隐形猎鹰利用微软零日漏洞CVE-2025-33053的技术分析

最终有效载荷是为Mythic构建的自定义代理，这是一个开源红队C2框架。该植入程序使用自定义OLLVM，结合字符串加密和控制流平坦化，以及API哈希解析技术。代理的C2配置字段使用RC4加密存储，支持AES加密和HMAC完整性验证的通信协议。

weishi122

467人浏览 · 2025-09-04 19:20:03

weishi122 · 2025-09-04 19:20:03 发布

隐形猎鹰利用微软零日漏洞CVE-2025-33053 - Check Point研究分析

关键发现

Check Point研究团队（CPR）发现APT组织"隐形猎鹰"（Stealth Falcon）开展的新攻击活动。攻击者使用.url文件利用零日漏洞（CVE-2025-33053）从攻击者控制的WebDAV服务器执行恶意软件。

CVE-2025-33053允许通过操纵工作目录实现远程代码执行。CPR进行负责任的披露后，微软于2025年6月10日发布了补丁作为6月补丁星期二更新的一部分。

隐形猎鹰的活动主要集中在中东和非洲地区，在土耳其、卡塔尔、埃及和也门观察到针对政府和国防部门的高价值目标。

该组织继续使用鱼叉式网络钓鱼邮件作为感染方法，通常包含利用WebDAV和LOLBins部署恶意软件的链接或附件。

隐形猎鹰部署基于开源红队框架Mythic的自定义植入程序，这些程序要么源自现有代理，要么是我们称为Horus代理的私有变体。定制化不仅引入了反分析和反检测措施，还在最终交付更高级有效载荷之前验证目标系统。

此外，该威胁组织还采用多个先前未披露的自定义有效载荷和模块，包括键盘记录器、被动后门和DC凭据转储工具。

引言

2025年3月，Check Point研究团队发现针对土耳其一家国防公司的未遂网络攻击。威胁行为者使用先前未披露的技术，通过操纵合法Windows内置工具的工作目录，执行托管在他们控制的WebDAV服务器上的文件。

根据战术、技术和程序（TTP）、基础设施、代码重叠和目标特征，我们将此活动归因于隐形猎鹰威胁组织。

隐形猎鹰（也称为FruityArmor）是一个高级持续性威胁（APT）组织，以进行网络间谍活动而闻名，至少自2012年以来一直活跃。多年来，观察到隐形猎鹰获取零日漏洞利用并使用复杂的自定义有效载荷在中东地区的网络间谍活动中瞄准实体。

本报告分析了隐形猎鹰近年来使用的感染链，包括基于WebDAV的CVE-2025-33053利用以交付Horus代理，这是一个为Mythic C2（命令与控制）开源框架构建的自定义植入程序。

感染链：CVE-2025-33053和.url文件

一个名为TLM.005_TELESKOPIK_MAST_HASAR_BILDIRIM_RAPORU.pdf.url（土耳其语翻译：TLM.005伸缩桅杆损坏报告.pdf.url）的文件由与土耳其一家主要国防公司相关的来源提交到VirusTotal。基于名称模式和隐形猎鹰攻击的先前历史，此.url文件可能作为网络钓鱼邮件中的存档附件发送。

文件内容显示，URL参数指向iediagcmd.exe，这是Internet Explorer的合法诊断实用程序。通过操纵工作目录参数，攻击者能够从他们控制的WebDAV服务器执行恶意route.exe文件，而不是系统文件夹中的合法文件。

Route.exe - Horus加载器

从攻击者WebDAV服务器执行的恶意文件route.exe充当多阶段加载器。它使用Code Virtualizer进行代码保护，将代码转换为自定义虚拟机（VM）指令，使逆向工程分析变得困难。

加载器具有高度可定制性，具有控制其各项功能的默认值格式’XXXXXX’：

清理先前阶段的工件
实施规避技术
投放并执行诱饵文档
加载最终有效载荷

Horus代理：自定义Mythic植入程序

最终有效载荷是为Mythic构建的自定义代理，这是一个开源红队C2框架。该植入程序使用自定义OLLVM，结合字符串加密和控制流平坦化，以及API哈希解析技术。

代理的C2配置字段使用RC4加密存储，支持AES加密和HMAC完整性验证的通信协议。

后渗透工具集

除了Horus代理外，研究还发现了多个先前未记录的工具：

DC凭据转储工具：通过访问系统磁盘的VHD副本来窃取Active Directory和域控制器凭据相关文件，有效绕过文件锁定和标准安全保护。

被动后门：一个小型C语言应用程序，主要目的是监听传入请求并执行其中的shellcode有效载荷。

自定义键盘记录器：捕获击键并将其加密写入临时文件，需要与其他组件配合才能将输出文件发送到C2服务器。

结论

隐形猎鹰持续进化变得更加有效。他们近期的操作涉及使用零日漏洞（CVE-2025-33053），并通过利用WebDAV、LOLBins、多阶段加载器以及本地和.NET组件的混合展示了创新的感染链方法。

该组织还投入大量精力提高其有效载荷的隐蔽性和弹性，使用商业代码混淆和保护工具以及为不同有效载荷类型定制的自定义修改版本。

对于攻击基础设施，隐形猎鹰通过NameCheap注册商持续购买和重新利用旧的合法域名，通常是.net或.com顶级域名，这些具有清洁历史和 established声誉的旧域名不太可能被安全系统标记为恶意。
更多精彩内容请关注我的个人公众号公众号（办公AI智能小助手）
公众号二维码
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

智联教育社区

更多推荐

【python实用小脚本-207】[自媒体工具] 爆文流水线机密｜Google Drive×二维码一键分发脚本（日省2小时，建议收藏）

前HR现技术博主公开“Drive+二维码”爆文加速器：选取文件→自动上传→生成公开链接→一键转二维码，全程45秒；附Google API避坑、财务发票归集、库存实时看板3大迁移案例，代码全开源。

智联教育社区

Camunda流程引擎的安装使用

接下来，我们添加一个带有 main 方法的应用程序类，该方法将成为启动 Spring Boot 应用程序的入口点。使用camunda开源工作流引擎有：通过docker运行、使用springboot集成、部署camunda发行包、基于源代码编译运行等多种方式。文本重点介绍如何在Spring Boot应用程序中如何集成Camunda Platform开源流程平台，这也是项目中最为常见的一种使用方式。时

智联教育社区

06-Hadoop生态系统组件(1)

Hadoop生态系统是一个围绕Hadoop核心构建的开源大数据解决方案集合，包含存储、处理、查询等各类组件。核心组件包括：HDFS（分布式存储）、HBase（NoSQL数据库）、Spark（统一处理引擎）、Flink（流处理）、Hive（SQL查询）等。这些组件各具特点，如HDFS适合大文件存储，Spark支持内存计算和多种处理模式，Flink专长于实时流处理。系统组件按成熟度分为孵化、稳定、成熟