Taggat med: WebDAV

Stealth Falcon: Nya avancerade cyberattacker i Mellanöstern

CVE-2025-33053 och Stealth Falcon: Cyberangrepp med precision i Mellanöstern

Check Point Research (CPR) har avslöjat en ny sofistikerad cyberkampanj genomförd av den statsstödda hotaktören Stealth Falcon. Genom att skicka bifogade .url-filer utnyttjar angriparna en tidigare okänd sårbarhet i Windows (CVE-2025-33053) som tillåter Remote Code Execution (RCE). Exploiten gör det möjligt att exekvera kod direkt från en WebDAV-server, kontrollerad av en angripare.

Microsoft har åtgärdat sårbarheten i sina månatliga säkerhetsuppdatering som släpptes igår tisdag för juni månad.

Stealth Falcon riktar sina attacker mot högt uppsatta mål i Mellanöstern och Afrika, inklusive regerings- och försvarsorganisationer i länder som Turkiet, Qatar, Egypten och Jemen. Infektionsvektorn är oftast riktad nätfiske med bifogade länkar eller arkiv som innehåller dessa WebDAV-baserade payloads.

Angriparna använder skräddarsydda implantat baserade på det öppna C2-ramverket Mythic. Den nyupptäckta ”Horus Agent” är en vidareutveckling av deras tidigare modifierade Apollo-agent och är byggd i C++. Den inkluderar omfattande anti-analys-tekniker, kontrollflödesförvrängning, API-hashning samt C&C-kommunikation krypterad med AES och RC4.

En infektionskedja som identifierades hos ett turkiskt försvarsföretag använde en .url-fil som utnyttjade CVE-2025-33053. Genom att ändra arbetskatalogen till en WebDAV-adress kunde en legitim Windows-komponent luras att köra en skadlig fil (route.exe) från angriparens server. Detta är en ny variant av en redan känd DLL hijacking-teknik, men i detta fall med fullständiga exekverbara filer.

Horus Loader, skriven i C++, använder metoder såsom ”IPfuscation”, där payloaden är maskerad som en lista med IPv6-adresser. Den dekrypteras i minnet och injiceras i en legitim Edge browser-process. Angriparna använde även Code Virtualizer (liknande Themida protector) för att skydda koden mot reverse-engineering och analys och kunde därmed kringgå flera säkerhetsprodukter.

IPfuscation:

IPfuscation

Agenten stöder ett antal olika kommandon: systemkartläggning, konfigurationsuppdatering, filuppladdning, kodinjektion och processhantering. Målet är att identifiera värdefulla offer innan ytterligare payloads exekveras.

Vidare har Stealth Falcon utvecklat flera skräddarsydda post infection-moduler:

  • Credential dumper: extraherar filer från en virtuell disk (VHD) för att komma åt NTDS.dit, SAM och SYSTEM
  • Passiv bakdörr: en tjänst som lyssnar på nätverkstrafik och exekverar mottagen payload
  • Keylogger: loggar tangenttryckningar till en krypterad fil i Windows Temp-katalog.

Angriparna köper gamla domännamn med gott rykte via NameCheap för att undvika upptäckt. De använder även LOLBins (Living Off The Land Binaries) och WebDAV för att dölja sina spår.

Gruppen Stealth Falcon visar på hög teknisk kompetens och långsiktig strategisk planering. Genom att kombinera zerodays, avancerade payloads, välvalda mål och utstuderad infrastruktur förblir gruppen en av de mest sofistikerade APT-aktörerna med fokus på mellanöstern.

Alla organisationer, särskilt inom offentlig sektor och försvar, bör snarast implementera Microsofts säkerhetsuppdatering för CVE-2025-33053 och utvärdera sin exponering mot WebDAV och LOLBins i sin miljö.

Nyupptäckt sårbarhet i IIS 6.0

Mer än 8 miljoner webbplatser kan vara sårbar för en nyligen identifierad säkerhetsbrist i Internet Information Services (IIS) 6.0. Sårbarheten har utnyttjats på Internet sedan Juli 2016 och identifierades ”in the wild”.

Den sårbara funktionen heter ScStoragePathFromUrl och är en del av WebDAV:

Microsoft Windows Server 2003 R2 allows remote attackers to execute arbitrary code via a long header beginning with ”If: <http://” in a PROPFIND request

Säkerhetsbuggen identifierades av Zhiniang Peng samt Chen Wu vid South China University of Technology Guangzhou, Kina.

Enligt tjänsten BuiltWith så IIS används IIS på 13.8% av alla webbsajter samt IIS 6.0 versionen på 2.3% av alla webbsajter vilket motsvarar cirka 8.3 miljoner sajter.

Behöver Er organisation hjälp med cybersäkerhet? Kontakta Triop AB >

Github så kan du hitta följande exploit som demonstrerar sårbarheten genom att starta upp kalkylatorn i Windows, calc.exe:

https://raw.githubusercontent.com/edwardz246003/IIS_exploit/master/exploit.py

Givetvis ska inte IIS 6.0 användas då detta är en mycket gammal version, men troligtvis så kan det hjälpa att stänga av WebDAV för att förhindra att sårbarheten utnyttjas.

Och här finnes en Snort-signatur (källa):

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-MISC IIS v6
WebDAV ScStoragePathFromUrl overflow attempt"; flow:to_server,established;
content:"PROPFIND"; nocase; http_method; content:"|0a|If|3a|"; nocase;
http_raw_header; isdataat:1000,relative; content:!"|0A|"; http_raw_header;
within:1000; reference:cve,2017-7269; reference:url,github.com/
edwardz246003/IIS_exploit;
classtype:web-application-attack; sid:1; rev:1;)