安天长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，赋能客户提升网络安全整体水平。

1. 安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则63条，本期升级改进检测规则40条，网络攻击行为特征涉及漏洞利用、文件上传等高风险，涉及代码执行、代码注入等中风险。

2. 更新列表

本期安天网络行为检测引擎规则库部分更新列表如下：

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_202500082207，建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.4 及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

3. 网络流量威胁趋势

近日，研究人员披露，威胁行为者正在利用微软Windows已修复的漏洞CVE-2025-29824（CLFS权限提升漏洞），投递PipeMagic恶意软件并实施RansomExx勒索攻击。据卡巴斯基与BI.ZONE报告，PipeMagic早在2022年就被用于针对东南亚工业企业的攻击，具备远程访问和命令执行能力。近期攻击主要发生在沙特和巴西，利用微软Azure托管组件，并通过伪装成微软帮助文件或假冒ChatGPT客户端作为加载器。微软将这些活动归因于威胁组织Storm-2460。该恶意软件采用模块化设计，并通过加密管道传输载荷，具备较强隐蔽性和持续性。

此外，安全研究人员发现开源生态中出现恶意PyPI与npm包，利用依赖关系实施供应链攻击。Zscaler报告称，PyPI库“termncolor”及其依赖“colorinal”通过多阶段加载流程，最终实现持久化与远程代码执行。攻击方式包括DLL劫持、伪装合法二进制文件并通过“libcef.dll”窃取系统信息，再借助开源聊天工具Zulip进行隐蔽通信。该恶意软件可在Windows与Linux系统运行，后者通过投放“terminate.so”执行相同功能。研究还发现，攻击者在Zulip组织内已交换近9万条消息，活跃迹象明显。同时，SlowMist披露攻击者伪装成招聘考核，诱骗开发者克隆含有恶意npm包的GitHub仓库，以窃取iCloud钥匙串、浏览器与加密货币钱包数据。

本期活跃的安全漏洞信息

1WordPress AL Pack plugin未授权访问漏洞（CVE-2025-7664）

2Apache Superset SQL注入漏洞（CVE-2025-55674）

3Microsoft Windows 文件资源管理器欺骗漏洞（CVE-2025-50154）

4Microsoft Word代码执行漏洞（CVE-2025-53733）

5Fortinet FortiSIEM 远程命令执行漏洞（CVE-2025-25256）

值得关注的安全事件

1 安天发布《“游蛇（银狐）”黑产最新变种攻击活动》分析报告

2025年8月13日起，游蛇（银狐）黑产实施一个新的攻击波次。安天CERT进行了响应处置。在本波次攻击中，攻击者利用社工技巧，将PE可执行文件进行打包和伪装，利用微信、钉钉等传播植入远控木马，并利用其对受害者进行诈骗。攻击中组合使用了“游蛇”黑产此前使用过的多种免杀手段，试图通过更加隐蔽的方式植入远控木马：利用PoolParty手段将Shellcode注入至目标进程中，该Shellcode与C2服务器连接获取载荷文件，通过该载荷文件在指定路径中释放“白加黑”组件并创建计划任务，“白加黑”组件执行后对bin文件进行解密执行最终的远控木马。

2Workday遭Salesforce数据泄露事件波及

2025年8月，人力资源巨头Workday披露其数据遭遇泄露，起因是第三方CRM平台在社会工程攻击中被入侵。公司确认攻击者未能访问客户租户数据，但部分业务联系信息（如姓名、邮箱、电话）已外泄，可能被用于后续钓鱼与诈骗。事件最早于8月6日被发现。攻击者冒充人事或IT人员，通过短信和电话诱骗员工泄露敏感信息。据悉，该事件与近期ShinyHunters组织针对Salesforce实例的全球攻击活动有关，该组织通过诱导员工绑定恶意OAuth应用窃取数据库，并进行勒索。除Workday外，Adidas、Allianz Life、Louis Vuitton、Google等多家知名企业亦受波及。此次事件再次凸显社会工程与供应链攻击对大型企业的严重威胁。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，研判网络安全形势并给出专业解读。