名为 EncryptHub 的威胁组织利用了微软 Windows 中最近修复的安全漏洞作为零日漏洞,来投放包括后门和信息窃取器(如 Rhadamanthys 和 StealC)在内的多种恶意软件家族。
“在这次攻击中,威胁者操纵 .msc 文件和多语言用户界面路径(MUIPath),以下载并执行恶意载荷、维持持久性和从受感染系统中窃取敏感数据,”Trend Micro 研究员 Aliakbar Zahravi 在分析中表示。
所涉及的漏洞是 CVE-2025-26633(CVSS 评分:7.0),微软将其描述为 Microsoft Management Console(MMC)中的不正确中和漏洞,可能允许攻击者在本地绕过安全功能。该公司在本月初的 Patch Tuesday 更新中修复了这一漏洞。
Trend Micro 已将该漏洞利用命名为 MSC EvilTwin,并将疑似俄罗斯活动集群追踪为 Water Gamayun。该威胁组织还被称为 LARVA-208。
CVE-2025-26633 核心上利用了 Microsoft Management Console 框架(MMC),通过名为 MSC EvilTwin 加载程序的 PowerShell 加载程序执行恶意 Microsoft Console(.msc)文件。
具体来说,它涉及加载程序创建两个同名的 .msc 文件:一个干净文件和一个恶意文件,后者被放置在同一个位置但位于名为 “en-US” 的目录中。其想法是,当运行前者时,MMC 会意外地选择恶意文件并执行它。这是通过利用 MMC 的多语言用户界面路径(MUIPath)功能实现的。
“通过滥用 mmc.exe 使用 MUIPath 的方式,攻击者可以为 MUIPath en-US 配备恶意 .msc 文件,导致 mmc.exe 加载并执行恶意文件,而不是原始文件,且在受害者不知情的情况下进行,”Zahravi 解释说。
EncryptHub 还被观察到采用另外两种方法,利用 .msc 文件在受感染系统上运行恶意载荷:
– 使用 MMC 的 ExecuteShellCommand 方法在受害者的机器上下载并执行下一阶段的载荷,这种方法此前由荷兰网络安全公司 Outflank 于 2024 年 8 月记录在案。
– 使用伪造的可信目录(如 “C:\Windows \System32”)来绕过用户账户控制(UAC),并投放名为 “WmiMgmt.msc” 的恶意 .msc 文件。
Trend Micro 表示,攻击链可能从受害者下载伪装成合法中国软件(如钉钉或 QQTalk)的数字签名 Microsoft 安装程序(MSI)文件开始,然后用于从远程服务器获取并执行加载程序。据说该威胁组织自 2024 年 4 月以来一直在试验这些技术。
“这场活动正处于积极发展阶段,它采用多种投递方法和定制载荷,旨在维持持久性、窃取敏感数据,然后将其外泄至攻击者的命令与控制(C&C)服务器,”Zahravi 说。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容