26/03/25
Злоумышленники использовали уязвимость в Microsoft Management Console (MMC), чтобы исполнять вредоносный код с помощью специально подготовленных файлов .msc.
Техника получила название MSC EvilTwin и представляет собой сложный способ внедрения трояна с использованием встроенных возможностей Windows. В атаке эксплуатируется уязвимость CVE-2025-26633 (оценка CVSS: 7.0), которая была исправлена в марте в рамках Patch Tuesday.
Основу атаки составляет подмена легитимного файла консоли Windows вредоносным аналогом в каталоге en-US, связанным с языковым интерфейсом. При запуске подменённый файл активируется вместо оригинального, благодаря особенностям работы компонента MUIPath. Это позволяет загрузить и исполнить вредоносный сценарий PowerShell, без видимых признаков для пользователя.
Отдельная опасность заключается в том, что файлы .msc поддерживают скриптовые элементы и могут быть модифицированы для загрузки вредоносного HTML-контента. Встроенные элементы ActiveX и компонент Internet Explorer используются для вызова метода ExecuteShellCommand — через него хакеры исполняют команды в контексте доверенного приложения Windows. Достаточно открыть подменённую консоль, чтобы запустить вредоносный сценарий.
Дополнительно задействуется техника создания «ложных» системных директорий. Добавив пробелы или специальные символы в пути, атакующие создают каталоги, визуально схожие с доверенными, например, «C:\Windows \System32». В таких каталогах размещаются вредоносные копии системных файлов, что сбивает с толку проверки и позволяет запускать нужный код с привилегиями.
Загрузчик MSC EvilTwin, написанный на PowerShell, использует сразу все методы. Он распространяется через MSI-файлы, замаскированные под известные китайские программы вроде DingTalk. При установке файлы загружают зашифрованный вредоносный код с удалённого сервера, распаковывают два .msc файла — легитимный и модифицированный — и помещают их в «ложные» каталоги.
Дальнейший запуск безвредного файла вызывает подмену через механизм MUIPath, в результате чего система открывает вредоносную версию, загружающую HTML-контент с сервера злоумышленников. HTML содержит скрипт, использующий метод ExecuteShellCommand для запуска сценария PowerShell с очередным вредоносным кодом — например, загрузчиком инфостилера Rhadamanthys.
Такая техника применялась ещё в апреле 2024 года, но только недавно была полностью раскрыта и получила официальный статус уязвимости. Помимо самого загрузчика, в арсенале Water Gamayun есть и другие вредоносные компоненты: шпионское ПО EncryptHub, бэкдоры DarkWisp и SilentPrism, а также стилеры Stealc и Rhadamanthys. Microsoft и программа Zero Day Initiative устранили ошибку, выпустив исправление 11 марта.
