CVE-2025-26633 Уязвимост

До Mezo през Уязвимост, Усъвършенствана постоянна заплаха (APT)г

Превод на:

Water Gamayun активно експлоатира CVE-2025-26633 (известен още като MSC EvilTwin), уязвимост в рамката на Microsoft Management Console (MMC), за да изпълнява зловреден софтуер, използвайки измамни файлове на Microsoft Console (.msc).

Съдържание

Нови задни вратички: SilentPrism и DarkWisp

Киберпрестъпниците зад тази атака от нулевия ден са разположили две сложни задни вратички — SilentPrism и DarkWisp. Тези инструменти улесняват постоянството, разузнаването на системата и дистанционното управление, което ги прави мощни средства за шпионаж и кражба на данни. Операцията се приписва на свързана с Русия хакерска група, известна като Water Gamayun, наричана още EncryptHub и LARVA-208.

Методи за атака: Пакети за осигуряване и MSI инсталатори

Water Gamayun доставя предимно полезни товари чрез измамни пакети за осигуряване, подписани .msi файлове и MSC файлове. Те използват техники като процеса IntelliJ runnerw.exe за изпълнение на команди, повишавайки скритостта и ефективността.

Еволюцията на разпространението на зловреден софтуер на EncryptHub

Първоначално EncryptHub привлече вниманието през юни 2024 г., когато използваха хранилище на GitHub, за да разпространяват различни семейства зловреден софтуер чрез фалшив уебсайт на WinRAR. Оттогава те се прехвърлиха към собствена инфраструктура за организиране и командване и контрол (C&C) операции.

Маскиране като легитимен софтуер

Water Gamayun прикрива своя зловреден софтуер в инсталатори на .msi, представяйки се за истински приложения като DingTalk, QQTalk и VooV Meeting. Тези инсталатори изпълняват програма за изтегляне на PowerShell, извличайки и изпълнявайки полезни натоварвания от следващ етап на компрометирани системи.

SilentPrism и DarkWisp: Скрити импланти PowerShell

SilentPrism е базиран на PowerShell имплант, който установява постоянство, изпълнява множество команди на обвивката и избягва откриването с помощта на техники за анти-анализ.

DarkWisp, друга задна врата на PowerShell, е специализирана в системно разузнаване, ексфилтрация на данни и поддържане на дългосрочен достъп до заразени машини.

C&C комуникация и изпълнение на команди

Веднъж заразен, злонамереният софтуер ексфилтрира разузнавателни данни към C&C сървъра и влиза в непрекъснат цикъл, чакайки команди през TCP порт 8080. Командите пристигат във формат COMMAND|, осигурявайки непрекъснато взаимодействие и контрол над системата на жертвата.

MSC EvilTwin Loader: Внедряване на Rhadamanthys Stealer

Един от най-тревожните полезни натоварвания в тази верига от атаки е MSC EvilTwin loader, който използва CVE-2025-26633 за изпълнение на злонамерени .msc файлове. Това в крайна сметка води до внедряването на Rhadamanthys Stealer , добре известен зловреден софтуер, предназначен за кражба на данни.

Разширяване на арсенала: повече крадци и персонализирани варианти

Water Gamayun не разчита единствено на Rhadamanthys. Те също така разпространяват StealC и три потребителски базирани на PowerShell програми за кражба – EncryptHub Stealer варианти A, B и C. Тези варианти, базирани на Kematian Stealer с отворен код, извличат обширни системни данни, включително подробности за защита от зловреден софтуер, инсталиран софтуер, мрежови конфигурации и работещи приложения.

Насочване към криптовалута и чувствителни данни

Зловреден софтуер крадец събира широк набор от идентификационни данни, включително пароли за Wi-Fi, продуктови ключове на Windows, данни на браузъра и история на клипборда. По-специално, той търси изрично файлове, свързани с портфейли за криптовалута, което показва намерение за събиране на фрази за възстановяване и финансови активи.

Живеещи извън земята техники за стелт

Уникална характеристика на един вариант на EncryptHub Stealer е използването на двоична техника за живеене извън земята (LOLBin). Той използва runnerw.exe на IntelliJ за прокси изпълнение на отдалечени PowerShell скриптове, като допълнително замъглява неговата дейност.

Разпространяване на зловреден софтуер през множество канали

Установено е, че заплашителни MSI пакети и бинарни капки на Water Gamayun разпространяват допълнителни семейства зловреден софтуер, включително Lumma Stealer , Amadey и различни клипери, фокусирани върху криптовалута.

C&C инфраструктура: Дистанционно управление чрез PowerShell

Анализът на C&C инфраструктурата на Water Gamayun (по-специално 82.115.223[.]182) разкри, че те използват PowerShell скриптове за изтегляне и изпълнение на софтуера AnyDesk за отдалечен достъп. Те също така изпращат Base64-кодирани дистанционни команди до жертвените машини за безпроблемен контрол.

Адаптивен и устойчив: заплашителният пейзаж на водния Гамаюн

Използването на Water Gamayun на множество вектори за атака, включително подписани MSI файлове, LOLBins и персонализирани полезни натоварвания, подчертава неговата адаптивност при пробиви на системи. Неговата сложна C&C инфраструктура му позволява да поддържа дългосрочна устойчивост, като същевременно избягва криминалистични разследвания.