CVE-2025-26633:Water Gamayun如何利用MSC EvilTwin武器化MUIPath
Trend Research发现俄罗斯威胁组织Water Gamayun利用Microsoft管理控制台(MMC)框架中的零日漏洞执行恶意代码,该技术被命名为MSC EvilTwin(CVE-2025-26633)。
在此攻击中,威胁参与者操纵.msc文件和多语言用户界面路径(MUIPath)来下载和执行恶意负载,维持持久性并从受感染系统窃取敏感数据。
此类威胁可能对企业造成重大影响,导致数据泄露和重大财务损失。各种企业,特别是那些大量使用Microsoft管理工具的企业,可能成为此攻击活动的受害者。
Microsoft和Trend Zero Day Initiative™(ZDI)漏洞赏金计划合作披露了此漏洞并快速发布了修补程序。Trend Vision One™ - 网络安全为Trend Micro客户提供TippingPoint入侵防御过滤器来防范此威胁。
技术细节
Microsoft管理控制台和Microsoft控制台文件
Microsoft管理控制台(MMC)是一个提供图形用户界面(GUI)和编程框架的应用程序,用于创建、保存和访问管理工具集合(称为控制台),用于管理各种Windows硬件、软件和网络组件。这些管理工具称为管理单元,是链接到Microsoft控制台文件的COM对象。
单个.msc文件可以包含对多个管理单元的引用。这些文件可编写脚本,允许用户创建、修改和使用它们来打开具有预定义工具和配置的MMC。
Water Gamayun使用的技术
在其攻击中,Water Gamayun滥用三种技术通过Windows MSC文件在受感染系统上执行恶意负载:
1. MSC EvilTwin (CVE-2025-26633)
此技术涉及通过合法的.msc文件执行恶意的.msc文件。在这种攻击中,特洛伊加载程序在系统上创建两个同名的.msc文件:一个文件是干净的,看起来合法且没有可疑元素;另一个是恶意版本,被放置在相同位置但位于名为en-US的目录中。当干净的.msc文件运行时,mmc.exe会加载恶意文件而不是原始文件并执行。
在这种情况下,攻击者滥用mmc.exe的多语言用户界面路径(MUIPath)功能。默认系统语言——英语(美国)——的MUIPath通常配置为包含MUI文件(.mui),这些文件设计用于存储应用程序的特定语言资源。
通过滥用mmc.exe使用MUIPath的方式,攻击者可以在MUIPath en-US中配备恶意的.msc文件,这导致mmc.exe加载此恶意文件而不是原始文件并在用户不知情的情况下执行。
2. 通过MSC文件Web渲染执行shell命令
第二种技术通过MMC的View对象的ExecuteShellCommand方法在受害者机器上执行命令shell。这可以通过利用特制.msc文件和ActiveX控件中的Shockwave Flash对象来实现,该控件默认打开Web浏览器。
ExecuteShellCommand方法是MMC View对象的一部分,它在窗口中运行命令。在这种情况下,View对象在MMC管理单元托管Microsoft Internet Explorer浏览器组件时充当外部对象。这意味着可以通过在HTML页面中嵌入脚本标签来远程访问MMC的view对象方法。
攻击者使用以下命令在受害者机器上下载并执行下一阶段负载。
3. 模拟受信任目录方法
第三种方法涉及通过在其名称中添加尾随空格或特殊字符来创建看起来类似于标准系统路径的模拟目录。例如,创建"C:\Windows \System32"(注意\System32前的空格)而不是标准的"C:\Windows\System32"。当应用程序的路径验证逻辑在字符串比较期间未正确处理空格时,它可能将修改后的目录解释为等同于真正的系统路径。这可能导致从替代位置而不是预期的系统目录加载文件。
MSC EvilTwin特洛伊加载程序
MSC EvilTwin加载程序是一个用PowerShell编写的特洛伊加载程序,利用上述所有技术在受感染系统上下载和执行恶意负载。我们的分析表明,攻击始于一个数字签名的MSI文件,伪装成流行的中文软件如钉钉或QQTalk。这些文件旨在从攻击者的C&C服务器获取MSC EvilTwin加载程序并在受害者机器上执行它。
加载程序包含两个Base64编码的blob,称为$originalConsole和$hackedConsole。这些是.msc文件。originalConsole变量存储合法的非恶意.msc文件,而hackedConsole包含具有攻击者C&C服务器地址的恶意制作的.msc文件。
最初,加载程序创建两个目录:C:\Windows \System32和C:\Windows \System32\en-US,这些目录看起来类似于Windows系统上的合法WmiMgmt.msc路径。然后加载程序解码并写入.msc文件的内容。对于en-US目录中的WmiMgmt.msc文件,它将占位符{htmlLoaderUrl}替换为攻击者的C&C服务器URL。
恶意软件然后执行位于C:\Windows\System32\WmiMgmt.msc的非恶意WmiMgmt.msc。这会触发EvilTwin技术,导致mmc.exe从MUI路径en-US加载并执行WmiMgmt.msc。此文件在StringTable部分包含攻击者的C&C服务器URL。
这导致具有ActiveX Control管理单元的mmc.exe加载Microsoft的Internet Explorer浏览器组件并在mmc.exe内加载URL的HTML内容以进行渲染和显示。在这种情况下,攻击者在恶意HTML页面中的脚本标签内嵌入了external.ExecuteShellCommand方法,这导致MMC在受害者机器上执行给定命令。
防护措施
Trend Vision One防护
组织可以使用Trend Vision One™保护自己免受Water Gamayun等攻击——这是唯一一个集中化网络风险暴露管理、安全操作和强大分层保护的AI驱动企业网络安全平台。
Trend对CVE-2025-26633的保护
以下保护措施已提供给Trend Micro客户:
Trend Vision One™ - 网络安全
- TippingPoint入侵防御过滤器
- 45359: TCP: Backdoor.Shell.DarkWisp.A运行时检测
- 45360: HTTP: Trojan.Shell.EncryptHubStealer.B运行时检测
- 45361: HTTP: Backdoor.Shell.SilentPrism.A运行时检测
- 45594: HTTP: Trojan.Shell.EncryptHubStealer.B运行时检测(通知请求)
- 45595: HTTP: Trojan.Shell.MSCEvilTwin.A运行时检测(负载 - 服务器响应)
Trend Vision One威胁情报
- ZDI-CAN-26371 (CVE-2025-26633): Water Gamayun利用MSC EvilTwin零日漏洞
- 威胁参与者: Water Gamayun
- 新兴威胁: CVE-2025-26633
- 漏洞: CVE-2025-26633
狩猎查询
Trend Vision One客户可以使用Search App在其环境中匹配或狩猎本博客文章中提到的恶意指标。
监控与可疑C&C IP的网络连接:
|
|
查找从异常路径执行.msc文件的进程(mmc.exe):
|
|
更多狩猎查询可供具有威胁洞察权限的Trend Vision One客户使用。