【安全资讯】APT组织利用Windows WebDav零日漏洞投放恶意软件

概要：

2025年3月起，APT组织'Stealth Falcon'利用Windows WebDav远程代码执行零日漏洞（CVE-2025-33053），针对中东多国国防和政府机构发起攻击。该漏洞通过操纵Windows内置工具的远程工作目录，实现无文件化攻击，具有高度隐蔽性。微软已在最新补丁中修复该漏洞。

主要内容：

该漏洞源于Windows系统对WebDAV远程路径的处理缺陷。攻击者通过钓鱼邮件发送伪装成PDF的.url文件，当受害者打开文件时，系统会从攻击者控制的WebDAV服务器加载恶意程序而非合法工具。

技术分析显示，漏洞利用Windows诊断工具iediagcmd.exe的工作目录查找机制。攻击者将工作目录设置为恶意WebDAV共享，导致系统加载伪造的route.exe程序，进而部署多阶段加载器'Horus Loader'。

最终植入的'Horus Agent'是一个C++编写的Mythic C2植入程序，具有系统指纹识别、配置修改、shellcode注入等功能。研究人员还发现了凭证转储工具、键盘记录器等后渗透工具。

值得注意的是，Stealth Falcon自2012年活跃至今，其最新工具比早期版本更具隐蔽性和模块化特性。建议关键机构立即应用微软补丁，或严格监控WebDAV流量。