安天长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，赋能客户提升网络安全整体水平。

1. 安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则48条，本期升级改进检测规则25条，网络攻击行为特征涉及漏洞利用、文件上传等高风险，涉及代码执行、代码注入等中风险。

2. 更新列表

本期安天网络行为检测引擎规则库部分更新列表如下：

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_202500080807，建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.4 及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

3. 网络流量威胁趋势

近日，研究人员发现一种名为JSCEAL的新型恶意软件，它通过Node.js和混淆技术隐藏其恶意行为。该恶意软件通过Cloudflare的DNS服务解析C2服务器，并建立tRPC连接以接收攻击者的指令。JSCEAL的主要功能包括窃取用户敏感信息、浏览器cookie、自动完成的密码，以及执行键盘记录和屏幕截图等操作。它还可以通过Puppeteer自动化用户操作，并利用WinPTY执行命令行任务。研究人员指出，JSCEAL的出现代表了一种新的攻击趋势，攻击者利用合法框架（如Node.js）来隐藏恶意代码，从而规避安全检测。

此外，安全研究人员近日揭露名为“Plague”的新型Linux后门，该恶意PAM模块已隐匿存在系统中长达一年。Plague通过篡改Pluggable Authentication Module认证机制，实现绕过身份验证、窃取凭据及长期SSH隐秘访问。其功能包括使用静态凭证、抗调试与混淆技术、防止命令日志记录，并通过清除SSH环境变量来掩盖入侵痕迹。多份样本自2024年7月以来被上传至VirusTotal，均未被反病毒引擎识别，表明其仍在持续开发中。研究指出，该后门深入Linux认证流程，能在系统更新后继续生效，几乎不留取证线索，极具隐蔽性与威胁性。

本期活跃的安全漏洞信息

1GitLab Language Server GraphQL注入漏洞（CVE-2025-8279）

2Microsoft SharePoint远程代码执行漏洞（CVE-2025-49701）

3Microsoft Word代码执行漏洞（CVE-2025-49700）

4Dell NetWorker代码执行漏洞（CVE-2025-21107）

5H3C视频监控系统文件上传漏洞（CNVD-2015-05834）

值得关注的安全事件

1越南黑客大规模部署PXA Stealer木马

Beazley Security与SentinelOne联合报告称，越南语黑客正通过PXA Stealer木马发起新一轮攻击，已感染全球62国逾4000个IP地址，窃取超20万个密码与400万浏览器Cookie。该木马以Python编写，具备提取浏览器数据、加密货币钱包信息及VPN配置等功能，并通过Telegram渠道将数据传回，用于在地下平台销售。攻击者利用DLL侧载、诱饵文档等手法隐藏恶意行为，展现出更高的战术复杂度。此类行为正助推一个自动化、规模化的黑产生态系统发展。

2黑客滥用Microsoft 365发送内部钓鱼邮件

Proofpoint最新报告揭示，攻击者正滥用Microsoft 365的“Direct Send”功能，通过未加固的SMTP中继系统发送仿冒内部邮件的钓鱼攻击。这类邮件伪装为来自同事的正常业务通知，主题包括“任务提醒”“语音留言”等，诱导员工点击。攻击者利用暴露的通信端口及伪造的DigiCert证书，使邮件看似可信，甚至绕过部分安全检测进入垃圾箱。该攻击突显出云服务滥用的安全隐患，专家建议组织加强邮件认证机制，并在不必要时禁用Direct Send功能，以降低信任被滥用的风险。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，研判网络安全形势并给出专业解读。