CVE-2025-26633:Water Gamayun如何利用MSC EvilTwin武器化MUIPath
Trend Research发现俄罗斯威胁组织Water Gamayun正在利用Microsoft管理控制台中的一个零日漏洞(CVE-2025-26633)执行恶意代码并渗出数据。
摘要
Trend Research发现俄罗斯威胁组织Water Gamayun利用Microsoft管理控制台框架中的零日漏洞执行恶意代码,该技术被命名为MSC EvilTwin(CVE-2025-26633)。
在此攻击中,威胁参与者操纵.msc文件和多语言用户界面路径(MUIPath)以下载和执行恶意负载、维持持久性并从受感染系统中窃取敏感数据。
此类威胁可能对企业造成重大影响,导致数据泄露和重大财务损失。各种企业,特别是那些大量使用Microsoft管理工具的企业,可能成为此攻击活动的受害者。
Microsoft与Trend Zero Day Initiative™(ZDI)漏洞赏金计划合作披露了此漏洞,并快速发布了修补程序。Trend Vision One™ - 网络安全为Trend Micro客户提供TippingPoint入侵防御过滤器,以防范此威胁。
技术细节
Microsoft管理控制台和Microsoft控制台文件
Microsoft管理控制台(MMC)是一个提供图形用户界面(GUI)和编程框架的应用程序,用于创建、保存和访问管理工具集合(称为控制台),以管理各种Windows硬件、软件和网络组件。这些管理工具称为管理单元,是与Microsoft控制台文件链接的COM对象。
Water Gamayun使用的技术
在攻击中,Water Gamayun通过Windows MSC文件使用三种技术在受感染系统上执行恶意负载:
1. MSC EvilTwin(CVE-2025-26633)
此技术涉及通过合法的.msc文件执行恶意.msc文件。在此类攻击中,特洛伊加载程序会在系统上创建两个同名的.msc文件:一个文件是干净的,看起来合法且没有可疑元素;另一个是恶意版本,放置在相同位置但位于名为en-US的目录中。当运行干净的.msc文件时,mmc.exe会加载恶意文件而不是原始文件并执行。
在这种情况下,攻击者滥用mmc.exe的多语言用户界面路径(MUIPath)功能。默认系统语言——英语(美国)——的MUIPath通常配置为包含MUI文件(.mui),这些文件设计用于存储应用程序的特定语言资源。
2. 通过MSC文件Web渲染执行shell命令
第二种技术通过MMC的View对象的ExecuteShellCommand方法在受害者机器上执行命令shell。这可以通过利用特制.msc文件和ActiveX控件中的Shockwave Flash对象来实现,该控件默认打开Web浏览器。
3. 模拟可信目录方法
第三种方法涉及通过在其名称中添加尾随空格或特殊字符来创建看起来类似于标准系统路径的模拟目录。
MSC EvilTwin特洛伊加载程序
MSC EvilTwin加载程序是一个用PowerShell编写的特洛伊加载程序,利用上述所有技术在受感染系统上下载和执行恶意负载。
结论
Trend Research对此活动的调查展示了Water Gamayun利用MMC框架内漏洞的方法。通过滥用MMC框架中的漏洞(我们指定为MSC EvilTwin,CVE-2025-26633),该威胁参与者有效设计了一种在受感染机器上执行恶意代码的方法。
通过Microsoft与Trend ZDI的合作,此零日攻击已被披露,并快速发布了修补程序。企业需要全面的网络安全解决方案来应对Water Gamayun等活动所代表的不断演变的威胁。
Trend保护措施
Trend Micro客户可获得以下保护:
- Trend Vision One™ - 网络安全:TippingPoint入侵防御过滤器
- Trend Vision One威胁情报:情报报告和威胁洞察
- 狩猎查询和IOC指标
Indicators of Compromise (IOCs)
该条目的危害指标可在原文中找到。
