微軟在3月例行更新(Patch Tuesday)修補多達7項零時差漏洞,其中有一項被用於攻擊行動的微軟管理主控臺(MMC)漏洞CVE-2025-26633(MSC EvilTwin),當時通報此事的資安業者趨勢科技指出,已有外號為EncryptHub的俄羅斯駭客組織(別名Larva-208、Water Gamayun)將其用於實際攻擊行動,並揭露利用的手法。如今有其他資安業者指出,這些駭客持續利用這項漏洞犯案,結合社交工程手法散布惡意程式。
資安業者Trustwave近期發現這些駭客最新一波活動,攻擊者偽裝成IT人員,向目標發出微軟協作平臺Teams的請求,一旦成功建立遠端連線,就會將惡意酬載部署於受害電腦。
這些駭客透過PowerShell指令碼Runner.ps1下載作案用的兩個MSC檔案,藉此觸發MSC EvilTwin漏洞,並執行有效酬載,值得留意的是,雖然微軟在今年3月公布這項弱點並提供修補程式,但EncryptHub仍持續尋找尚未套用更新程式的電腦下手。
比較特別的是,駭客在下載MSC檔案之後,還會調整其中一個檔案的內容,將placeholder當中的htmlLoaderUrl參數置換為EncryptHub的C2網址,目的是接收下個階段的酬載並執行,但為何要更動MSC檔的內容,Trustwave並未進一步說明。
接著,他們透過另一個指令碼Build.ps1收集系統資訊並回傳C2,建立可持續存取的管道,以及維持與C2伺服器之間的連線,接收惡意酬載並執行,而該有效酬載就是竊資軟體Fickle Stealer,駭客以PowerShell為基礎打造,用來挖掘系統資訊,並竊取加密貨幣錢包相關資料。
在調查過程裡,駭客也試圖調整漏洞利用的相關工具,他們改用Go語言打造的惡意程式載入工具SilentCrystal,來部署觸發MSC EvilTwin漏洞的MSC檔案,比較不尋常的是,攻擊者濫用瀏覽器業者Brave的支援平臺,在此寄放內藏惡意MSC檔的ZIP壓縮檔。此外,他們也以Go語言打造後門程式,此後門可與C2伺服器連線,亦能利用SOCKS5代理伺服器隧道模式充當C2基礎設施。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
2025-12-04