微軟在上個月的例行修補程式更新中,修復了兩個由安全研究人員「EncryptHub」所發現的Windows安全漏洞。根據瑞典資安公司Outpost24 KrakenLabs的分析,這些漏洞若被利用,可能會對企業及個人用戶構成嚴重威脅。
這兩個被修補的漏洞分別是:
- CVE-2025-24061(CVSS評分:7.8):Windows「Mark-of-the-Web」(MotW)安全功能繞過漏洞。此漏洞可能使攻擊者能夠繞過Windows針對從網絡下載文件的安全保護機制,增加惡意軟件執行的可能性。
- CVE-2025-24071(CVSS評分:6.5):Windows檔案總管欺騙漏洞。此漏洞可能使攻擊者能夠偽裝文件類型或來源,誘使用戶執行惡意程式。
微軟在修補這些漏洞時,將功勞歸於「SkorikARI with SkorikARI」,這被認為是EncryptHub使用的另一個用戶名。
除了上述兩個漏洞外,EncryptHub(又被稱為LARVA-208和Water Gamayun)近期還被發現利用Microsoft Management Console的零日漏洞(CVE-2025-26633,CVSS評分7.0,又稱MSC EvilTwin)來傳送惡意軟體。
根據技術分析,這些攻擊主要涉及:
- 資訊竊取程式的傳播
- 新型後門程式的部署,包括SilentPrism和DarkWisp
- 利用假冒的WinRAR網站作為傳播途徑
- 使用GitHub倉庫「encrypthub」託管惡意軟體
惡意軟體技術特點
在EncryptHub的工具庫中,值得注意的是Fickle Stealer,這是一個基於Rust語言開發的資訊竊取惡意軟體。據技術分析,該惡意軟體具有以下特點:
- 能夠在其他常見竊取器(如StealC或Rhadamantys)無法運作的系統上運行
- 能繞過企業級防毒系統
- 與另一個被稱為EncryptRAT的產品有所關聯
技術研究還發現,這些惡意軟體的開發過程中大量使用了AI輔助工具,特別是OpenAI的ChatGPT,用於程式碼生成和開發輔助。
安全建議
鑑於這些漏洞的嚴重性,資安專家建議:
- 立即安裝微軟最新的安全更新
- 加強對從網路下載文件的監控和掃描
- 提高對檔案總管中可疑文件的警覺性
- 部署進階端點防護解決方案,特別是針對Rust編寫的新型惡意軟體
根據PRODAFT的報告,與這些漏洞和攻擊手法相關的入侵行為已影響超過618個跨行業的高價值目標,凸顯了及時修補系統的重要性。
研究人員指出,EncryptHub是因為基本的操作安全錯誤而暴露身份。這個案例顯示,即使技術再精湛,操作安全性不佳仍是網路犯罪者的致命弱點。如:簡單的錯誤如密碼重複使用、基礎設施暴露等錯誤。
本文轉載自thehackernews。