ثغرة CVE-2025-26633
استغلت Water Gamayun بشكل نشط ثغرة CVE-2025-26633 (المعروفة أيضًا باسم MSC EvilTwin)، وهي ثغرة في إطار عمل Microsoft Management Console (MMC)، لتنفيذ البرامج الضارة باستخدام ملفات Microsoft Console (.msc) المارقة.
جدول المحتويات
أبواب خلفية جديدة: SilentPrism و DarkWisp
استخدم مجرمو الإنترنت الذين يقفون وراء هذا الهجوم غير المسبوق برمجيتين خلفيتين متطورتين، وهما SilentPrism وDarkWisp. تُسهّل هذه الأدوات استمرارية الهجوم، واستطلاع النظام، والتحكم عن بُعد، مما يجعلها أدوات فعّالة للتجسس وسرقة البيانات. ونُسبت العملية إلى مجموعة قرصنة مرتبطة بروسيا تُعرف باسم Water Gamayun، وتُعرف أيضًا باسم EncryptHub وLARVA-208.
أساليب الهجوم: حزم التزويد ومثبتات MSI
تُسلِّم Water Gamayun الحمولات بشكل رئيسي عبر حزم التزويد الاحتيالية، وملفات .msi المُوقَّعة، وملفات MSC. وتستخدم تقنيات مثل عملية IntelliJ runnerw.exe لتنفيذ الأوامر، مما يزيد من السرية والفعالية.
تطور توزيع البرامج الضارة في EncryptHub
في البداية، لفتت EncryptHub الأنظار في يونيو 2024 عندما استخدمت مستودع GitHub لتوزيع عائلات برامج ضارة متنوعة عبر موقع WinRAR مزيف. ومنذ ذلك الحين، انتقلت إلى بنيتها التحتية الخاصة لعمليات التجهيز والقيادة والتحكم (C&C).
التنكر في صورة برنامج شرعي
تُخفي Water Gamayun برمجياتها الخبيثة داخل مُثبّتات .msi، مُتظاهرةً بأنها تطبيقات أصلية مثل DingTalk وQQTalk وVooV Meeting. تُشغّل هذه المُثبّتات أداة تنزيل PowerShell، حيث تقوم بجلب وتشغيل حمولات المرحلة التالية على الأنظمة المُخترقة.
SilentPrism و DarkWisp: غرسات PowerShell خفية
SilentPrism عبارة عن غرسة تعتمد على PowerShell تعمل على إنشاء الاستمرارية وتنفيذ أوامر shell متعددة والتهرب من الاكتشاف باستخدام تقنيات التحليل المضاد.
DarkWisp، وهو برنامج آخر من نوع PowerShell backdoor، متخصص في استطلاع النظام، واستخراج البيانات، والحفاظ على الوصول طويل الأمد إلى الأجهزة المصابة.
اتصالات القيادة والتحكم وتنفيذ الأوامر
بمجرد الإصابة، يقوم البرنامج الخبيث بتسريب بيانات الاستطلاع إلى خادم C&C ويدخل في حلقة مستمرة، في انتظار الأوامر عبر منفذ TCP 8080. تصل الأوامر بتنسيق COMMAND| من أكثر الحمولات إثارةً للقلق في سلسلة الهجمات هذه مُحمّل MSC EvilTwin، الذي يستغل ثغرة CVE-2025-26633 لتنفيذ ملفات .msc خبيثة. يؤدي هذا في النهاية إلى نشر Rhadamanthys Stealer ، وهو برنامج خبيث معروف مصمم لسرقة البيانات. لا تعتمد شركة Water Gamayun على Rhadamanthys فقط. فهي توزع أيضًا StealC وثلاثة برامج سرقة مخصصة قائمة على PowerShell - وهي إصدارات EncryptHub Stealer A وB وC. هذه الإصدارات، المستندة إلى Kematian Stealer مفتوح المصدر، تستخرج بيانات نظام شاملة، بما في ذلك تفاصيل مكافحة البرامج الضارة، والبرامج المثبتة، وتكوينات الشبكة، والتطبيقات قيد التشغيل. يجمع برنامج السرقة الخبيث مجموعة واسعة من بيانات الاعتماد، بما في ذلك كلمات مرور شبكات Wi-Fi، ومفاتيح منتجات Windows، وبيانات المتصفح، وسجل الحافظة. والجدير بالذكر أنه يبحث بشكل صريح عن الملفات المتعلقة بمحافظ العملات المشفرة، مما يشير إلى نية جمع عبارات الاسترداد والأصول المالية. من السمات الفريدة لأحد متغيرات EncryptHub Stealer استخدامه لتقنية ثنائية تعتمد على الموارد الطبيعية (LOLBin). فهو يستغل ملف runnerw.exe من IntelliJ لتوكيل تنفيذ نصوص PowerShell عن بُعد، مما يزيد من غموض نشاطه. تم العثور على حزم MSI المهددة و binary droppers التابعة لـ Water Gamayun وهي توزع عائلات إضافية من البرامج الضارة، بما في ذلك Lumma Stealer و Amadey ومختلف clippers التي تركز على العملات المشفرة.
كشف تحليل البنية التحتية للتحكم والسيطرة في Water Gamayun (وخاصةً 82.115.223[.]182) أنهم يستخدمون نصوص PowerShell لتنزيل وتشغيل برنامج AnyDesk للوصول عن بُعد. كما يرسلون أوامر عن بُعد مشفرة بتنسيق Base64 إلى أجهزة الضحية للتحكم السلس. يُبرز استخدام Water Gamayun لمتجهات هجوم متعددة، بما في ذلك ملفات MSI المُوقّعة، وLOLBins، والحمولات المُخصّصة، قدرتها على التكيّف مع اختراق الأنظمة. كما تُمكّنها بنيتها التحتية المتطورة للقيادة والتحكم من الحفاظ على استمرارية طويلة الأمد مع التهرّب من التحقيقات الجنائية.
نصيحة: تشغيل الصوت ON ومشاهدة الفيديو في وضع ملء الشاشة. محمل MSC EvilTwin: نشر Rhadamanthys Stealer
توسيع الترسانة: المزيد من اللصوص والإصدارات المخصصة
استهداف العملات المشفرة والبيانات الحساسة
تقنيات العيش على الأرض للتخفي
نشر البرامج الضارة عبر قنوات متعددة
البنية التحتية للتحكم والسيطرة: التحكم عن بعد عبر PowerShell
التكيف والاستمرار: مشهد التهديد في واتر جامايون
ثغرة CVE-2025-26633 فيديو
