安天长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，赋能客户提升网络安全整体水平。

1. 安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则47条，本期升级改进检测规则125条，网络攻击行为特征涉及漏洞利用、文件上传等高风险，涉及代码执行、代码注入等中风险。

2. 更新列表

本期安天网络行为检测引擎规则库部分更新列表如下：

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2025091907，建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.4 及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

3. 网络流量威胁趋势

近日，研究人员发现Maranhão Stealer，这是一种基于Node.js的窃密木马，利用了反射型DLL注入技术。攻击者正通过盗版软件、破解游戏启动器和作弊程序传播Maranhão Stealer，该恶意软件使用Node.js编写，并打包成一个Inno Setup安装程序。根据目前收集到的情报，研究人员认为该恶意软件自2025年5月以来一直活跃，并且仍处于开发阶段。它通过注册表项和计划任务建立持久性，将有效载荷设置为隐藏属性，并执行详细的主机侦察，包括硬件、网络和地理位置分析。如凭据、Cookie、浏览历史记录和钱包数据等敏感信息，该恶意软件是通过对浏览器进行反射型DLL注入来窃取的，从而绕过了像AppBound加密这样的保护措施。

此外，研究人员发现了多起利用ITarian（又名Comodo）、PDQ、SimpleHelp和Atera等远程监控和管理（RMM）工具进行的攻击活动。RMM工具常被IT专业人员用于远程访问、系统监控和机器管理，但这些工具也会被攻击者恶意利用于攻击活动中。攻击者通常会以隐蔽的方式使用RMM工具，以在不触发警报的情况下维持对受害系统的控制。他们通过手动操作来调整行为，使其看起来像日常管理员活动，从而增加检测难度。研究人员发现了四种常见的诱饵主题：虚假的浏览器更新、会议邀请、派对邀请、虚假的政府表格。

本期活跃的安全漏洞信息

1WordPress User Meta 任意文件删除漏洞（CVE-2025-9693）

2Dataease 反序列化任意文件写入漏洞（CVE-2025-58046）

3Microsoft SharePoint Server 远程代码执行漏洞（CVE-2025-53770）

4Microsoft Windows Graphics Kernel远程代码执行漏洞（CVE-2025-55236）

5WinRAR 目录遍历漏洞(CVE-2025-8088)

值得关注的安全事件

1 安天发布安天CERT发布《游蛇（银狐）黑产传播与技战术持续追踪：仿冒FinalShell管理软件的攻击手法分析》报告

安天CERT近期发现“游蛇（银狐）”黑产利用仿冒的FinalShell下载网站传播远控木马，并结合搜索引擎SEO技术进行投毒攻击，使其搭建的恶意网站在搜索结果中的排名靠前，并且其域名也具有一定的迷惑性，从而诱导用户访问并下载恶意程序。此外，安天CERT发现有CSDN用户曾在发布的文章中将该恶意网站描述为官网下载地址。FinalShell是一款集远程连接、系统管理和开发辅助于一体的跨平台工具，由国内团队开发，支持Windows、macOS、Linux，常用于运维和开发场景。

“游蛇”攻击组织，其他安全企业又称“银狐”、“谷堕大盗”等，主要针对国内用户进行攻击诈骗活动。安天在2022年下半年发现和分析游蛇组织的早期活动，包括伪装常用软件下载站和搜索引擎SEO和钓鱼邮件方式实施投放，采取白加黑方式执行，利用即时通讯软件（微信、企业微信等）进一步扩散。其主要获利方式为通过即时通讯软件拉群的方式进行诈骗，同时也对感染主机形成窃密能力，可能进行数据贩卖等其他活动。其传播的恶意文件变种极多、免杀手段更换极为频繁，影响到的个人和行业极为广泛。

2得克萨斯州尤瓦尔迪公立学区遭受勒索软件攻击

得克萨斯州尤瓦尔迪的公立学区因勒索软件攻击被迫关闭。尤瓦尔迪联合独立学区为尤瓦尔迪县以及扎瓦拉县和雷亚尔县部分地区约5000名学生提供服务。该学区通讯主管在社交媒体上表示，他们正在处理一起重大的技术事件。学区的服务器中检测到勒索软件，严重影响了对电话、空调控制、摄像头监控、访客管理、Skyward等基本系统的访问。该负责人没有回应有关此次事件幕后黑手的问题，目前也还没有勒索组织宣布对此事负责。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，研判网络安全形势并给出专业解读。