软件。这些恶意软件旨在窃取信息,并加载进一步的恶意程序,尤其是一个基于Python的多阶段后门程序——InvisibleFerret。该后门程序能够记录按键、窃取敏感文件、下载AnyDesk远程控制工具,并窃取信用卡信息和浏览器凭证。攻击通过ZIP文件内的恶意NPM包传播,用户安装后,恶意JavaScript文件(error.js)被加载,从而窃取浏览器登录凭证、收集系统数据、窃取加密钱包信息等。研究人员指出,BeaverTail恶意软件针对了21种加密货币浏览器扩展程序,并与过去通过虚假工作机会诱骗开发者的“传染性面试”攻击手法相符。
攻击者伪造技术支持网站诱导受害者下载恶意程序
近期,有不法分子滥用Microsoft
365管理门户的消息中心功网络诈骗分子通过恶意广告瞄准打印机用户,利用虚假的技术支持网站诱使受害者下载无法安装的虚假驱动程序,最终达到窃取个人信息和远程控制电脑的目的。通过Google搜索打印机相关问题时,受害者常常会被引导到假冒的技术支持网站,这些网站通常冒用知名品牌如HP和Canon的名义,误导用户拨打电话或在线聊天寻求帮助。进入这些网站后,受害者被要求输入打印机型号下载驱动程序,但实际下载的驱动是假的,并显示无法安装的错误信息。诈骗分子通过这种方式引导用户与他们联系,获取远程访问权限,从而窃取数据、锁定电脑或甚至访问受害者的银行账户。为了防范此类骗局,用户应避免点击搜索广告,使用广告拦截插件,并通过官方论坛或向懂技术的人寻求帮助。安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,研判网络安全形势并给出专业解读。
