Хакеры использовали уязвимости нулевого дня в Windows WebDAV для скрытных атак

Специалисты компании Check Point Research сообщили об активной эксплуатации критической уязвимости CVE-2025-33053, обнаруженной в механизме WebDAV операционной системы Windows. Хакерская группировка Stealth Falcon, также известная под названием FruityArmor, применяет этот уязвимый компонент для удалённого исполнения вредоносного кода без локального размещения файлов.

С начала марта 2025 года атаки были нацелены на военные и государственные учреждения в Турции, Катаре, Египте и Йемене. Как отметили исследователи Check Point, вектор заражения начинается с вредоносного .url-файла, замаскированного под PDF-документ. Он поступает жертве через фишинговое письмо. Этот файл перенаправляет к встроенному инструменту iediagcmd.exe — системной утилите диагностики Internet Explorer.

По информации Check Point, при запуске iediagcmd.exe задействуется функция Process.Start() из библиотеки .NET, которая сначала обращается к текущему рабочему каталогу, а затем — к системным папкам Windows. Этим и воспользовались злоумышленники: через .url-файл задаётся удалённый путь на WebDAV-сервер, контролируемый атакующими. В результате диагностический инструмент запускает вредоносный файл с удалённого ресурса, полагая его легитимным.

Эксплойт позволяет хакерам незаметно запускать исполняемые файлы, размещённые вне устройства жертвы. В данном случае, с сервера под их контролем загружается поддельный route.exe, который устанавливает многоступенчатый загрузчик Horus Loader. Затем начинается развёртывание основной вредоносной программы — Horus Agent. Этот инструмент, написанный на C++, взаимодействует с фреймворком Mythic C2 и поддерживает удалённое управление системой, внедрение шелл-кода, файловые операции и сбор системной информации.

Как подчеркнули в Check Point Research, несмотря на то что отдельные попытки проникновения не дали результата, факт успешной эксплуатации уязвимости подтверждён. Анализ образцов, извлечённых с серверов злоумышленников, показал высокий уровень подготовки атакующих и использование ранее нераскрытых методов.

Компания Microsoft устранила уязвимость в рамках июньского обновления Patch Tuesday. Эксперты в области кибербезопасности настоятельно рекомендуют немедленно установить все свежие патчи, особенно на устройствах в критической инфраструктуре и госсекторе.