Stealth Falcon: использование CVE-2025-33053 для продвинутых кибершпионских атак
APT-группа Stealth Falcon использует уязвимость нулевого дня CVE-2025-33053 в масштабной атаке на Ближнем Востоке и в Африке
Исследовательская компания Check Point Research (CPR) выявила новую киберкампанию, осуществляемую APT-группой Stealth Falcon, которая эксплуатирует уязвимость нулевого дня CVE-2025-33053. Эта уязвимость позволяет злоумышленникам выполнять удалённый код с помощью манипуляций с рабочим каталогом, что значительно облегчает проникновение и длительное присутствие в сетях целей.
Цели и метод атаки
Основными жертвами атаки стали организации правительственного и оборонного секторов на Ближнем Востоке и в Африке. Злоумышленники использовали типовую для современных кибершпионских кампаний схему — отправку фишинговых e-mail с вложенным URL-файлом. Этот файл, при активации, загружал вредоносный загрузчик с контролируемого злоумышленниками сервера WebDAV.
- Загрузчик запускался при помощи легитимного средства Windows, что обеспечивало ему невидимость для большинства средств защиты;
- Он представлял собой многоэтапный компонент с использованием технологии Code Virtualizer, усложняющей обратное проектирование и анализ вредоносного кода;
- Имел уникальные функции, включая ручное сопоставление системных библиотек Windows и сканирование на наличие запущенных антивирусных процессов.
Полезная нагрузка и технические особенности
В конечном итоге атаки внедрялась платформа Horus Agent — специализированный имплантат для Mythic Command and Control (C2), а также ряд дополнительных модулей, таких как:
- клавиатурные шпионы;
- пассивные бэкдоры;
- устройства для сброса учетных данных.
Horus Agent функционирует как бэкдор, который защищает собственный код с помощью:
- шифрования строк;
- сглаживания потока управления (control flow flattening);
- хеширования вызовов API;
- динамического преобразования функций, что значительно затрудняет статический анализ.
Для связи с сервером C2 агент использует зашифрованные сообщения с контролем целостности данных при помощи HMAC-SHA256. Во время командного цикла Horus Agent способен:
- собирать детальную информацию о пользователях, процессах и сетевых конфигурациях;
- выполнять шелл-код с применением сложных пользовательских методов внедрения.
Эволюция методов и инфраструктуры Stealth Falcon
Операции группы Stealth Falcon демонстрируют значительную техническую изощренность и постоянное развитие инструментов и тактик. Ключевые элементы их подхода включают:
- использование многоступенчатых загрузчиков, усложняющих обнаружение;
- применение LOLBins — легитимных бинарных файлов для обхода средств защиты;
- активное использование методов обфускации и приобретение устаревших, но легитимных доменов для маскировки инфраструктуры заражения;
- стратегическое применение уязвимостей нулевого дня для закрепления в сети и обеспечения незаметной работы.
_Как отмечают эксперты CPR_, «использование CVE-2025-33053 демонстрирует способность Stealth Falcon быстро адаптироваться и внедрять передовые технологии для обхода современных систем безопасности».
Выводы
Киберкампания Stealth Falcon — яркий пример целевой операции в области кибершпионажа с применением продвинутых технических средств и сложных схем внедрения. Их методы отражают долгосрочную ориентацию на государственные структуры и оборонные объекты, а также готовность эффективно противостоять современным контрмерам и средствам защиты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
