隐形猎鹰利用微软零日漏洞CVE-2025-33053的技术分析

原创

qife122

发布于 2025-09-04 19:35:09

1900

文章被收录于专栏：网络安全技术点滴分享网络安全技术点滴分享

隐形猎鹰利用微软零日漏洞CVE-2025-33053 - Check Point研究分析

关键发现

Check Point研究团队（CPR）发现APT组织"隐形猎鹰"（Stealth Falcon）开展的新攻击活动。攻击者使用.url文件利用零日漏洞（CVE-2025-33053）从攻击者控制的WebDAV服务器执行恶意软件。

CVE-2025-33053允许通过操纵工作目录实现远程代码执行。CPR进行负责任的披露后，微软于2025年6月10日发布了补丁作为6月补丁星期二更新的一部分。

隐形猎鹰的活动主要集中在中东和非洲地区，在土耳其、卡塔尔、埃及和也门观察到针对政府和国防部门的高价值目标。

该组织继续使用鱼叉式网络钓鱼邮件作为感染方法，通常包含利用WebDAV和LOLBins部署恶意软件的链接或附件。

隐形猎鹰部署基于开源红队框架Mythic的自定义植入程序，这些程序要么源自现有代理，要么是我们称为Horus代理的私有变体。定制化不仅引入了反分析和反检测措施，还在最终交付更高级有效载荷之前验证目标系统。

此外，该威胁组织还采用多个先前未披露的自定义有效载荷和模块，包括键盘记录器、被动后门和DC凭据转储工具。

引言

2025年3月，Check Point研究团队发现针对土耳其一家国防公司的未遂网络攻击。威胁行为者使用先前未披露的技术，通过操纵合法Windows内置工具的工作目录，执行托管在他们控制的WebDAV服务器上的文件。

根据战术、技术和程序（TTP）、基础设施、代码重叠和目标特征，我们将此活动归因于隐形猎鹰威胁组织。

隐形猎鹰（也称为FruityArmor）是一个高级持续性威胁（APT）组织，以进行网络间谍活动而闻名，至少自2012年以来一直活跃。多年来，观察到隐形猎鹰获取零日漏洞利用并使用复杂的自定义有效载荷在中东地区的网络间谍活动中瞄准实体。

本报告分析了隐形猎鹰近年来使用的感染链，包括基于WebDAV的CVE-2025-33053利用以交付Horus代理，这是一个为Mythic C2（命令与控制）开源框架构建的自定义植入程序。

感染链：CVE-2025-33053和.url文件

一个名为TLM.005_TELESKOPIK_MAST_HASAR_BILDIRIM_RAPORU.pdf.url（土耳其语翻译：TLM.005伸缩桅杆损坏报告.pdf.url）的文件由与土耳其一家主要国防公司相关的来源提交到VirusTotal。基于名称模式和隐形猎鹰攻击的先前历史，此.url文件可能作为网络钓鱼邮件中的存档附件发送。

文件内容显示，URL参数指向iediagcmd.exe，这是Internet Explorer的合法诊断实用程序。通过操纵工作目录参数，攻击者能够从他们控制的WebDAV服务器执行恶意route.exe文件，而不是系统文件夹中的合法文件。