Hacking
Κρίσιμη ευπάθεια WebDAV στα Windows: Ενεργή εκμετάλλευση από APT
Κρίσιμη ευπάθεια στα Windows εκμεταλλεύεται η Stealth Falcon, απειλώντας την ασφάλεια στη Μέση Ανατολή.
Ανακάλυψη και εκμετάλλευση της CVE-2025-33053
Μια σοβαρή ευπάθεια zero-day στα Microsoft Windows, με την κωδική ονομασία CVE-2025-33053, έχει πέσει στα χέρια της προχωρημένης ομάδας απειλών Stealth Falcon. Η ευπάθεια αυτή επιτρέπει την απομακρυσμένη εκτέλεση κώδικα (RCE) μέσω χειραγώγησης του λειτουργικού καταλόγου του συστήματος. Η Microsoft αντιμετώπισε το πρόβλημα στις ενημερώσεις Patch Tuesday του Ιουνίου 2025, μετά από υπεύθυνη αποκάλυψη από την CPR.
Η ευπάθεια εντοπίστηκε για πρώτη φορά τον Μάρτιο του 2025, όταν η CPR ανίχνευσε μια απόπειρα κυβερνοεπίθεσης σε τουρκική αμυντική εταιρεία. Η επίθεση χρησιμοποιούσε ένα κακόβουλο αρχείο .url, πιθανώς μέσω spear-phishing email, για να εκμεταλλευτεί την CVE-2025-33053.
Τεχνική ανάλυση της επίθεσης
Η συγκεκριμένη ευπάθεια επιτρέπει στους επιτιθέμενους να χειραγωγούν τον λειτουργικό κατάλογο εργαλείων των Windows, όπως το iediagcmd.exe, για να εκτελούν κακόβουλα αρχεία που φιλοξενούνται σε έναν ελεγχόμενο από επιτιθέμενους WebDAV server. Το κακόβουλο αρχείο .url, με την ονομασία TLM.005_TELESKOPIK_MAST_HASAR_BILDIRIM_RAPORU.pdf.url, ανακατεύθυνε την εκτέλεση του iediagcmd.exe σε ένα κακόβουλο route.exe σε έναν WebDAV server.
Αυτή η καινοτόμος τεχνική, η πρώτη του είδους της για επιθέσεις WebDAV με εκτελέσιμα αρχεία, υπογραμμίζει την καινοτομία της Stealth Falcon στην εκμετάλλευση των συστημικών εργαλείων. Η ομάδα, γνωστή και ως FruityArmor, δραστηριοποιείται από το 2012, στοχεύοντας κυβερνητικούς και αμυντικούς τομείς στη Μέση Ανατολή και την Αφρική.
Αλυσίδα μόλυνσης
Η επίθεση περιλαμβάνει μια πολυσταδιακή αλυσίδα μόλυνσης, με το Horus Loader, έναν φορτωτή βασισμένο σε C++ που προστατεύεται από το Code Virtualizer για να αποφεύγει την ανίχνευση. Η τεχνική αυτή περιλαμβάνει την αποκρυπτογράφηση και προβολή ενός παραπλανητικού PDF, ενώ η πραγματική κακόβουλη δραστηριότητα εκτελείται στο παρασκήνιο.
Η τελική φόρτωση, το Horus Agent, χρησιμοποιεί εξειδικευμένη απόκρυψη με κρυπτογράφηση συμβολοσειρών και δυναμική επίλυση εισαγωγών. Επικοινωνεί με τους command-and-control servers μέσω κρυπτογραφημένων αιτημάτων HTTP, χρησιμοποιώντας έως και τέσσερα domains και μια ημερομηνία απενεργοποίησης στις 31 Δεκεμβρίου 2099.
Συστάσεις και μέτρα αντιμετώπισης
Η Microsoft έχει κυκλοφορήσει ενημερώσεις για την CVE-2025-33053, και οι οργανισμοί καλούνται να τις εφαρμόσουν άμεσα. Η CPR προτείνει:
- Ενημέρωση Συστημάτων: Αναβαθμίστε τα Windows για να μετριάσετε την ευπάθεια WebDAV.
- Ευαισθητοποίηση για Phishing: Εκπαιδεύστε το προσωπικό να αναγνωρίζει spear-phishing emails με ύποπτα συνημμένα ή συνδέσμους.
- Παρακολούθηση Δικτύου: Παρακολουθήστε την κίνηση που σχετίζεται με WebDAV σε domains όπως το summerartcamp[.]net.
- Ασφάλεια Τερματικών: Εφαρμόστε λύσεις για την ανίχνευση κατάχρησης LOLBin και μη εξουσιοδοτημένων ενέσεων διεργασιών.
Η εκμετάλλευση της CVE-2025-33053 από την Stealth Falcon αναδεικνύει την τεχνική πολυπλοκότητα της ομάδας και την εστίασή της σε στόχους υψηλής αξίας στη Μέση Ανατολή. Η συνδυασμένη χρήση zero-day εκμεταλλεύσεων, προσαρμοσμένων εμφυτευμάτων και τεχνικών αποφυγής καθιστά την ομάδα σημαντική απειλή για την περιφερειακή ασφάλεια. Οι οργανισμοί πρέπει να δώσουν προτεραιότητα στην ενημέρωση και την προληπτική παρακολούθηση για να αντιμετωπίσουν αυτή την εξελισσόμενη απειλή.
