微软修补被阿联酋黑客利用的零日漏洞

微软在其Web应用程序框架中修补了一个零日漏洞,该漏洞被阿联酋威胁组织利用,作为中东和非洲间谍活动的一部分。

该漏洞被跟踪为CVE-2025-33053,是Web分布式编写和版本控制或WebDAV中的远程代码执行漏洞。该功能是超文本传输协议扩展,使用户能够管理远程Web服务器上的文件。

该公司周二修补了该漏洞,作为其每月漏洞修复的一部分。网络安全公司Check Point发现了Stealth Falcon的黑客活动,Stealth Falcon是一个以网络间谍活动而闻名的民族国家组织,利用零日部署恶意软件,包括键盘记录器,被动后门和凭据转储器。Check Point表示,该组织在土耳其,卡塔尔,埃及和也门的目标上部署了恶意软件。

隐形猎鹰,也被称为FruityArmor和G0038,怀疑与阿拉伯联合酋长国政府有联系。它以前曾与针对阿联酋记者,活动家和持不同政见者的黑客行为有关。

Stealth Falcon的最新活动始于网络钓鱼电子邮件。在Check Point观察到的一起事件中,黑客使用最新版本的Horus Agent瞄准了土耳其国防组织,这是一种定制的植入物,旨在使用Mythic C2命令和控制框架进行操作。

Check Point在3月份受害者将网络钓鱼电子邮件附件上传到VirusTotal后发现了该活动。在运行文件时,Check Point发现恶意文件开始收集诊断数据,并将受感染设备的WebDAV路径重定向到攻击者控制的服务器。

连接建立后,一个恶意文件命名为route.exe从攻击者部署荷鲁斯加载器的 WebDAV 服务器执行。在执行时,它清理了以前的实用程序以逃避检测,然后部署了诱饵文档和最终的荷鲁斯代理有效载荷。

“Horus Agent使用似乎是自定义的OLLVM,利用字符串加密和控制流平整,”Check Point说。他们补充说,该恶意软件是阿波罗的定制版本,阿波罗是该组织之前在2022年至2023年期间使用的基于。net的Mythic代理。

“荷鲁斯变体包括上传命令,内置于Mythic中,他们的阿波罗植入物缺乏。Horus变体将2个自定义命令,shinjectchuncked和shinjestealth合并为一个,使用“隐身模式”作为参数,“检查点。最新的荷鲁斯变种在能力方面更先进。

除了Horus Agent之外,攻击者还使用其他工具,包括提取Active Directory凭据的凭据转储器和用于监控传入网络请求的被动后门。

美国网络安全和基础设施安全局将该漏洞添加到其已知的受剥削漏洞目录中。