【样本分享】Water Gamayun利用MSC EvilTwin武器化MUIPath的零日漏洞

概要：

近期，网络安全研究机构Trend Research揭露了俄罗斯网络威胁组织Water Gamayun利用微软管理控制台框架中的零日漏洞（CVE-2025-26633）进行恶意攻击的事件。该攻击通过操控.msc文件和多语言用户界面路径（MUIPath）来下载和执行恶意代码，导致企业面临数据泄露和重大财务损失的风险。

主要内容：

Water Gamayun利用名为MSC EvilTwin的技术，针对微软管理控制台（MMC）中的漏洞进行攻击。攻击者通过创建两个同名的.msc文件，其中一个为干净的合法文件，另一个则为恶意文件。当用户运行合法文件时，系统加载并执行恶意文件，从而在不知情的情况下感染系统。

此外，攻击者还利用ExecuteShellCommand方法，通过精心制作的.msc文件在受害者机器上执行命令，进一步下载和执行恶意负载。该攻击手法的创新之处在于其能够通过合法的Windows二进制文件代理执行恶意负载，增强了攻击的隐蔽性和成功率。

Trend Research的调查显示，Water Gamayun的攻击活动仍在积极发展，采用多种交付方法和定制负载。与微软合作，Trend Zero Day Initiative迅速披露了这一漏洞并发布了补丁，企业应采取全面的网络安全解决方案，以应对不断演变的威胁。