CVE-2025-33053 olarak adlandırılan Microsoft Windows’ta kritik bir sıfır günlük güvenlik açığı, gelişmiş Kalıcı Tehdit (APT) Grubu Stealth Falcon tarafından aktif olarak sömürülmüştür.
Bir sistemin çalışma dizininin manipülasyonu yoluyla uzaktan kod yürütülmesini (RCE) sağlayan kusur, CPR’nin sorumlu ifşasını takiben Salı günkü güncellemelerinde Microsoft tarafından ele alındı. Aşağıda saldırının teknik bir dökümü ve sonuçları bulunmaktadır.
CVE-2025-33053’ün keşfi ve sömürüsü
Mart 2025’te CPR, bir Türk savunma şirketini hedefleyen bir siber saldırı denemesi tespit etti.
.png
)
Saldırı, CVE-2025-33053’ten yararlanmak için muhtemelen mızrak aktı e-postaları aracılığıyla teslim edilen kötü niyetli bir .Url dosyasından yararlandı.
Bu güvenlik açığı, saldırganların Iediagcmd.exe gibi meşru Windows araçlarının çalışma dizinini, saldırgan kontrollü bir WebDAV sunucusunda barındırılan kötü amaçlı dosyaları yürütmesini sağlar.
The .url file, named TLM.005_TELESKOPIK_MAST_HASAR_BILDIRIM_RAPORU.pdf.url, redirected the execution of iediagcmd.exe to a malicious route.exe on a WebDAV server (\summerartcamp[.]net@ssl@443/DavWWWRoot\OSYxaOjr). Çalışma dizinini değiştirerek saldırgan, Process.start () ‘nın Meşru System32 sürümü üzerinden kötü amaçlı yürütülebilir dosyaya öncelik vermesini sağladı.
Yürütülebilir tabanlı WebDAV saldırıları için birincisi olan bu yeni teknik, Stealth Falcon’un sistem kamu hizmetlerinden yararlanmak için yenilikçi yaklaşımının altını çiziyor.
Fuuityarmor olarak da bilinen Stealth Falcon, en azından 2012’den beri Türkiye, Katar, Mısır ve Yemen de dahil olmak üzere Orta Doğu ve Afrika’daki hükümet ve savunma sektörlerini hedef alan aktif.
Check Point raporuna göre, grup sıfır gün istismarları elde ettiği ve sofistike, özel olarak inşa edilmiş yükler dağıttığı bilinmektedir.
En son kampanyaları, Mısır şahin başlı Tanrı’nın adını taşıyan açık kaynaklı efsanevi C2 çerçevesi üzerine inşa edilmiş özel bir implant olan Horus Ajan’ı tanıtıyor.
Enfeksiyon zinciri
.webp)
- Bir kimlik avı e -postası, genellikle bir fermuarlı arşiv içinde, meşru bir belge olarak gizlenmiş bir kötü niyetli .url dosyası sunar.
- Bu dosya, bir WebDAV sunucusundan zararlı bir rota.exe çalıştırmak için iediagcmd.exe’yi manipüle ederek CVE-2025-33053’ten yararlanır.
- Saldırı, kod sanallaştırıcı tarafından korunan C ++ tabanlı bir yükleyici olan Horus Loader’ı dağıtıyor ve bu da 17 satıcıdan 109 antivirüs işlemi için Kernel32.dll ve ntdll.dll’nin manuel eşlemesi gibi anti-analiz teknikleri yoluyla saptanıyor.
- TLM.005_teleskopik_mast_hasar_bildirim_raporu.pdf gibi bir tuzak PDF’yi çözerek ve göstererek kurbanları rahatsız eder.
- Yükleyici, IPv6 adreslerinden bir yükü çözmek için ipfuscation kullanır ve ZwallocateVirtualMemory, ZWWriteVirtualMemory ve Ntresumethread kullanarak MSEDGE.EXE’ye enjekte eder.
- Horus aracısı, son yük, ithalatları dinamik olarak çözmek için API karma ile birlikte dize şifrelemesi (Shift Cipher, -39) ve kontrol akışı düzleştirme ile özel OLLVM gizleme kullanır.
- HMAC-SHA256 ile güvence altına alınan AES şifreli HTTP istekleri aracılığıyla komut ve kontrol sunucuları ile en fazla dört alan ve 31 Aralık 2099’da bir öldürme tarihi kullanarak iletişim kurar.
- Desteklenen komutlar arasında sistem numaralandırması (anket) ve gizli kabuk kodu enjeksiyonu (shinjectchunked) bulunur.
Saldırı, gelişmiş yeteneklere sahip bir C ++ efsanevi implant olan spayload içeren çok aşamalı bir enfeksiyon zinciri kullanır.
Stealth Falcon’un araç seti, kontrat sonrası işlemler için birkaç belgesiz araç içerir.
DC kimlik bilgisi tamponu NTDS.DIT, SAM ve sistem dosyalarını, discutils kütüphanesini kullanarak C: \ ProgramData \ ds_notifier_0.vhdx adresindeki bir sanal diske erişerek, dosyaları eksfiltrasyon için ds_notifier_2.vif adlı bir zip arşivine sıkıştırır.
Pasif arka kapı, USRProfscc.exe, AES şifreli kabuklu yükleri dinleyerek yönetici ayrıcalıklarına sahip bir hizmet olarak çalışan (USRProfSCC) C tabanlı bir araçtır.
Custom KeyLogger, statusreport.dll, dxdiag.exe’ye enjekte eder, tuş vuruşlarını C: \ Windows \ Temp ~ Tn%logname%.tmp adresinden RC4 şifreli bir dosyaya kaydeder.
Azaltma ve öneriler
Microsoft’un yaması CVE-2025-33053 artık mevcut ve kuruluşların hemen uygulamaya çağrılması isteniyor. CPR:
- Yama sistemleri: WebDAV güvenlik açığını azaltmak için Windows’u güncelleyin.
- Kimlik avı farkındalığı: Personeli, şüpheli ekler veya bağlantılarla mızrak-akma e-postalarını tanımak için eğitin.
- Ağ İzleme: WebDAV ile ilgili alan adlarına ilişkin trafiği izleyin SummerArtCamp[.]açık veya mystartupblog.com.
- Uç nokta güvenliği: Lolbin kötüye kullanımını ve yetkisiz süreç enjeksiyonlarını tespit etmek için çözümler dağıtın.
Sömürülmesi CVE-2025-33053 ile Gizli Şahin Grubun teknik karmaşıklığını vurgular ve Orta Doğu’daki yüksek değerli hedeflere odaklanır.
Grup, sıfır gün istismarlarını, özel implantları ve kaçamaklı teknikleri birleştirerek bölgesel güvenlik için önemli bir tehdit oluşturmaktadır. Kuruluşlar, bu gelişen tehdide karşı koymak için yama ve proaktif izlemeye öncelik vermelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin