名为 EncryptHub 的威胁行为者利用 Microsoft Windows 系统中一个近期刚修复的安全漏洞(零日漏洞),投放了包括 Rhadamanthys 和 StealC 等后门程序及信息窃取程序在内的多种恶意软件家族。
趋势科技研究员 Aliakbar Zahravi 在一份分析报告中指出:“在此次攻击中,威胁行为者操控.msc 文件和多语言用户界面路径(MUIPath),从受感染系统中下载并执行恶意有效载荷、保持持续存在以及窃取敏感数据。”
所涉及的漏洞是 CVE-2025-26633(通用漏洞评分系统(CVSS)评分:7.0),Microsoft 将其描述为Microsoft 管理控制台(MMC)中的一个不当中和漏洞,攻击者可利用该漏洞在本地绕过一项安全功能。本月早些时候,Microsoft 在 “周二补丁日” 更新中修复了此漏洞。
趋势科技将这一漏洞利用手法命名为 “MSC EvilTwin”,并将可疑的相关活动集群追踪命名为 “Water Gamayun”。这个威胁行为者也被称为 LARVA-208,近期已成为 PRODAFT 和 Outpost24 分析的对象。
CVE-2025-26633 的核心在于,利用Microsoft 管理控制台框架(MMC),通过一个名为 “MSC EvilTwin 加载器” 的 PowerShell 加载器来执行恶意的Microsoft 控制台(.msc)文件。
具体而言,加载器会创建两个同名的.msc 文件:一个是正常文件,另一个是恶意的对应文件,该恶意文件被放置在同一位置但位于名为 “en-US” 的目录中。其原理是,当运行正常文件时,MMC 会在不经意间选择恶意文件并执行它。这是通过利用 MMC 的多语言用户界面路径(MUIPath)功能实现的。
Zahravi 解释称:“通过滥用 mmc.exe 使用 MUIPath 的方式,攻击者可以在 MUIPath 的 en – US 路径中配备恶意.msc 文件,这会导致 mmc.exe 加载该恶意文件而非原始文件,并且在受害者不知情的情况下执行。”
据观察,EncryptHub 还采用了另外两种利用.msc 文件在受感染系统上运行恶意有效载荷的方法:
1.使用 MMC 的 ExecuteShellCommand 方法在受害者机器上下载并执行下一阶段有效载荷,荷兰网络安全公司 Outflank 在 2024 年 8 月曾记录过这种方法。
2.使用诸如 “C:\Windows \System32”(注意 Windows 后面有个空格)这样的模拟可信目录来绕过用户账户控制(UAC),并投放一个名为 “WmiMgmt.msc” 的恶意.msc 文件。
趋势科技表示,攻击链可能始于受害者下载模仿钉钉或 QQTalk 等合法中文软件的经过数字签名的Microsoft 安装程序(MSI)文件,然后利用该文件从远程服务器获取并执行加载器。据悉,自 2024 年 4 月以来,该威胁行为者一直在试验这些技术。
Zahravi 称:“这场攻击活动仍在积极发展;它采用多种投放方式和定制有效载荷,旨在保持持续存在、窃取敏感数据,然后将数据泄露到攻击者的命令与控制(C&C)服务器。”
发表评论
您还未登录,请先登录。
登录