安天长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，赋能客户提升网络安全整体水平。

1. 安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则57条，本期升级改进检测规则1262条，网络攻击行为特征涉及漏洞利用、文件上传等高风险，涉及代码执行、代码注入等中风险。

2. 更新列表

本期安天网络行为检测引擎规则库部分更新列表如下：

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2025103107，建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.4 及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

3. 网络流量威胁趋势

近日，安全研究机构Threat Fabric披露，一种名为Herodotus的新型Android木马以MaaS形式对外售卖，疑为Brokewell相关操作者所为。攻击者通过钓鱼短信传播自定义dropper，诱导用户开启Android Accessibility权限后安装主载荷。该木马可控制界面点击、滑动与文本输入，并创新性地在输入动作中注入0.3–3秒的随机延迟以模仿人类打字节奏，规避基于行为的防护检测。Herodotus还提供管理面板、银行/加密货币仿冒覆盖页、短信拦截与截屏功能。Threat Fabric在多条子域的检测显示其已被多名攻击者采用。建议用户避免来源不明的APK，启用Play Protect，并审查、撤销新安装应用的高风险权限（如Accessibility）。

此外，Varonis Threat Labs警告称，一项名为“BiDi Swap”的旧漏洞正被重新利用，用以伪造看似可信的网页链接。该漏洞源于浏览器对左右混排文字（LTR/RTL）的处理差异，攻击者可借此制造表面正常、实则指向恶意网站的URL，从而实施钓鱼攻击。早期类似技术包括Punycode同形异义域名与RTL覆盖符欺骗，而BiDi Swap进一步利用Unicode双向算法在子域和参数中的显示漏洞。测试发现，Chrome、Firefox及Edge等浏览器虽有不同程度防护，但仍存在显示混乱与识别盲区。研究人员建议用户在点击混合语言或结构异常的链接前仔细核查域名、SSL证书及拼写一致性，同时敦促浏览器厂商改进域名高亮与仿冒检测机制，以防视觉欺骗攻击。

本期活跃的安全漏洞信息

1Docker Compose OCI 路径遍历漏洞（CVE-2025-62725）

2Docker Desktop 安装程序 DLL 劫持漏洞（CVE-2025-9164）

3Apache Tomcat RewriteValve 路径遍历漏洞（CVE-2025-55752）

4Oracle WebLogic Server 拒绝服务漏洞（CVE-2025-61752）

5Microsoft Azure Cache for Redis Enterprise权限提升漏洞（CVE-2025-59271）

值得关注的安全事件

1俄黑客对乌发动隐蔽性网络攻击

据Symantec与Carbon Black威胁狩猎团队报告，俄方黑客近期针对乌克兰多家机构展开间谍活动，旨在窃取敏感数据并维持长期访问权限。攻击者通过在公共服务器上植入Web Shell（如LocalOlive）入侵系统，广泛使用“以系统之矛攻系统”的Living-off-the-Land（LotL）战术及双用途工具，减少恶意软件使用以规避检测。入侵行动包括执行PowerShell命令、修改注册表、建立RDP连接、部署OpenSSH并定时运行后门脚本等。尽管未发现确凿证据指向Sandworm组织，但其手法与俄方网络间谍活动高度相似。与此同时，Gamaredon组织亦利用WinRAR漏洞（CVE-2025-8088）攻击乌克兰政府机构，显示俄方网络攻击在持续演进与协同。

2Chrome将默认警告HTTP不安全网站

Google宣布，自2026年10月发布的Chrome 154起，浏览器将默认在访问未使用HTTPS的公共网站前提示用户确认，以强化防护中间人攻击与数据篡改风险。此举相当于默认启用“始终使用安全连接”功能，该模式自2021年起为可选设置。未来Chrome将在首次访问非加密网站时请求许可，而对经常访问的HTTP站点不重复提醒。预计2026年4月起，启用增强安全浏览的用户将率先体验该机制。Google表示，目前全球95%以上网站已采用HTTPS，因此此次过渡影响有限，但仍建议网站管理员尽早迁移至安全协议，以避免未来访问受限或出现安全提示。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，研判网络安全形势并给出专业解读。