Check Point Research(CPR)发现了臭名昭著的APT集团Stealth Falcon的新网络间谍活动,强调了Microsoft Windows WebDAV中零日漏洞(CVE-2025-33053)的武器化。复杂的攻击主要集中在中东和非洲的防御实体,利用。url文件,离地生活二进制文件(LOLBins),以及一个名为荷鲁斯的定制神话代理,以秘密渗透高调的目标。

“该攻击使用了利用零日漏洞(CVE-2025-33053)的。url文件从演员控制的WebDAV服务器执行恶意软件,”CPR在威胁报告中透露。

微软于2025年6月10日修补了该漏洞,允许通过操纵的工作目录执行远程代码。通过制作恶意。url文件,攻击者利用Windows的执行流程,用托管在攻击者控制的WebDAV服务器上的恶意软件替换合法系统二进制文件。

在一个案例中,土耳其一家国防公司提交了一份名为TLM.005_TELESKOPK_MAST_HASAR_HASAR_BILDIRIM_RAPORU.pdf.url的文件。该快捷方式是为执行iediagcmd.exe(一种合法的Windows诊断工具)而设计的,但将其工作目录重定向到WebDAV服务器,导致它运行恶意路由。

“iediagcmd工具将运行route.exe可执行攻击者放置在\summerartcamp[.]net@ssl@443…而不是系统32中的合法攻击者,”CPR解释说。

攻击链是多阶段的,巧妙地混淆了。初始 .url 文件加载名为 Horus Loader 的 C++ 恶意软件加载器,该加载器采用:

• ①代码 Virtualizer 混淆
• ②防调试技术
• ③手动 DLL 映射
• ④Decoy 文档执行
• ⑤存储器驻留有效载荷注入

Horus Loader在将自定义有效载荷(完全由IP模糊的IPv6字符串组成)注入悬浮过程(msedge.exe)时解密并显示合法的PDF,有效地将有效载荷隐藏在网络语法中。

“揭示的是大量IPv6地址……使用数千个呼叫RtlIpv6StringToAddressA转换为有效载荷,”研究人员写道。

一旦执行,Horus Agent,一个高度定制的C ++植入物,建立在Mythic C2框架上,接管。它使用AES加密,HMAC完整性检查和base64编码与C2基础设施进行通信,并支持隐身命令,如:

• ①调查 – 指纹目标机
• ②shinjecthunked – 隐身模式下的 Shellcode 注入
• ③上传 – 数据泄漏
• ④退出 – 清洁终止

植入物实现字符串混淆,API散列,控制流扁平化和虚拟Windows API导入以逃避静态分析。

“这可能是为了混淆静态分析引擎……在以前的Stealth Falcon后门中观察到,”Check Point说。

该活动还揭示了一个强大的后妥协工具包,包括:

• ①DC 凭据扣款机:从虚拟磁盘中提取 NTDS.dit、SAM 和 SYSTEM 文件以绕过实时操作系统锁。
• ②被动后门:一个轻量级的AES加密侦听器嵌入在假的“用户配置文件服务检查”中。
• ③自定义键盘记录器:在 C:\Windows\Temp 中将按键记录到 RC4 加密文件。

Check Point将活动归因于Stealth Falcon(又名Stealth Falcon)。FruityArmor)基于代码相似性,基础设施重叠和特定区域定位。APT组织有已知的间谍活动历史,反对:

“隐形猎鹰的活动主要集中在中东和非洲,在土耳其,卡塔尔,埃及和也门观察到政府和国防部门的高调目标。

Horus Agent标志着Stealth Falcon早期植入物(如阿波罗)的显着演变。基于NET的Mythic代理。与Apollo不同,Horus在C ++中重写,提供更多的隐身功能,并将多种注射技术组合成统一的可配置模块。