摘要：安天长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对

安天长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，赋能客户提升网络安全整体水平。

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则47条，本期升级改进检测规则38条，网络攻击行为特征涉及漏洞利用、文件上传等高风险，涉及代码执行、代码注入等中风险。

本期安天网络行为检测引擎规则库部分更新列表如下：

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_20250032107建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.4 及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

近期，研究人员发现了一项持续性的恶意软件攻击活动，该活动可追溯到2016年，在过去8年中已在全球范围内入侵超过20000个网站。当前攻击活动使用的基础设施利用由被入侵的WordPress网站组成的分布式网络作为流量分发系统（TDS）和命令与控制（C2）节点。虽然研究人员之前认为这些攻击活动是独立的，但其研究表明，这些攻击活动使用相同的基础设施、代码模式和盈利方法，所有这些似乎都表明其背后有一个复杂的攻击组织。

此外，研究人员发现了一项新的网络间谍活动，并将该活动归因于APT组织Squid Werewolf，也称为APT37、Ricochet Chollima、ScarCruft和Reaper Group。该组织利用虚假的招聘信息，诱骗目标组织的员工打开恶意附件，从而执行恶意代码并保持持久访问。恶意附件是一个ZIP压缩包文件，其中包含一个LNK快捷方式，若用户点击该快捷方式将会触发一系列复杂的攻击链，最终在内存中解密并执行恶意载荷。

【本期活跃的安全漏洞信息】

Google Chrome 释放后重用漏洞 (CVE-2025-2476)

OpenSSH SSH2_MSG_PING拒绝服务漏洞(CVE-2025-26466)

NVIDIA英伟达NeMo Framework信息泄露漏洞(CVE-2025-23360)

Windbg 远程代码执行漏洞（CVE-2025-2404）

Microsoft Windows 文件资源管理器欺骗漏洞（CVE-2025-24071）

【值得关注的安全事件】

(1) 安天发布DBatLoader恶意加载器全面分析报告

DBatLoader加载器最初于2020年被发现，主要被用于投放包括Snake Keylogger、Formbook和Agent Tesla在内的多种恶意代码家族。DBatLoader加载器的加载过程分为两个阶段，其中第一阶段主要用于规避反病毒引擎的检测，并在内存中解密运行第二阶段载荷。在第二阶段过程中，DBatLoader加载器采用“DDR”（Dead Drop Resolvers）技术，从公共代码托管网站上下载并解密待投递的恶意代码家族，而后通过多种手法将其注入到其他程序内以实现隐蔽运行。

(2) Apache Tomcat中的一个远程代码执行漏洞正被攻击者恶意利用

Apache Tomcat中一个被标识为CVE-2025-24813的远程代码执行（RCE）漏洞正在被恶意利用，攻击者可以通过发送简单的PUT请求接管服务器。研究人员已证实相关恶意活动，他们警告说，传统的安全工具无法检测到它，因为PUT请求看起来正常，并且恶意内容经过base64编码进行混淆。Apache建议所有用户升级到Tomcat版本11.0.3+、10.1.35+ 或9.0.99+，这些版本已修复CVE-2025-24813漏洞。

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，研判网络安全形势并给出专业解读。

来源：总有无能为力的不愉