黑客组织Water Gamayun利用微软管理控制台漏洞发动攻击活动——每周威胁情报动态第217期 （03.21-03.27）

俄罗斯黑客组织Water Gamayun利用微软管理控制台漏洞发动攻击活动

近日，网络安全厂商Trend Micro发布了一份关于CVE-2025-26633的研究分析报告。报告指出，俄罗斯黑客组织Water Gamayun利用微软管理控制台（Microsoft Management Console，简称MMC）框架中的一个0Day漏洞（MSC EvilTwin），通过操纵.msc文件和多语言用户界面路径（Multilingual User Interface Path，简称MUIPath），利用CVE-2025-26633漏洞下载并执行恶意负载，从而在受感染系统中维持持久性并窃取敏感数据。

攻击者利用MMC框架中的漏洞，通过创建两个同名的.msc文件（一个合法文件和一个恶意文件）来发动攻击。恶意文件被放置在名为en-US的目录中。当合法的.msc文件被运行时，mmc.exe会加载恶意文件而不是原始文件并执行。这一攻击利用了mmc.exe的MUIPath功能。默认情况下，系统语言（如美国英语）的MUIPath会包含存储应用程序语言特定资源的MUI文件。攻击者通过在MUIPath的en-US目录中放置恶意.msc文件，诱使mmc.exe加载并执行该恶意文件，而用户却毫不知情。

攻击者还利用MMC的ExecuteShellCommand方法，通过精心构造的.msc文件和ActiveX控件中的Shockwave Flash对象，打开默认的Web浏览器，从而在受害者的机器上执行命令。当通过mmc.exe执行.msc文件时，ScOnOpenDocument函数会调用scGetMuiPath函数，该函数使用Windows API GetFileMUIPath来检索MUI文件（如果存在）。如果en-US目录存在，mmc.exe将从该目录中的.msc文件加载XML内容并执行，而不是加载原始的.msc文件。攻击者通过在HTML页面中嵌入脚本标签（如 <script>external.ExecuteShellCommand(...)</script>），远程访问MMC的视图对象方法，从而在受害者的机器上下载并执行下一阶段的负载。

攻击者还通过在目录名称中添加尾随空格或特殊字符，创建看似与标准系统路径相似的模拟目录。例如，创建 "C:WindowsSystem32"（注意 System32前的空格）而不是标准的"C:WindowsSystem32"。当应用程序的路径验证逻辑在字符串比较时未能正确处理空格时，可能会将修改后的目录误认为是真实的系统路径，从而导致从替代位置加载文件，而不是预期的系统目录。MSC EvilTwin加载器使用这种方法来放置WmiMgmt.msc文件。

MSC EvilTwin加载器是一个用PowerShell编写的特洛伊木马加载器，利用上述所有技术在受感染的系统上下载并执行恶意负载。攻击通常从一个伪装成流行中文软件（如钉钉或QQTalk）的数字签名MSI文件开始。这些文件被设计为从攻击者的C&C服务器获取MSC EvilTwin加载器并在受害者的机器上执行。加载器包含两个Base64编码的块，分别名为originalConsole_和 _hackedConsole，它们是.msc文件。originalConsole变量存储合法的非恶意.msc文件，而hackedConsole包含带有攻击者C&C服务器地址的恶意.msc文件。加载器首先创建两个目录：C:WindowsSystem32和C:WindowsSystem32en-US，它们看起来与Windows系统上的合法WmiMgmt.msc路径相似。然后，加载器对.msc文件的内容进行解码并写入。对于en-US目录中的WmiMgmt.msc文件，它将占位符{htmlLoaderUrl}替换为攻击者的C&C服务器URL。当加载器执行位于C:WindowsSystem32WmiMgmt.msc的非恶意WmiMgmt.msc文件时，会触发EvilTwin技术，导致mmc.exe从MUI路径en-US加载并执行WmiMgmt.msc文件。该文件在StringTable部分包含攻击者的C&C服务器URL。这导致mmc.exe（带有ActiveX控件插件）加载Microsoft Internet Explorer浏览器组件，并在mmc.exe中加载URL的HTML内容以渲染和显示。在这种情况下，攻击者在恶意HTML页面中嵌入了external.ExecuteShellCommand方法，导致MMC在受害者的机器上执行给定的命令。例如，加载器下载并执行了ram.ps1，即Rhadamanthys窃密程序下载器。

参考链接：

https://www.trendmicro.com/en_us/research/25/c/cve-2025-26633-water-gamayun.html

APT组织Kimsuky最新网络攻击事件深度分析

近日，网络安全公司K7 Computing的实验室团队发布了一份关于朝鲜 APT组织Kimsuky（又名“Black Banshee”）最新网络攻击的深度分析报告。此次攻击事件中，Kimsuky组织通过复杂的多阶段攻击流程，利用伪装成合法文件的恶意脚本和载荷，试图窃取目标系统的敏感信息。攻击者通过网络钓鱼邮件发送包含恶意VBScript和PowerShell脚本的ZIP文件，诱导目标用户打开这些文件，从而触发恶意软件的执行。

攻击者使用的ZIP文件中包含四个文件：一个VBScript脚本（1.vbs）、一个PowerShell脚本（1.ps1）以及两个经过编码的文本文件（1.log和2.log）。这些文件共同构成了攻击的初始感染链。

初始感染阶段：

攻击者的VBScript脚本（1.vbs）使用chr()和CLng()函数动态生成字符并执行命令，绕过基于签名的检测。该脚本最终生成的命令会运行PowerShell脚本（1.ps1），并传递1.log文件作为参数。

数据解码与收集阶段：

攻击者将PowerShell脚本（1.ps1）解码 1.log 文件中的 Base64 编码数据，并收集系统BIOS序列号，用于在系统临时文件夹中创建特定于机器的目录。该脚本还检查是否运行在虚拟机中，如果是，则终止执行。

恶意功能执行阶段：

攻击者使用的脚本包含11个函数，用于执行数据外泄、加密货币信息窃取、浏览器数据收集、系统信息收集以及与命令与控制（C2）服务器的通信。这些函数的核心功能包括：

数据上传：将外泄数据分块上传到服务器，确保处理大文件。

浏览器数据收集：从Edge、Firefox、Chrome和Naver Whale浏览器中提取用户配置文件数据，包括Cookie、登录信息、书签和网络数据。

加密货币钱包信息窃取：检查系统中是否存在特定的加密货币钱包扩展，并提取相关文件。

系统信息收集：收集系统硬件、磁盘和卷详细信息、网络适配器状态以及所有已安装程序的详细信息。

此次攻击的主要目的是窃取目标系统的敏感信息，包括加密货币钱包数据、浏览器信息以及系统硬件信息等。这些信息可能被用于进一步的情报收集或后续的网络攻击。Kimsuky组织的攻击手段复杂且隐蔽，显示出其在情报收集和网络间谍活动方面的持续能力。

参考链接：

https://labs.k7computing.com/index.php/inside-kimsukys-latest-cyberattack-analyzing-malicious-scripts-and-payloads/

乌克兰国家铁路运营商遭受网络攻击，在线售票服务中断

2025年3月23日，乌克兰国家铁路运营商Ukrzaliznytsia遭受了一起严重的网络攻击，导致其在线售票服务中断，基辅火车站出现了大量人群和长时间排队的情况。此次网络攻击导致Ukrzaliznytsia的在线售票系统完全瘫痪，乘客无法通过网络或手机应用程序购买车票，只能前往火车站售票窗口购买纸质车票。这一情况造成了火车站的严重拥堵和长时间等待，给乘客带来了极大不便。

尽管如此，此次攻击并未影响列车的正常运行。Ukrzaliznytsia在其官方社交媒体账号上表示，列车运行稳定，准点无延误，所有运营流程均在备份模式下运行。铁路将继续运营，即使面对对基础设施的物理攻击，甚至是最狡猾的网络攻击，也无法使其停止运行。

Ukrzaliznytsia在声明中提到，此次攻击是一次大规模、有组织、多层次的网络攻击，攻击者试图通过复杂的手段破坏其在线系统。该公司表示，尽管遭受了攻击，但其列车运行并未受到影响，所有关键运营流程均在备份模式下正常运行。

为了应对此次攻击，Ukrzaliznytsia与乌克兰安全局（SBU）的网络安全部门以及国家计算机应急响应小组（CERT-UA）合作，正在全力恢复受影响的系统，并对所有服务进行彻底测试，以确保没有潜在的安全漏洞。该公司还强调，由于此次攻击的复杂性，在完全从备份中恢复之前，需要进行严格的安全测试，以防止类似事件再次发生。

此次网络攻击对Ukrzaliznytsia的在线服务造成了严重干扰，但该公司通过增加火车站售票窗口的工作人员，努力缓解了乘客的不便。不过，此次攻击并未被归因于特定的威胁行为者，但过去针对乌克兰关键基础设施的网络攻击曾被与俄罗斯国家行为者联系在一起。此次事件也提醒了全球各国，关键基础设施的网络安全防护至关重要，必须采取有效措施加以保护。

参考链接：

https://securityaffairs.com/175810/hacking/cyberattack-hit-ukraines-national-railway-operator.html

2025年3月20日，一个名为“rose87168”的用户在黑客论坛Breach Forums上声称，其从甲骨文（Oracle）云的单点登录（SSO）和轻量级目录访问协议（LDAP）服务中窃取了六百万条记录，并试图出售这些数据或用其交换零日漏洞利用。Breach Forums是一个知名的网络犯罪分子交易被盗数据和漏洞的市场。

该威胁行为者声称，被盗记录包含加密的SSO和LDAP密码、Java密钥库（JKS）文件、密钥文件以及企业管理员JPS密钥。然而，该行为者表示无法解密这些被盗密码。据称，这些数据是通过入侵 “login.(region-name).oraclecloud.com” 的甲骨文服务器而被窃取的。他们还向一家独立新闻媒体声称，此次入侵利用了一个公开已知的CVE漏洞，尽管目前没有公开的概念验证（PoC）或利用代码。

甲骨文（Oracle）公司已否认此次数据泄露事件，称没有任何甲骨文云客户遭受数据丢失或被入侵。然而，网络安全公司CloudSEK对论坛帖子进行了分析，并声称尽管甲骨文否认了此次入侵，但他们的调查发现了一个被入侵的生产SSO端点，这支持了论坛成员的说法。CloudSEK确认，受影响的服务器（login.us2.oraclecloud.com）是一个用于OAuth2认证和令牌生成的合法生产 SSO 端点。

CloudSEK进一步推测，此次攻击可能利用了甲骨文融合中间件中一个已知的严重漏洞，可能是CVE-2021-35587。该漏洞在2021年被披露，是一个高危漏洞，攻击者可以利用该漏洞在未经身份验证的情况下远程执行代码，从而获取服务器的控制权。

参考链接：

https://arcticwolf.com/resources/blog/alleged-oracle-cloud-supply-chain-attack/

Android恶意软件利用.NET MAUI框架躲避检测

近日，McAfee研究人员警告称，一种新型Android恶意软件正在利用.NET MAUI框架来躲避检测。这些恶意软件伪装成合法服务，以窃取用户的敏感信息。

.NET MAUI（Multi-platform App UI）是微软推出的一个跨平台框架，允许开发者使用C#语言构建原生移动和桌面应用程序。它能够实现从单一代码库运行在Android、iOS、Windows和macOS平台上，极大地简化了开发和维护流程。该框架取代了Xamarin.Forms，并提供了统一的UI框架以及针对各个平台的特定集成。

然而，网络攻击者却利用了.NET MAUI的这一特性，开发出能够躲避检测的Android恶意软件。这些恶意软件通过将核心功能隐藏在C#的二进制文件（blob）中，而非传统的DEX文件，从而避免被检测到。

研究人员详细分析了一款假冒印度IndusInd银行的应用程序。该恶意软件通过隐藏的.NET MAUI恶意负载，窃取用户的个人和银行数据。与典型的恶意应用不同，该应用在Java代码或原生代码中没有任何明显的恶意代码痕迹。相反，恶意代码被隐藏在位于程序集目录中的blob文件中。随后，这些被窃取的数据会被发送到攻击者的C2服务器。

研究人员还观察到另一款针对中文用户的恶意软件。该软件通过第三方应用商店传播，能够窃取用户的联系人、短信和照片。它通过多阶段动态加载、加密和加载恶意负载来躲避检测。该恶意软件还通过操纵AndroidManifest.xml文件，申请过多的权限，以干扰分析过程，并使用加密的套接字通信来隐藏被窃取的数据。它伪装成各种应用程序，广泛传播于非官方应用平台。其工作原理如下：在第一阶段，应用的主活动（定义在AndroidManifest.xml中）会解密一个XOR加密的文件并动态加载它。这个初始文件充当第二阶段的加载器。在第二阶段，动态加载的文件会解密另一个AES加密的文件并加载它。这一阶段仍然不会暴露核心恶意行为，而是作为另一层混淆。最终，在第三阶段，解密后的文件包含与.NET MAUI框架相关的代码，随后被加载以执行主要负载。主要负载最终隐藏在C#代码中。当用户与应用交互时，例如按下按钮，恶意软件会在用户不知情的情况下窃取数据并发送到C2服务器。

研究人员指出，网络犯罪分子越来越多地使用基于.NET MAUI的恶意软件，通过隐藏代码blob、多阶段加载、加密和混淆等技术来躲避检测。这些威胁可以在很长一段时间内保持未被检测到的状态，其日益增长的流行度表明这种攻击手段正在变得越来越普遍。

参考链接；

https://securityaffairs.com/175843/cyber-crime/android-malware-uses-net-maui-to-evade-detection.html

新型信息窃取恶意软件SvcStealer攻击技术分析

近日，一种名为SvcStealer的新型信息窃取恶意软件崭露头角，通过鱼叉式网络钓鱼邮件附件针对用户敏感数据进行攻击。研究人员发现，该恶意软件于2025年1月末首次被发现，能够从受感染的系统中窃取大量个人和财务信息，包括机器数据、已安装软件、用户凭证、加密货币钱包以及浏览器数据等。

SvcStealer采用系统化的方法来窃取数据，它会从各种应用程序中有条不紊地提取信息，随后对数据进行压缩，并将其外泄至命令与控制（C2）服务器。成功收集数据后，SvcStealer可能会下载额外的恶意软件有效载荷，从而将其威胁能力扩展到初始的数据窃取之外。

研究人员在例行威胁搜寻活动中发现了这一威胁，并指出该恶意软件采用Microsoft Visual C++编程语言编写。分析显示，SvcStealer通过终止监控进程并删除其活动痕迹来实施逃避技术，从而避免被安全工具检测到。

在感染系统后，SvcStealer会根据受害者的卷序列号通过算术运算生成一个唯一的11字节字母数字值。该值作为被入侵系统的标识符，并确保一次只有一个恶意软件实例运行。

SvcStealer的数据外泄机制揭示了其复杂的设计。在收集敏感信息后，恶意软件会将数据存储在以唯一生成的文件夹命名的ProgramData目录下。它特别针对多种浏览器的加密货币钱包（如Chrome、Edge、Brave）、消息平台（如Telegram、Discord），并捕获各种浏览器的凭证。此外，SvcStealer还会截取屏幕截图并收集包括运行进程在内的系统信息。

收集的信息被压缩成一个zip文件后，SvcStealer会建立与其C2服务器（IP地址为185.81.68.156或176.113.115.149）在80端口上的连接。通过使用Content-Type为“multipart/form-data”的HTTP POST请求，恶意软件将窃取的数据伪装成正常的网络流量进行传输。

为了保持持续性，SvcStealer会继续向其C2服务器发送信号，等待可能包括下载其他恶意载荷在内的进一步指令。

参考链接：

https://cybersecuritynews.com/new-svcstealer-malware-attacking-users/

VanHelsingRaaS：勒索软件即服务领域的新威胁

在不断演变的网络犯罪领域，一种新的勒索软件即服务（RaaS）项目迅速崛起，它就是VanHelsingRaaS。该项目于2025年3月7日启动，已经在网络犯罪界引起了巨大波澜。

VanHelsingRaaS是一种RaaS附属项目，允许从经验丰富的黑客到初学者在内的广泛参与者参与勒索软件攻击。该项目采用收入分成模式，附属成员可保留80%的赎金收入，而核心运营者则获得20%。新附属成员需要支付5000美元的押金才能获得该项目的访问权限。

VanHelsingRaaS最引人注目的特点之一是其灵活性。尽管Check Point Research发现了两个针对Windows系统的VanHelsing勒索软件变体，但该项目声称提供针对Linux、BSD、ARM和ESXi系统的产品。这种多平台支持显著扩大了勒索软件的覆盖范围，使其能够针对各种系统发动攻击。

该勒索软件项目为附属成员提供了一个直观的控制面板，简化了勒索软件攻击的运营过程。这降低了不熟练网络犯罪分子的入门门槛，并使攻击的执行更加高效。控制面板提供了一系列功能，包括：

• 适用于桌面和移动设备的响应式设计。

• 自动化功能以避免人为错误。

• 定期进行渗透测试以确保可靠性。

• 来自媒体和开发团队的直接支持。

VanHelsing勒索软件正处于积极开发中，Check Point Research在短短五天内就获得了两个变体。最新变体展示了显著的更新，突显了这种勒索软件快速发展的演变过程。

自2025年3月16日首次被发现以来，VanHelsing勒索软件在不到两周的时间内已经感染了三个已知受害者，并要求支付高额赎金以换取解密和删除被盗数据。在一个案例中，攻击者要求向指定的比特币钱包支付50万美元。

VanHelsing勒索软件采用C++编写，使用各种命令行参数来控制加密过程，例如针对特定驱动器或目录。该勒索软件还具备删除卷影副本的能力，这是勒索软件常用的一种手段，旨在防止受害者在不支付赎金的情况下恢复文件。

为了避免被检测到，勒索软件包含了一个“Silent”（静默）命令行参数。当指定此标志时，勒索软件将其功能分为两部分：

正常执行：枚举文件夹、枚举文件、加密文件。

静默模式：在初始加密过程中跳过文件重命名，所有文件加密完成后才将文件重命名为带有勒索软件扩展名的文件。

这种静默模式下的两阶段过程主要用于逃避检测和绕过安全措施。

VanHelsingRaaS是网络犯罪界的一个重大威胁。其易用性、多平台支持和快速开发周期使其成为网络犯罪分子的有力工具。该项目的快速增长和早期成功凸显了勒索软件威胁的演变本质以及强大的网络安全措施的重要性。

参考链接：

https://securityonline.info/vanhelsingraas-a-new-player-in-the-ransomware-game/

马来西亚机场控股公司（MAHB）遭网络攻击，黑客索要1000万美元赎金

2025年3月，马来西亚机场控股公司（Malaysia Airports Holdings Berhad，简称MAHB）遭受了一起严重的网络攻击事件，导致其数字系统受到严重干扰。黑客在此次攻击中索要了高达1000万美元的赎金。马来西亚总理安瓦尔·易卜拉欣（Anwar Ibrahim）在吉隆坡举行的第218届警察节庆祝活动上确认了此次网络攻击的相关细节。

总理安瓦尔表示，此次对MAHB的网络攻击发生在“一两天前”，但他向公众保证，政府坚决不会向黑客的勒索要求屈服。相反，他强调了政府加强国家网络安全的决心，表示将投入更多资源以增强马来西亚抵御未来网络威胁的能力。

安瓦尔总理在讲话中提到：“昨天我们还讨论了网络攻击的严重性，而在过去的几天里，针对MAHB的攻击强度相当高。黑客索要的金额约为1000万美元。”尽管形势严峻，安瓦尔总理明确表示，政府不会向犯罪勒索行为低头。尽管总理没有进一步透露此次MAHB网络攻击的具体细节，也没有说明该事件是否已经完全解决，但他的言论凸显了此次事件的严重性以及持续保持警惕的必要性。他强调，此次攻击提醒我们马来西亚数字基础设施的脆弱性，以及投资网络安全的重要性。

此次对MAHB的网络攻击引发了公众和官员的广泛关注。前王沙马朱国会议员吴俊祥（Wee Choo Keong）在社交媒体上发出警报，他在注意到吉隆坡国际机场（KLIA）和KLIA2出现干扰后，质疑MAHB是否遭受了网络攻击。据《自由马来西亚今日》报道，他在X平台上发文称，在此次事件中，航班信息显示屏受到影响，抵达和出发详情需要手动在白板上更新。

社交媒体用户也分享了类似的情况，指出值机柜台和行李处理系统也受到了影响，据报道此次干扰持续了约10个小时。然而，关于此次MAHB网络攻击的详细信息仍然很少，截至目前，MAHB和交通部均未发表官方声明。

尽管缺乏官方回应，但有迹象表明，此次网络攻击可能是全球范围内针对关键基础设施网络威胁上升的一部分。在马来西亚，人们对国内数字系统的脆弱性日益担忧。MAHB的数据泄露事件是最近一系列网络事件中的最新一起，这些事件引起了人们对加强网络安全措施的迫切需求。

参考链接：

https://thecyberexpress.com/mahb-cyberattack/