安天网络行为检测能力升级通告（20250309）（微信文章未删减版）

主要观点总结

文章介绍了安天网络行为检测能力升级的相关内容，包括网络行为检测引擎的功能、最新升级内容、网络流量威胁趋势以及值得关注的安全事件等。

关键观点总结

关键观点1: 安天网络行为检测引擎的功能与升级

安天基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，并研发了相应的检测机制与方法。本次升级改进了检测规则，覆盖了网络攻击行为的多个风险级别。

关键观点2: 网络流量威胁趋势

近期，研究人员发现了持续的恶意活动，包括冒充流行Go库的软件包攻击和名为“Eleven11bot”的新型僵尸网络攻击。这些攻击针对Linux和macOS系统的用户，利用混淆技术构建隐藏的shell命令下载并执行脚本。

关键观点3: 值得关注的安全事件

文章提到了几个值得关注的安全事件，包括塔塔技术公司遭到Hunters International勒索组织攻击和波兰航天局遭受网络攻击等。此外，还介绍了安天探海网络检测实验室的功能和职责。

正文

点击上方"蓝字"

关注我们吧！

安天长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，赋能客户提升网络安全整体水平。

安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期升级改进检测规则51条，网络攻击行为特征涉及漏洞利用、文件上传等高风险，涉及代码执行、代码注入等中风险。

更新列表

本期安天网络行为检测引擎规则库部分更新列表如下：

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_20250030707建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.4 及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

网络流量威胁趋势

近期，研究人员发现了一项持续的恶意活动。在该活动中，攻击者发布了至少七个冒充流行Go库的软件包，其中一个似乎针对金融行业的开发人员进行攻击。这些软件包具有重复的恶意文件名，并且使用了相同的混淆技术。这些恶意软件包针对使用Linux和macOS系统的用户进行攻击，构建隐藏的shell命令下载并执行脚本，脚本会在等待一个小时之后获取最终的恶意软件。

此外，研究人员发现一种名为“Eleven11bot”的新型僵尸网络，已感染超过86000台物联网设备，主要控制安全摄像头和网络视频录像机（NVR）发起DDoS攻击。该僵尸网络已经发起针对电信服务提供商和在线游戏服务器的分布式拒绝服务（DDoS）攻击。研究人员称“Eleven11bot”是他们近年来观察到的最大的DDoS僵尸网络之一。威胁监控平台报告称，他们发现86400台设备感染了“Eleven11bot”僵尸网络，其中大部分位于美国、英国、墨西哥、加拿大和澳大利亚。

本期活跃的安全漏洞信息

Google Chrome类型混淆漏洞（CVE-2025-0291）

Dell Update Package Framework权限提升漏洞（CVE-2025-22395）

Mozilla多款产品内存错误引用漏洞（CVE-2025-0238）

Mozilla Firefox和Thunderbird内存破坏漏洞（CVE-2025-0247）

IBM MQ代码执行（CVE-2025-0975）

值得关注的安全事件

塔塔技术公司遭到Hunters International勒索组织攻击

近日，Hunters International勒索组织声称对塔塔技术公司1月份的网络攻击负责，并表示他们从该公司窃取了1.4TB数据，其中包括730000个文件。然而，Hunters International没有发布任何相关数据样本，也没有说明这些文件包含哪些类型的文档。塔塔技术公司在2025年1月报告称，其部分IT系统遭受了勒索软件攻击。该公司指出，该事件对其运营的影响微乎其微，客户交付服务没有受到影响。

波兰航天局遭受网络攻击

波兰航天局（POLSA）在遭受网络攻击后，断开了其系统与互联网的连接并一直处于离线状态。在检测到攻击后，该机构向相关部门报告了事件，并启动了一项调查以评估其影响。该机构正在与波兰计算机安全事件响应小组（CSIRT NASK）和波兰军事计算机安全事件响应小组（CSIRT MON）合作，以恢复受影响的服务。波兰航天局目前尚未披露安全事件的性质，也尚未将攻击归咎于特定的攻击者。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，研判网络安全形势并给出专业解读。

往期回顾