CVE-2025-26633:Water Gamayun如何通过MSC EvilTwin利用MUIPath进行攻击

俄罗斯威胁组织Water Gamayun利用Microsoft管理控制台零日漏洞CVE-2025-26633,通过MSC EvilTwin技术执行恶意代码并窃取数据。文章详细分析了攻击技术、载荷执行方式及防护措施。

CVE-2025-26633:Water Gamayun如何通过MSC EvilTwin利用MUIPath进行攻击

Trend Research发现俄罗斯威胁组织Water Gamayun利用Microsoft管理控制台框架中的零日漏洞执行恶意代码,该技术被命名为MSC EvilTwin(CVE-2025-26633)。

在此攻击中,威胁行为者操纵.msc文件和多语言用户界面路径(MUIPath)以下载和执行恶意载荷,维持持久性并从受感染系统中窃取敏感数据。

此类威胁可能对企业造成重大影响,导致数据泄露和重大财务损失。各种企业,特别是那些大量使用Microsoft管理工具的企业,可能成为此攻击活动的受害者。

Microsoft和Trend Zero Day Initiative™(ZDI)漏洞赏金计划合作披露了此漏洞,并迅速发布了修补程序。Trend Vision One™ - 网络安全为Trend Micro客户提供TippingPoint入侵防御过滤器,以防范此威胁。

Microsoft管理控制台和Microsoft控制台文件

Microsoft管理控制台(MMC)是一个提供图形用户界面(GUI)和编程框架的应用程序,用于创建、保存和访问管理工具集合(称为控制台),以管理各种Windows硬件、软件和网络组件。这些管理工具称为管理单元,是与Microsoft控制台文件链接的COM对象。Windows防火墙(wf.msc)就是此类工具的一个示例。

单个.msc文件可以包含对多个管理单元的引用(图3)。这些文件可编写脚本,允许用户创建、修改和使用它们以打开带有预定义工具和配置的MMC。

Water Gamayun使用的技术

在其攻击中,Water Gamayun滥用三种技术通过Windows MSC文件在受感染系统上执行恶意载荷:

MSC EvilTwin(CVE-2025-26633)

此技术涉及通过合法的.msc文件执行恶意的.msc文件。在此类攻击中,特洛伊加载程序在系统上创建两个同名的.msc文件:一个文件是干净的,看起来合法,没有可疑元素;另一个是恶意版本,被放置在相同位置但位于名为en-US的目录中。当干净的.msc文件运行时,mmc.exe加载恶意文件而不是原始文件并执行。

在这种情况下,攻击者滥用mmc.exe的多语言用户界面路径(MUIPath)功能。默认系统语言——英语(美国)——的MUIPath通常配置为包含MUI文件(.mui),这些文件设计用于存储应用程序的特定语言资源。这些资源包括针对不同语言量身定制的本地化文本、对话框和用户界面元素。

通过滥用mmc.exe使用MUIPath的方式,攻击者可以在MUIPath en-US中配备恶意的.msc文件,这导致mmc.exe加载此恶意文件而不是原始文件并在受害者不知情的情况下执行。

以下代码片段演示了此技术在mmc.exe(SHA256:80055590cf6573c6ef381c9b834c35c1a5e7463aedbcf4b5427a903f1e588c50)中被滥用的方式:10.0.26100.2033(WinBuild.160101.0800)文件。

当通过mmc.exe执行.msc文件时,ScOnOpenDocument函数调用scGetMuiPath函数,该函数使用GetFileMUIPath Windows API来检索MUI文件(如果存在)。

如果MUIPath en-US存在,mmc.exe从en-US目录中的.msc文件加载XML内容而不是从原始MSC文件加载,并执行它。如果en-US目录不存在,则加载并执行所选.msc文件的内容。

通过MSC文件Web渲染执行shell命令

第二种技术通过MMC的View对象的ExecuteShellCommand方法在受害者机器上执行命令shell。这可以通过利用特制的.msc文件和ActiveX控件中的Shockwave Flash对象来实现,该对象默认打开Web浏览器(图5)。

ExecuteShellCommand方法是MMC View对象的一部分,它在窗口中运行命令(图6)。

在这种情况下,当MMC管理单元托管Microsoft Internet Explorer浏览器组件时,View对象充当外部对象。这意味着可以通过嵌入脚本标签从MMC中显示的HTML页面远程访问MMC的视图对象方法,例如: <script>external.ExecuteShellCommand(...)</script>

在这种情况下,攻击者托管以下命令以下载并在受害者机器上执行下一阶段载荷(图7)。此技术先前已被安全从业者讨论过,并有一个概念验证。

模拟受信任目录方法

第三种方法涉及通过添加尾随空格或特殊字符在名称中创建看起来类似于标准系统路径的模拟目录。例如,创建“C:\Windows \System32”(注意\System32之前的空格)而不是标准的“C:\Windows\System32”。当应用程序的路径验证逻辑在字符串比较期间未正确处理空格时,它可能将修改后的目录解释为等同于真正的系统路径。这可能导致从替代位置而不是预期的系统目录加载文件。在使用加载具有提升访问级别的库或可执行文件的应用程序时,此技术变得相关。MSC EvilTwin加载程序使用此方法放置WmiMgmt.msc(图8)。

MSC EvilTwin特洛伊加载程序

MSC EvilTwin加载程序是一个用PowerShell编写的特洛伊加载程序,利用上述所有技术下载并在受感染系统上执行恶意载荷(图9)。我们的分析表明,攻击始于一个数字签名的MSI文件,伪装成流行的中国软件,如DingTalk或QQTalk(SHA256:5588d1c5901d61bb09cd2fc86d523e2ccbc35a0565fd63c73b62757ac2ee51f5)。这些文件设计用于从攻击者的C&C服务器获取MSC EvilTwin加载程序并在受害者机器上执行它。

在我们的调查中,我们发现了此技术在2024年4月使用的早期版本。

加载程序包含两个Base64编码的blob,称为$originalConsole和$hackedConsole。这些是.msc文件。originalConsole变量存储一个合法的非恶意.msc文件,而hackedConsole包含带有攻击者C&C服务器地址的恶意制作的.msc文件。

最初,加载程序创建两个目录:C:\Windows \System32和C:\Windows \System32\en-US,它们看起来类似于Windows系统上的合法WmiMgmt.msc路径(图10)。然后加载程序解码并写入.msc文件的内容。对于en-US目录中的WmiMgmt.msc文件,它将占位符{htmlLoaderUrl}替换为攻击者的C&C服务器URL,hxxps://82[.]115.223.182/encrypthub/ram/。

然后恶意软件执行位于C:\Windows\System32\WmiMgmt.msc的非恶意WmiMgmt.msc。这触发了EvilTwin技术,导致mmc.exe从MUI路径en-US加载并执行WmiMgmt.msc。此文件在StringTable部分包含攻击者的C&C服务器URL。

这导致具有ActiveX Control管理单元的mmc.exe加载Microsoft的Internet Explorer浏览器组件,并在mmc.exe中加载URL的HTML内容以进行渲染和显示。在这种情况下,攻击者在恶意HTML页面中的脚本标签内嵌入了external.ExecuteShellCommand方法(图11),这导致MMC在受害者机器上执行给定命令。在此示例中,加载程序下载并执行ram.ps1,即Rhadamanthys窃取程序下载器,在受感染系统上。

Water Gamayun不仅在此加载程序中使用这些技术,还在其他模块中广泛应用它们以下载和执行来自服务器的下一阶段载荷或插件。通过利用这些技术,攻击者可以通过运行非恶意文件通过合法的Windows二进制文件代理恶意载荷的执行。

结论

Trend Research对此攻击活动的调查展示了Water Gamayun利用MMC框架内漏洞的方法。通过滥用MMC框架中的漏洞(我们将其指定为MSC EvilTwin(CVE-2025-26633)),此威胁行为者有效地设计了一种在受感染机器上执行恶意代码的方法。在我们两部分的系列中的这一部分,我们专注于MSC EvilTwin技术的技术方面以及用于利用此漏洞的特洛伊加载程序。此攻击采用多种创新技术来维持持久性和窃取敏感数据,利用.msc文件和Microsoft的MUIPath的操纵。

我们的发现揭示,此攻击活动正在积极开发中,利用各种传递方法和自定义载荷,如Water Gamayun部署的模块详细说明,包括EncryptHub窃取程序、DarkWisp后门、SilentPrism后门和Rhadamanthys窃取程序。

通过Microsoft和Trend ZDI之间的合作,此零日攻击已被披露,并迅速发布了修补程序以解决它。企业需要全面的网络安全解决方案来对抗由Water Gamayun等攻击活动所体现的不断演变的威胁。随着利用MSC EvilTwin等漏洞的技术出现,分层方法和先进的网络安全解决方案对于在威胁行为者不断改进其策略的环境中保护数字资产至关重要。

使用Trend Vision One™进行主动安全

组织可以通过Trend Vision One™保护自己免受Water Gamayun等攻击——这是唯一一个AI驱动的企业网络安全平台,集中了网络风险暴露管理、安全操作和强大的分层保护。这种全面方法帮助您预测和预防威胁,加速整个数字资产的主动安全结果。凭借数十年的网络安全领导力和Trend Cybertron(行业首个主动网络安全AI)的支持,它提供了经过验证的结果:勒索软件风险降低92%,检测时间减少99%。安全领导者可以基准化其态势并向利益相关者展示持续改进。通过Trend Vision One,您能够消除安全盲点,专注于最重要的事情,并将安全提升为创新的战略合作伙伴。

Trend对CVE-2025-26633的保护

以下保护已对Trend Micro客户可用: Trend Vision One™ - 网络安全

TippingPoint入侵防御过滤器

45359: TCP: Backdoor.Shell.DarkWisp.A Runtime Detection 45360: HTTP: Trojan.Shell.EncryptHubStealer.B Runtime Detection 45361: HTTP: Backdoor.Shell.SilentPrism.A Runtime Detection 45594: HTTP: Trojan.Shell.EncryptHubStealer.B Runtime Detection (Notification Request) 45595: HTTP: Trojan.Shell.MSCEvilTwin.A Runtime Detection (Payload - Server Response)

Trend Vision One威胁情报 为了领先于不断演变的威胁,Trend客户可以访问一系列情报报告和威胁洞察。威胁洞察帮助客户在网络安全威胁发生之前保持领先,并更好地为新兴威胁做好准备。它提供关于威胁行为者、其恶意活动以及他们使用的技术的全面信息。通过利用此情报,客户可以采取主动步骤保护其环境,减轻风险并有效应对威胁。

Trend Vision One情报报告应用[IOC扫描]

ZDI-CAN-26371(CVE-2025-26633):Water Gamayun利用MSC EvilTwin零日

Trend Vision One威胁洞察应用

威胁行为者:Water Gamayun 新兴威胁:CVE-2025-26633:Water Gamayun如何通过MSC EvilTwin利用MUIPath进行攻击——对其武器库和基础设施的深入探讨 漏洞:CVE-2025-26633

狩猎查询 Trend Vision One搜索应用 Trend Vision One客户可以使用搜索应用匹配或狩猎此博客文章中提到的恶意指标与其环境中的数据。 监控与可疑C&C IP的网络连接 eventId:3 AND eventSubId:204 AND (dst:"82.115.223.182") 查找从异常路径执行.msc文件的进程(mmc.exe) eventSubId:2 AND processFilePath:"*\mmc.exe" AND processFilePath:"*\powershell.exe" AND objectFilePath:"C:\\Windows \System32\*.msc" 更多狩猎查询可用于具有威胁洞察权限的Trend Vision One客户。

入侵指标(IOCs)

此条目的入侵指标可以在此处找到。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次