此篇文章聚焦於微軟今年3月例行更新(Patch Tuesday)中修補的多達七項零時差漏洞,特別針對其中一項被實際利用的漏洞——微軟管理主控臺(MMC)漏洞 CVE-2025-26633,也被稱作 MSC EvilTwin。文章指出,資安業者趨勢科技當時通報,俄羅斯駭客組織 EncryptHub(別名 Larva-208、Water Gamayun)已將此漏洞用於實際攻擊行動,並揭露其攻擊手法。值得注意的是,此篇文章提到,即使微軟在三月份公布修補程式,駭客仍持續針對尚未更新的系統進行攻擊。
作者進一步說明,Trustwave 最新的調查揭露了 EncryptHub 的新一波攻擊行動。攻擊者會偽裝成 IT 人員,向目標發出 Microsoft Teams 的請求,一旦成功建立遠端連線,便會將惡意酬載部署至受害電腦。文章細節描述,駭客透過 PowerShell 指令碼 Runner.ps1 下載兩個 MSC 檔案,藉此觸發 MSC EvilTwin 漏洞,進而執行有效酬載。特別的是,駭客會修改 MSC 檔案內容,將 placeholder 中的 htmlLoaderUrl 參數替換為 EncryptHub 的 C2(Command and Control)伺服器網址,以便接收後續酬載並執行。文章指出,Trustwave 未進一步解釋駭客為何需要修改 MSC 檔案,但這一手法顯示出攻擊者對漏洞利用的靈活應用與持續進化。
文章還指出,駭客接著透過另一個 PowerShell 指令碼 Build.ps1 收集系統資訊並回傳至 C2,建立可持續存取的管道,維持與 C2 之間的連線,並下載並執行實際的惡意酬載——竊資軟體 Fickle Stealer。Fickle Stealer 基於 PowerShell 開發,專門用於挖掘系統資訊,並竊取加密貨幣錢包資料,凸顯攻擊者鎖定財務與加密資產的明確意圖。此外,描述 EncryptHub 的攻擊工具亦有所更新。駭客改用 Go 語言打造惡意程式載入工具 SilentCrystal,以部署觸發 MSC EvilTwin 漏洞的 MSC 檔案。文章特別指出,攻擊者甚至濫用 Brave 瀏覽器的支援平臺來寄放內含惡意 MSC 檔的 ZIP 壓縮檔,並開發 Go 語言後門程式,不僅能與 C2 伺服器連線,還能透過 SOCKS5 代理伺服器隧道模式,強化 C2 基礎設施的穩定性與隱蔽性。
綜合來看,本文詳細描寫了 MSC EvilTwin 漏洞從揭露到持續被利用的過程,涵蓋攻擊手法、工具演進、社交工程技巧與財務導向的惡意酬載應用,呈現了當前資安威脅的複雜性與動態性,也提醒尚未更新漏洞的系統仍存在極高風險。
