Египетский бог с головой сокола теперь живёт в вашем Edge — но это не мифология, а новый 0day
NewsMakerPDF не виноват — просто в него вселился демон с WebDAV-сервера.
В июньском обновлении Microsoft была устранена критическая zero-day уязвимость под номером CVE-2025-33053 , активно используемый APT -группировкой Stealth Falcon для удалённого исполнения кода на системах Windows. Уязвимость позволяла изменять рабочий каталог системных утилит и запускать вредоносные исполняемые файлы с серверов WebDAV. По данным Check Point, атака впервые была зафиксирована в марте 2025 года в попытке компрометации турецкой оборонной компании.
Цепочка заражения начиналась с фишингового письма с вложением — вредоносным файлом с расширением .url, маскирующимся под PDF-документ. При открытии объект с именем «TLM.005_TELESKOPIK_MAST_HASAR_BILDIRIM_RAPORU.pdf.url» инициировал запуск «iediagcmd.exe», встроенной в Windows утилиты, но не с локального диска, а с внешнего WebDAV-сервера, где под тем же именем находился троянский «route.exe». Такой обход доверенных путей стал возможен благодаря манипуляции рабочей директорией, что обеспечивало приоритет вредоносной версии файла над легитимной.
Специалисты подчёркивают, что это первый известный случай эксплуатации WebDAV-сервера через запуск исполняемого файла с использованием нативных инструментов Windows, а не скриптов или загрузчиков. Эта находка подчёркивает новизну тактики Stealth Falcon, также известной как FruityArmor — группировки, действующей с 2012 года и специализирующейся на атаках на правительственные и оборонные структуры стран Ближнего Востока и Африки.
В рамках кампании применялась новая вредоносная платформа под названием Horus Agent, разработанная на базе фреймворка Mythic C2 и названная в честь египетского бога с головой сокола. Её начальной стадией выступал Horus Loader — загрузчик на C++, защищённый через Code Virtualizer и способный обходить средства анализа за счёт ручного маппинга библиотек «kernel32.dll» и «ntdll.dll». Он проверял наличие 109 антивирусных процессов от 17 производителей и маскировал активность, расшифровывая и отображая жертве поддельный PDF-документ, чтобы отвлечь внимание.
Загрузчик использовал технику IPfuscation — шифрование полезной нагрузки внутри IPv6-адресов — и внедрял её в процесс браузера Microsoft Edge через системные вызовы ZwAllocateVirtualMemory, ZwWriteVirtualMemory и NtResumeThread. Финальным этапом был запуск Horus Agent — модуля с глубоким уровнем запутывания (OLLVM-обфускация, шифрование строк сдвигом -39, контроль потока и API-хешинг). Агент связывался с C2-серверами по HTTP с шифрованием AES и подписью HMAC-SHA256, поддерживал до четырёх доменов и включал механизм отключения с датой 31 декабря 2099 года.
Среди поддерживаемых команд — сбор информации о системе (survey) и внедрение шеллкода (shinjectchunked). При этом группировка использовала дополнительный арсенал средств, включая:
Активность Stealth Falcon подчёркивает высокий уровень технической подготовки злоумышленников и их способность адаптироваться к новейшим защитным механизмам. В фокусе атаки остаются государственные структуры и компании с критически важной инфраструктурой, особенно на Ближнем Востоке, что требует от организаций постоянного мониторинга и своевременного реагирования.
В июньском обновлении Microsoft была устранена критическая zero-day уязвимость под номером CVE-2025-33053 , активно используемый APT -группировкой Stealth Falcon для удалённого исполнения кода на системах Windows. Уязвимость позволяла изменять рабочий каталог системных утилит и запускать вредоносные исполняемые файлы с серверов WebDAV. По данным Check Point, атака впервые была зафиксирована в марте 2025 года в попытке компрометации турецкой оборонной компании.
Цепочка заражения начиналась с фишингового письма с вложением — вредоносным файлом с расширением .url, маскирующимся под PDF-документ. При открытии объект с именем «TLM.005_TELESKOPIK_MAST_HASAR_BILDIRIM_RAPORU.pdf.url» инициировал запуск «iediagcmd.exe», встроенной в Windows утилиты, но не с локального диска, а с внешнего WebDAV-сервера, где под тем же именем находился троянский «route.exe». Такой обход доверенных путей стал возможен благодаря манипуляции рабочей директорией, что обеспечивало приоритет вредоносной версии файла над легитимной.
Специалисты подчёркивают, что это первый известный случай эксплуатации WebDAV-сервера через запуск исполняемого файла с использованием нативных инструментов Windows, а не скриптов или загрузчиков. Эта находка подчёркивает новизну тактики Stealth Falcon, также известной как FruityArmor — группировки, действующей с 2012 года и специализирующейся на атаках на правительственные и оборонные структуры стран Ближнего Востока и Африки.
В рамках кампании применялась новая вредоносная платформа под названием Horus Agent, разработанная на базе фреймворка Mythic C2 и названная в честь египетского бога с головой сокола. Её начальной стадией выступал Horus Loader — загрузчик на C++, защищённый через Code Virtualizer и способный обходить средства анализа за счёт ручного маппинга библиотек «kernel32.dll» и «ntdll.dll». Он проверял наличие 109 антивирусных процессов от 17 производителей и маскировал активность, расшифровывая и отображая жертве поддельный PDF-документ, чтобы отвлечь внимание.
Загрузчик использовал технику IPfuscation — шифрование полезной нагрузки внутри IPv6-адресов — и внедрял её в процесс браузера Microsoft Edge через системные вызовы ZwAllocateVirtualMemory, ZwWriteVirtualMemory и NtResumeThread. Финальным этапом был запуск Horus Agent — модуля с глубоким уровнем запутывания (OLLVM-обфускация, шифрование строк сдвигом -39, контроль потока и API-хешинг). Агент связывался с C2-серверами по HTTP с шифрованием AES и подписью HMAC-SHA256, поддерживал до четырёх доменов и включал механизм отключения с датой 31 декабря 2099 года.
Среди поддерживаемых команд — сбор информации о системе (survey) и внедрение шеллкода (shinjectchunked). При этом группировка использовала дополнительный арсенал средств, включая:
- Spayload — ещё один модуль Mythic с расширенными возможностями;
- DC Credential Dumper — средство извлечения файлов NTDS.dit, SAM и SYSTEM через подключение виртуального диска «C:\ProgramData\ds_notifier_0.vhdx» и последующее сжатие данных в ZIP-архив;
- Passive Backdoor («usrprofscc.exe») — фоновый сервис с правами администратора, ожидающий шеллкод в зашифрованном виде;
- Keylogger («StatusReport.dll») — модуль, внедряемый в «dxdiag.exe» и записывающий нажатия клавиш в RC4-зашифрованный лог по пути «C:\Windows\Temp~TN%LogName%.tmp».
Активность Stealth Falcon подчёркивает высокий уровень технической подготовки злоумышленников и их способность адаптироваться к новейшим защитным механизмам. В фокусе атаки остаются государственные структуры и компании с критически важной инфраструктурой, особенно на Ближнем Востоке, что требует от организаций постоянного мониторинга и своевременного реагирования.