俄APT组织利用了 Microsoft 管理控制台 (MMC) 中的关键0day漏洞

admin 2025年3月26日15:33:46评论17 views字数 1095阅读3分39秒阅读模式

导 

漏洞 CVE-2025-26633 允许攻击者绕过安全功能并在目标系统上执行恶意代码。趋势科技(Trend Research)认定俄罗斯黑客组织 Water Gamayun(又名 EncryptHub 和 Larva-208)是此次活动幕后元凶。

俄APT组织利用了 Microsoft 管理控制台 (MMC) 中的关键0day漏洞

该组织利用被称为“MSC EvilTwin”的漏洞来传播一系列恶意负载,包括信息窃取程序和后门。

最近的攻击利用了微软管理控制台 (MMC) 框架中一个之前未被发现的漏洞,该框架是 Windows 系统内系统管理和配置的核心组件。

通过操纵 Microsoft 控制台 (.msc) 文件并滥用多语言用户界面路径 (MUIPath) 功能,攻击者可以诱骗系统执行恶意代码,同时看似运行合法的管理工具。

该漏洞的影响远不止立即执行代码。成功利用该漏洞可实现网络内横向移动、数据泄露,甚至部署勒索软件。

网络安全和基础设施安全局 (CISA) 发布了紧急公告,将CVE-2025-26633添加到已知利用漏洞目录中,并要求联邦机构在 2025 年 4 月 1 日之前修补受影响的系统。

微软 2025 年 3 月补丁日更新中修复了总共六个被积极利用的0day漏洞,这凸显了该威胁的严重性。

Water Gamayun 在这次攻击活动中的武器库令人担忧。研究人员已确定与此次攻击相关的多个模块,包括:

  • EncryptHub 窃密木马
  • DarkWisp 后门
  • SilentPrism 后门
  • MSC EvilTwin 装载机
  • Stealc
  • Rhadamanthys stealer窃密木马

这些工具使攻击者能够在受感染的系统上保持持久性,并将敏感数据上传到C2服务器。

该漏洞影响多种 Windows 版本,Windows Server 2016 及更早版本等旧系统由于默认保护措施较弱而特别容易受到威胁。然而,即使是现代 Windows 安装也无法免受威胁。

微软建议对无法立即修补漏洞的系统禁用远程 MMC 访问,但这可能会扰乱某些 IT 工作流程。

随着攻击者不断改进其策略并将关键系统组件作为目标,保持警惕的网络安全实践和及时修补对于组织和个人来说仍然至关重要。

技术报告:

https://www.trendmicro.com/en_us/research/25/c/cve-2025-26633-water-gamayun.html

新闻链接:

https://cybersecuritynews.com/hackers-exploit-windows-mmc-zero-day-vulnerability/

俄APT组织利用了 Microsoft 管理控制台 (MMC) 中的关键0day漏洞

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):俄APT组织利用了 Microsoft 管理控制台 (MMC) 中的关键0day漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月26日15:33:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   俄APT组织利用了 Microsoft 管理控制台 (MMC) 中的关键0day漏洞https://cn-sec.com/archives/3886732.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息