安天长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，提升网络安全整体水平。

一、安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则44条，本期升级改进检测规则79条，网络攻击行为特征涉及代码执行、代码注入等高风险，涉及漏洞利用、文件上传等中风险。

二、更新列表

本期安天网络行为检测引擎规则库部分更新列表如下：

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2026060407，建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.4 及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

三、网络流量威胁趋势

近期，研究人员披露黑客组织滥用某AI聊天服务的内容共享功能展示虚假的服务中断页面，并引导用户下载伪装成桌面应用程序的恶意软件。该活动通过搜索广告将查询相关服务的用户引导至托管在合法域名下的恶意共享页面。用户点击广告后，会看到一条渲染后的故障通知，声称网页版因访问量过大暂时不可用，并提示下载桌面应用继续使用。虚假故障通知依托AI服务自身渲染能力生成自定义HTML、CSS页面，不部署在攻击者自有站点，用户点击下载后跳转仿冒下载门户。

此外安全研究人员披露，名为DriveSurge的黑客组织依托ClickFix和FakeUpdates技术，入侵数千个合法网站开展大规模恶意软件分发。被访问用户会被站点重定向至恶意分发域名，平台根据访客信息区分诱饵类型：ClickFix以故障修复为由诱导用户复制执行恶意命令，FakeUpdates伪装浏览器更新弹窗下发恶意载荷，攻击中还包含面向macOS平台的混淆JavaScript恶意载荷。

本期活跃的安全漏洞信息

1Google Chrome资源管理错误漏洞（CVE-2026-9112）

2Microsoft Word信息泄露漏洞（CVE-2026-35440）

3Microsoft Windows Native WiFi Miniport Driver代码执行漏洞（CVE-2026-32161）

4OpenClaw安全绕过漏洞（CVE-2026-45001）

5OpenClaw数据伪造问题漏洞（CVE-2026-44999）

值得关注的安全事件

1俄罗斯GREYVIBE组织使用AI攻击乌克兰相关实体

安全研究人员披露，GREYVIBE攻击组织自2025年8月起持续针对乌克兰军政、政府、民间及商业机构实施情报窃密攻击，组织运营时区为俄罗斯时区、使用俄语。攻击者借助鱼叉式钓鱼邮件、虚假验证码页面、恶意成人站点投放自研恶意程序，同时利用生成式AI、大模型优化攻击链路，目前暂无法确认该组织与俄官方存在确切关联，但该团伙与黑产产业链存在中等关联度。

2CIFSwitch本地提权漏洞影响多类Linux发行版

Linux系统爆出CIFSwitch本地权限提升漏洞，漏洞源于内核CIFS组件校验缺陷，非特权用户可伪造Kerberos认证请求，诱导具备root权限的辅助程序执行非法操作，最终获取系统root权限，漏洞影响6.14及以上内核版本与部分旧版Linux发行版。

四、安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，研判网络安全形势并给出专业解读。