⚡️ CVE-2025-33053 и Stealth Falcon: как APT-группа атаковала через WebDAV с нулевым кликом
📌 Главное
- Группа APT: *Stealth (https://vk.com/id464906) Falcon* (также известна как FruityArmor), связанная с кибершпионажем и активная с 2012 года, сосредоточена на Ближнем Востоке и Африке.
- Уязвимость: `CVE-2025-33053` — критическая RCE уязвимость (CVSS 8.8), связанная с обработкой `.url` файлов и WebDAV, позволяющая удалённо выполнить код без загрузки вложений.
- Способ атаки: злоумышленники отправляли `.url`-файл, маскирующийся под PDF, который запускал стандартный инструмент Windows (`iediagcmd.exe`) с рабочей директорией, установленной на WebDAV-сервер. Windows выполнял `route.exe` из этой папки, а не из System32, что позволило загрузить и запустить вредоносный код удалённо.
- Загрузка вредоноса:
- Этап 1: запускается `Horus Loader` — C++ загрузчик, защищённый Code Virtualizer, имеющий антианализ движки, декриптор, отображение dll вручную, ловушки для AV и механизм декоя (PDF-подмена).
- Финал: установка `Horus Agent` — кастомный имплант на базе Mythic C2, обфусцированный, с AES-HTTP/HMAC-SHA256 коммуникацией, поддержкой скрытой командной логики, сбором учётных данных и разведкой.
Последствия
- Microsoft выпустил патч 10 июня 2025 в рамках Patch Tuesday.
- CISA включила `CVE-2025-33053` в каталог KEV с обязательством патча до 1 июля 2025.
- Эта кампания представляет собой новый уровень сложности: zero-day атака без файлов, использование легитимных инструментов (LOLBins), и мощные антидетект механизмы.
Почему это важно?
- Атака демонстрирует, насколько изощрёнными становятся кибершпионские кампании: отсутствие необходимости доставлять файлы на диск, использование легитимных инструментов и мощные антидетект-механизмы.
- Целями были высокоприоритетные объекты: Турция, Катар, Египет, Йемен — оборонные структуры и госорганизации.
- Идеальная иллюстрация того, почему WebDAV и стандартные инструменты Windows требуют строгого мониторинга и ограничения.
Вывод: CVE-2025-33053 стала ключевым вектором для сложной APT-операции. Только своевременное обновление, внимательный мониторинг и продвинутая антивирусная аналитика могут защитить критически важные инфраструктуры от подобных угроз.
🟠 Подробнее (https://research.checkpoint.com/2025/stealth-falcon-zero-day/)
@linux_be1
📌 Главное
- Группа APT: *Stealth (https://vk.com/id464906) Falcon* (также известна как FruityArmor), связанная с кибершпионажем и активная с 2012 года, сосредоточена на Ближнем Востоке и Африке.
- Уязвимость: `CVE-2025-33053` — критическая RCE уязвимость (CVSS 8.8), связанная с обработкой `.url` файлов и WebDAV, позволяющая удалённо выполнить код без загрузки вложений.
- Способ атаки: злоумышленники отправляли `.url`-файл, маскирующийся под PDF, который запускал стандартный инструмент Windows (`iediagcmd.exe`) с рабочей директорией, установленной на WebDAV-сервер. Windows выполнял `route.exe` из этой папки, а не из System32, что позволило загрузить и запустить вредоносный код удалённо.
- Загрузка вредоноса:
- Этап 1: запускается `Horus Loader` — C++ загрузчик, защищённый Code Virtualizer, имеющий антианализ движки, декриптор, отображение dll вручную, ловушки для AV и механизм декоя (PDF-подмена).
- Финал: установка `Horus Agent` — кастомный имплант на базе Mythic C2, обфусцированный, с AES-HTTP/HMAC-SHA256 коммуникацией, поддержкой скрытой командной логики, сбором учётных данных и разведкой.
Последствия
- Microsoft выпустил патч 10 июня 2025 в рамках Patch Tuesday.
- CISA включила `CVE-2025-33053` в каталог KEV с обязательством патча до 1 июля 2025.
- Эта кампания представляет собой новый уровень сложности: zero-day атака без файлов, использование легитимных инструментов (LOLBins), и мощные антидетект механизмы.
Почему это важно?
- Атака демонстрирует, насколько изощрёнными становятся кибершпионские кампании: отсутствие необходимости доставлять файлы на диск, использование легитимных инструментов и мощные антидетект-механизмы.
- Целями были высокоприоритетные объекты: Турция, Катар, Египет, Йемен — оборонные структуры и госорганизации.
- Идеальная иллюстрация того, почему WebDAV и стандартные инструменты Windows требуют строгого мониторинга и ограничения.
Вывод: CVE-2025-33053 стала ключевым вектором для сложной APT-операции. Только своевременное обновление, внимательный мониторинг и продвинутая антивирусная аналитика могут защитить критически важные инфраструктуры от подобных угроз.
🟠 Подробнее (https://research.checkpoint.com/2025/stealth-falcon-zero-day/)
@linux_be1
This media is not supported in your browser
VIEW IN TELEGRAM
Нашел для вас браузерную игру для тренировки скорости печати реальных команд — CyberOps Terminal
Вы играете в хакера, который пытается взломать систему. Команды нужно вводить быстро и без ошибок, пока не сработала тревога. И, разумеется, каждая ошибка повышает шанс быть замеченным.
Играемся тут (https://terminialtyping.site/) ⌨️
@linux_be1
Вы играете в хакера, который пытается взломать систему. Команды нужно вводить быстро и без ошибок, пока не сработала тревога. И, разумеется, каждая ошибка повышает шанс быть замеченным.
Играемся тут (https://terminialtyping.site/) ⌨️
@linux_be1
🎉 Сегодня ядру Linux исполнилось 34 года!
25 августа 1991 года 21-летний студент Хельсинкского университета Линус Торвальдс написал в телеконференцию `comp.os.minix`, что у него появился рабочий прототип новой операционной системы.
🔹 Уже тогда было отмечено успешное портирование bash 1.08 и gcc 1.40.
🔹 Первый публичный релиз ядра Linux вышел 17 сентября 1991 года.
🔹 Версия 0.0.1 весила всего 62 КБ (сжатая) и содержала около 10 000 строк кода.
С тех пор проект вырос колоссально:
⚙️ Современное ядро насчитывает уже более 41 миллиона строк кода и продолжает активно развиваться тысячами участников по всему миру.
💡 Linux стал основой для серверов, смартфонов, суперкомпьютеров и встраиваемых устройств — от облаков до IoT.
@linux_be1
25 августа 1991 года 21-летний студент Хельсинкского университета Линус Торвальдс написал в телеконференцию `comp.os.minix`, что у него появился рабочий прототип новой операционной системы.
🔹 Уже тогда было отмечено успешное портирование bash 1.08 и gcc 1.40.
🔹 Первый публичный релиз ядра Linux вышел 17 сентября 1991 года.
🔹 Версия 0.0.1 весила всего 62 КБ (сжатая) и содержала около 10 000 строк кода.
С тех пор проект вырос колоссально:
⚙️ Современное ядро насчитывает уже более 41 миллиона строк кода и продолжает активно развиваться тысячами участников по всему миру.
💡 Linux стал основой для серверов, смартфонов, суперкомпьютеров и встраиваемых устройств — от облаков до IoT.
@linux_be1