2026-01-12 01:15:19 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 安天发布网络行为检测升级，新增133条规则应对代码执行等风险。本期披露利用蓝屏动画部署DCRat的ClickFix攻击及AI衍生IDE扩展安全隐患。同时通报OpenBlocks等五枚漏洞及APT36针对印度的新一轮攻击，建议及时更新探海系统规则库并验证扩展可信度。 综合评分： 88 文章分类： 威胁情报,漏洞预警,恶意软件,网络安全

cover_image

安天网络行为检测能力升级通告（20260111）

安天集团

2026年1月11日 11:01 河北

点击上方”蓝字”

关注我们吧！

#

安天长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，赋能客户提升网络安全整体水平。

安天网络行为检测能力概述****

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则133条，本期升级改进检测规则53条，网络攻击行为特征涉及代码执行、代码注入等高风险，涉及漏洞利用、文件上传等中风险。

更新列表

本期安天网络行为检测引擎规则库部分更新列表如下：

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2026010807建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.4 及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

网络流量威胁趋势

近日，研究人员发现一起恶意软件活动，该活动采用ClickFix攻击，利用蓝屏死机动画诱导用户执行恶意代码，利用可信工具MSBuild.exe规避防御，部署DCRat远控木马，实现完全远程控制及二次payload投放，专门瞄准假日旺季的酒店行业。活动初始通过仿冒Booking.com预订取消邮件诱导用户点击链接，跳转至仿冒页面，以虚假验证码错误触发仿冒蓝屏动画，催促用户在Windows运行对话框执行恶意脚本。脚本执行PowerShell命令下载MSBuild项目文件v.proj，由MSBuild.exe编译执行内嵌payload，最终释放高度混淆的DCRat远控木马，具备进程注入、键盘记录、持久化远程控制等功能。

此外，研究人员发现Cursor、Windsurf等多款基于VSCode衍生的AI驱动IDE存在安全隐患，其推荐的部分扩展在OpenVSX注册表中不存在，可能被攻击者抢占命名空间并上传恶意扩展。这些衍生IDE因授权限制无法使用VSCode官方扩展商店，转而依赖开源的OpenVSX市场，但继承了配置文件中硬编码的官方推荐扩展列表（指向微软应用商店）。推荐扩展分文件触发式和软件检测式两类，部分扩展在OpenVSX无对应版本，相关发布者命名空间处于未被认领状态。为防范攻击，研究员已抢占6个扩展的命名空间并上传占位扩展，还与OpenVSX运营方协调强化安全措施。目前无证据显示该漏洞已被恶意利用，研究员建议衍生IDE用户手动验证扩展及发布者可信度。

本期活跃的安全漏洞信息

OpenBlocks身份验证绕过漏洞（CVE-2026-21411）

iccDEV 无限循环漏洞（CVE-2026-21507）

Adobe Experience Manager跨站脚本漏洞（CVE-2025-64799）

Microsoft Azure Cosmos DB欺骗漏洞（CVE-2025-64675）

MongoDB zlib压缩内存泄露漏洞（CVE-2025-14847）

值得关注的安全事件

安天发布《美军入侵委内瑞拉背后的网络作业能力频谱猜测与关联分析》报告

近日，美国对委内瑞拉实施军事打击并强抓委内瑞拉总统马杜罗夫妇。根据美国媒体的报道，当天的行动使用了网络战手段。安天基于对相关行为体的历史研究，从对应行为体的行为范式出发，基于能力体系评估和推断进行分析，发布相关报告。安天技术专家李柏松接受《环球时报》记者采访时表示，美国强大的网络攻击能力，平时以对他国信息系统深度掌控、持续隐蔽获取信息为目标，在战时可以转化为战场情报优势，并随时可以打击对手的金融、军事等关键基础设施，进一步导致社会运行崩溃解体。建议提升以体系对抗体系的能力。

APT36发起针对印度政府及学术界的新一轮攻击

透明部落（APT36）发起针对印度政府、学术及战略实体的新一轮攻击。该组织至少自2013年起活跃，惯于开展网络间谍活动，拥有CapraRAT等多款RAT木马武器库。此次攻击以鱼叉式钓鱼邮件为入口，附件含伪装成PDF的恶意LNK文件，打开后通过HTA脚本加载RAT负载，同时显示诱饵PDF规避怀疑。其恶意软件可根据目标系统杀毒软件类型调整持久化策略，相关DLL文件具备远程控制、数据窃取等完整功能。近几周，该组织还利用伪装政府咨询PDF的快捷方式发起攻击，虽关联C2服务器暂未激活，但注册表持久化使其具备复活的可能。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，研判网络安全形势并给出专业解读。

往期推荐:

安天网络行为检测能力升级通告（20251228）

安天网络行为检测能力升级通告（20251214）

安天网络行为检测能力升级通告（20251130）

安天网络行为检测能力升级通告（20251116）

安天网络行为检测能力升级通告（20251102）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安天集团《安天网络行为检测能力升级通告（20260111）》