俄APT组织利用了 Microsoft 管理控制台 (MMC) 中的关键0day漏洞

漏洞 CVE-2025-26633 允许攻击者绕过安全功能并在目标系统上执行恶意代码。趋势科技（Trend Research）认定俄罗斯黑客组织 Water Gamayun（又名 EncryptHub 和 Larva-208）是此次活动幕后元凶。

该组织利用被称为“MSC EvilTwin”的漏洞来传播一系列恶意负载，包括信息窃取程序和后门。

最近的攻击利用了微软管理控制台 (MMC) 框架中一个之前未被发现的漏洞，该框架是 Windows 系统内系统管理和配置的核心组件。

通过操纵 Microsoft 控制台 (.msc) 文件并滥用多语言用户界面路径 (MUIPath) 功能，攻击者可以诱骗系统执行恶意代码，同时看似运行合法的管理工具。

该漏洞的影响远不止立即执行代码。成功利用该漏洞可实现网络内横向移动、数据泄露，甚至部署勒索软件。

网络安全和基础设施安全局 (CISA) 发布了紧急公告，将CVE-2025-26633添加到已知利用漏洞目录中，并要求联邦机构在 2025 年 4 月 1 日之前修补受影响的系统。

微软 2025 年 3 月补丁日更新中修复了总共六个被积极利用的0day漏洞，这凸显了该威胁的严重性。

Water Gamayun 在这次攻击活动中的武器库令人担忧。研究人员已确定与此次攻击相关的多个模块，包括：

• EncryptHub 窃密木马
• DarkWisp 后门
• SilentPrism 后门
• MSC EvilTwin 装载机
• Stealc
• Rhadamanthys stealer窃密木马

这些工具使攻击者能够在受感染的系统上保持持久性，并将敏感数据上传到C2服务器。

该漏洞影响多种 Windows 版本，Windows Server 2016 及更早版本等旧系统由于默认保护措施较弱而特别容易受到威胁。然而，即使是现代 Windows 安装也无法免受威胁。

微软建议对无法立即修补漏洞的系统禁用远程 MMC 访问，但这可能会扰乱某些 IT 工作流程。

随着攻击者不断改进其策略并将关键系统组件作为目标，保持警惕的网络安全实践和及时修补对于组织和个人来说仍然至关重要。

技术报告：

https://www.trendmicro.com/en_us/research/25/c/cve-2025-26633-water-gamayun.html

新闻链接：

https://cybersecuritynews.com/hackers-exploit-windows-mmc-zero-day-vulnerability/

讲述普通人能听懂的安全故事