安天网络行为检测能力升级通告（20250727）

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则65条，本期升级改进检测规则54条，网络攻击行为特征涉及漏洞利用、文件上传等高风险，涉及代码执行、代码注入等中风险。

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_20250072507建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.4 及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

近日，安全研究人员披露了名为MDifyLoader的新恶意软件与利用Ivanti Connect Secure (ICS)设备安全漏洞的攻击有关。攻击者利用CVE-2025-0282和CVE-2025-22457漏洞投放MDifyLoader，并在内存中启动Cobalt Strike。CVE-2025-0282允许未经身份验证的远程代码执行，已于2025年1月修复；CVE-2025-22457是一个堆栈缓冲区溢出漏洞，已于2025年4月修复。攻击者还使用了基于Go语言的远程访问工具VShell和网络扫描工具Fscan。进入内部网络后，攻击者对FTP、MS-SQL和SSH服务器进行暴力攻击，利用EternalBlue漏洞横向移动，并创建新域账户以保持持久性。

此外，研究人员发现了一种隐蔽的WordPress后门攻击。攻击者利用WordPress的mu-plugins目录植入恶意文件“wp-index.php”，该文件自动加载且无法通过管理面板禁用，从而实现持久化控制。该后门通过ROT13混淆技术隐藏远程有效载荷URL，下载并执行恶意代码，允许攻击者远程运行任意PHP代码。此外，攻击者还创建隐藏管理员账户“officialwp”，并可篡改常见管理员账户密码，以维持访问权限。此次攻击凸显了mu-plugins目录的安全隐患，建议用户定期更新WordPress及插件，使用强密码并启用双因素认证，同时扫描网站文件以防范此类威胁。