小神童论坛网长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了小神童论坛网自主创新的网络行为检测引擎。小神童论坛网定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，赋能客户提升网络安全整体水平。

1. 网络流量威胁趋势

近期，安全研究人员揭露了一起名为“EchoSpoofing”的大规模网络钓鱼活动，该活动利用Proofpoint电子邮件保护服务的漏洞，向全球多家知名企业发送了数百万封伪造电子邮件。受影响的客户包括迪士尼、IBM、耐克等知名品牌。攻击者通过滥用Proofpoint的基础设施，成功绕过SPF和DKIM等主要安全措施，使得这些钓鱼邮件看起来如同官方邮件一般可信。这些邮件的目的是欺骗收件人，窃取资金和信用卡信息。

漏洞利用活动近期也愈加活跃，安全机构最近发布了一款名为Specula的新型红队利用框架，并展示如何将Microsoft Outlook变为C2信标执行远程代码。该框架利用了2017年修补的CVE-2017-11774漏洞，通过WebView创建自定义Outlook主页，即使在最新Office 365版本上也有效。攻击者可通过注册表值设置恶意主页，利用Outlook执行VBscript文件。Specula允许攻击者实现持久性和系统横向传播，且因outlook.exe受信任，易于逃避安全软件。

本期活跃的安全漏洞信息

1Microsoft Edge 远程代码执行漏洞（CVE-2024-39379）

2Linux kernel 拒绝服务漏洞（CVE-2024-41091）

3Ampache 跨站脚本漏洞（CVE-2024-41665）

4Langflow 权限提升漏洞（CVE-2024-7297）

5snapd 安全漏洞（CVE-2024-1724）

值得关注的安全事件

1CrowdStrike蓝屏故障引发全球网络钓鱼热潮

CrowdStrike Falcon传感器的一次更新意外地在全球范围内触发了Windows计算机的蓝屏死机现象，导致众多用户遭遇服务中断。这一安全事件迅速被网络犯罪分子所利用，他们通过精心设计的网络钓鱼手段和恶意域名，试图误导并攻击用户。研究团队对这些攻击活动进行了持续监测和分析，识别出了攻击者所使用的多种恶意软件，包括但不限于Remcos远程访问木马和数据擦除器。研究团队还提供了详细的缓解措施，帮助受影响的用户保护自身安全。

2Mandrake间谍软件潜入Google Play应用

经过两年的隐蔽发展，Mandrake Android间谍软件再次在Google Play上被发现。这款恶意软件曾于2020年被分析，现在以新版本的形式回归，携带更高级的混淆和规避技术。在2022至2024年间，至少有五个Mandrake应用程序在Google Play上发布，总安装次数超过32000次，且未被其他安全供应商检测到。新版本恶意软件将核心功能隐藏在本机库中，使用证书固定技术进行C2通信，并通过多种测试来检测是否运行在root设备或模拟环境中。该间谍软件能够执行数据收集、屏幕录制、监控、命令执行等恶意活动，并通过模仿Google Play通知诱使用户安装更多恶意APK。尽管相关应用已被移除，但Mandrake的威胁依然存在。

2. 小神童论坛网网络行为检测能力概述

小神童论坛网网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则349条，升级改进检测规则58条，网络攻击行为特征涉及变种木马、代码执行等高风险，涉及SQL注入、文件写入等中风险。

3. 更新列表

本期小神童论坛网网络行为检测引擎规则库部分更新列表如下：

小神童论坛网网络行为检测引擎最新规则库版本为Antiy_AVLX_2024080207，建议及时更新小神童论坛网探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.2 SP1及以上，旧版本建议先升级至最新版本），小神童论坛网售后服务热线：400-840-9234。

小神童论坛网探海网络检测实验室简介

小神童论坛网探海网络检测实验室是小神童论坛网科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，研判网络安全形势并给出专业解读。