每日安全简讯(20250725)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 WordPress mu-plugins隐藏后门攻击曝光

网络安全研究人员揭露了一种隐蔽的WordPress后门攻击。攻击者利用WordPress的mu-plugins目录植入恶意文件“wp-index.php”，该文件自动加载且无法通过管理面板禁用，从而实现持久化控制。该后门通过ROT13混淆技术隐藏远程有效载荷URL，下载并执行恶意代码，允许攻击者远程运行任意PHP代码。此外，攻击者还创建隐藏管理员账户“officialwp”，并可篡改常见管理员账户密码，以维持访问权限。此次攻击凸显了mu-plugins目录的安全隐患，建议用户定期更新WordPress及插件，使用强密码并启用双因素认证，同时扫描网站文件以防范此类威胁。

https://blog.sucuri.net/2025/07/uncovering-a-stealthy-wordpress-backdoor-in-mu-plugins.html?web_view=true

---

2 Coyote新变种利用UI自动化恶意软件攻击金融行业

Coyote恶意软件的新变种首次在野外恶意使用了微软的UI自动化（UIA）框架。该变种主要针对巴西用户，通过UIA提取与75家银行机构网址和加密货币交易所相关的凭证。Coyote利用UIA解析目标应用程序的子元素，提取敏感信息，并通过社会工程学手段操纵UI组件，无缝地将受害者重定向到恶意服务器。研究人员建议通过监控UIAutomationCore.dll的加载情况和UIA命名管道的使用情况来检测异常活动，并强调防御者需保持警惕，以应对这种新兴的攻击手段。

https://www.akamai.com/blog/security-research/active-exploitation-coyote-malware-first-ui-automation-abuse-in-the-wild

---

3 Greedy Sponge利用恶意软件攻击墨西哥金融组织

以经济利益为目的的威胁组织Greedy Sponge自2021年以来一直活跃，近期其攻击手段再次升级。该组织利用定制的AllaKore RAT和SystemBC恶意软件，针对墨西哥中大型企业实施金融诈骗。攻击者通过鱼叉式网络钓鱼和驱动式攻击，向目标发送包含恶意MSI安装程序的ZIP文件，进而部署远程访问木马并窃取银行凭证。其网络基础设施主要托管在德克萨斯州的Hostwinds服务器上，且通过特定的地理围栏技术限制攻击范围。

https://arcticwolf.com/resources/blog/greedy-sponge-targets-mexico-with-allakore-rat-and-systembc/

---

4 全球时尚品牌SABO超过350万客户记录被曝光

总部位于澳大利亚的全球时尚品牌SABO遭遇数据泄露事件，超过350万条客户记录被曝光，涉及姓名、地址、订单详情等敏感信息。此次泄露由网络安全研究员发现，相关数据存储于一个未设置密码保护的数据库中，总计292GB。目前尚不清楚该数据库是SABO直接管理还是由第三方管理，也不清楚数据暴露了多长时间及是否有其他方访问过。

https://hackread.com/global-fashion-label-sabo-customer-records-leaked/?web_view=true

---

5 勒索软件组织Lynx声称攻击PC制造商iBUYPOWER

勒索软件组织Lynx承认其于6月份对游戏PC制造商iBUYPOWER及其姊妹品牌HYTE发起了网络攻击，导致数据泄露。iBUYPOWER于6月25 日宣布在6月21日遭遇网络安全事件，多个内部系统暂时中断。目前尚不清楚iBUYPOWER是否支付了赎金、Lynx索要的赎金金额、攻击者是如何入侵该公司网络的，以及哪些具体数据遭到泄露。不过，iBUYPOWER表示其不会在其网络环境中存储客户支付信息。

https://www.comparitech.com/news/ransomware-gang-says-it-hacked-pc-maker-ibuypower/?&web_view=true

---

6 FBI和CISA警告Interlock勒索软件攻击关键基础设施

美国联邦调查局（FBI）和网络安全与基础设施安全局（CISA）联合发布警告，称Interlock勒索软件组织正在针对北美和欧洲的关键基础设施和企业展开攻击。该组织采用独特的双重勒索策略，不仅加密受害者数据，还会窃取敏感信息并威胁公开泄露。Interlock勒索软件自 2024年9月首次被发现以来，攻击手段不断演变，包括通过合法网站的“路过式下载”和伪装成浏览器更新的社会工程手段获取初始访问权限。此外，该组织还利用ClickFix技术诱骗用户执行恶意命令。目前，相关机构已建议各组织加强安全措施，包括修补系统漏洞、实施多因素身份验证和网络分段等。

https://hackread.com/fbi-cisa-interlock-ransomware-target-critical-infrastructure/

---