安天网络行为检测能力概述
安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则107条,升级改进检测规则52条,网络攻击行为特征涉及变种木马、代码执行等高风险,涉及SQL注入、文件写入等中风险。
更新列表
网络流量威胁趋势
研究人员发现了一系列发布在npm注册表中的恶意软件包,这些软件包旨在窃取开发者的以太坊私钥,并通过SSH协议远程访问受害者机器。据研究人员的分析,这些恶意包会通过将攻击者的SSH公钥写入根用户的“authorized_keys”文件,从而获取SSH访问权限。这些恶意软件包模仿了合法的ethers库,包括ethers-mew、ethers-web3等,最新且最完整的为ethers-mew。与此前类似攻击不同,此次恶意代码直接嵌入包中,只有开发者使用这些包时,才会触发攻击。此外,攻击者可以借此长期控制受害者的设备。所有相关包及其发布者账号均已被短时间内删除。
此外,Akira勒索软件团伙在短暂的纯数据勒索策略后,重新开始加密受害者文件,寻求更高的稳定性和效率。据研究人员称,Akira在尝试了双重勒索和数据窃取后,开发了新的加密工具,包括用于Windows的C++版本和Linux系统的Rust版本。尽管近期Akira重新采用了早期的C++加密器,但其设计更为精简,表明该团伙在代码和策略上具备高度适应性。研究人员预计,Akira将继续利用高影响力漏洞,特别是针对ESXi和Linux系统,增强其勒索即服务(RaaS)模式的攻击效能。Akira被认为是后LockBit时代最活跃的勒索软件团伙之一,成功得益于持续演变的战术和技术。
Microsoft Edge 远程代码执行漏洞(CVE-2024-43579)
Microsoft Power Platform 未经授权访问漏洞(CVE-2024-38190)
Xlight FTP 输入验证错误漏洞(CVE-2024-46483)
Spring Framework路径遍历漏洞(CVE-2024-38819)
VMware HCX SQL注入漏洞(CVE-2024-38814)
军事演习引发俄罗斯对日本的DDoS攻击
科技巨头Nidec确认勒索软件攻击后数据泄露
全球知名精密马达制造商Nidec Corporation证实,黑客通过勒索软件攻击窃取了数据,并在暗网泄露。此次攻击未加密文件,但黑客通过泄露数据进行敲诈。Nidec Precision 分部的服务器在遭入侵后,黑客窃取了超过50000份文件,涉及内部文档、业务伙伴信件、采购合同和健康安全政策等。尽管公司未支付赎金,数据泄露仍可能导致员工和合作伙伴面临定向网络钓鱼等后续威胁。8BASE 和Everest勒索软件团伙声称对此次攻击负责。
安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,研判网络安全形势并给出专业解读。
