CVE-2025-26633 দুর্বলতা

মাইক্রোসফ্ট ম্যানেজমেন্ট কনসোল (এমএমসি) ফ্রেমওয়ার্কের একটি দুর্বলতা, CVE-2025-26633 (যাকে MSC EvilTwinও বলা হয়) ব্যবহার করে ওয়াটার গামায়ুন সক্রিয়ভাবে মাইক্রোসফ্ট কনসোল (.msc) ফাইল ব্যবহার করে ম্যালওয়্যার চালানোর চেষ্টা করছে।

নতুন ব্যাকডোর: সাইলেন্টপ্রিজম এবং ডার্কউইস্প

এই জিরো-ডে আক্রমণের পেছনে থাকা সাইবার অপরাধীরা দুটি অত্যাধুনিক ব্যাকডোর ব্যবহার করেছে - সাইলেন্টপ্রিজম এবং ডার্কউইস্প। এই সরঞ্জামগুলি স্থায়িত্ব, সিস্টেম রিকনেসান্স এবং রিমোট কন্ট্রোলকে সহজতর করে, যা গুপ্তচরবৃত্তি এবং ডেটা চুরির জন্য এগুলিকে শক্তিশালী সম্পদে পরিণত করে। এই অভিযানের জন্য রাশিয়ান-সংযুক্ত হ্যাকিং গ্রুপ ওয়াটার গামায়ুনকে দায়ী করা হয়েছে, যা এনক্রিপ্টহাব এবং LARVA-208 নামেও পরিচিত।

আক্রমণ পদ্ধতি: প্যাকেজ সরবরাহ এবং MSI ইনস্টলার

ওয়াটার গামায়ুন মূলত জাল প্রোভিশনিং প্যাকেজ, স্বাক্ষরিত .msi ফাইল এবং MSC ফাইলের মাধ্যমে পেলোড সরবরাহ করে। তারা কমান্ড কার্যকর করার জন্য, গোপনতা এবং কার্যকারিতা বৃদ্ধির জন্য IntelliJ runnerw.exe প্রক্রিয়ার মতো কৌশল ব্যবহার করে।

এনক্রিপ্টহাবের ম্যালওয়্যার বিতরণের বিবর্তন

প্রাথমিকভাবে, EncryptHub ২০২৪ সালের জুনে নজর কেড়েছিল যখন তারা একটি GitHub রিপোজিটরি ব্যবহার করে একটি ভুয়া WinRAR ওয়েবসাইটের মাধ্যমে বিভিন্ন ম্যালওয়্যার পরিবার বিতরণ করে। তারপর থেকে, তারা স্টেজিং এবং কমান্ড-এন্ড-কন্ট্রোল (C&C) অপারেশনের জন্য তাদের নিজস্ব অবকাঠামোতে স্থানান্তরিত হয়েছে।

বৈধ সফটওয়্যারের ছদ্মবেশ ধারণ করা

ওয়াটার গামায়ুন তার ম্যালওয়্যার .msi ইনস্টলারগুলির মধ্যে ছদ্মবেশ ধারণ করে, যারা DingTalk, QQTalk এবং VooV মিটিং এর মতো আসল অ্যাপ্লিকেশন হিসেবে নিজেদের উপস্থাপন করে। এই ইনস্টলারগুলি একটি PowerShell ডাউনলোডার চালায়, আপোস করা সিস্টেমগুলিতে পরবর্তী পর্যায়ের পেলোডগুলি আনে এবং চালায়।

সাইলেন্টপ্রিজম এবং ডার্কউইস্প: স্টিলথি পাওয়ারশেল ইমপ্লান্ট

সাইলেন্টপ্রিজম হল একটি পাওয়ারশেল-ভিত্তিক ইমপ্লান্ট যা স্থায়িত্ব প্রতিষ্ঠা করে, একাধিক শেল কমান্ড কার্যকর করে এবং অ্যান্টি-অ্যানালাইসিস কৌশল ব্যবহার করে সনাক্তকরণ এড়ায়।

পাওয়ারশেলের আরেকটি ব্যাকডোর, ডার্কউইস্প, সিস্টেম রিকনেসান্স, ডেটা এক্সফিল্ট্রেশন এবং সংক্রামিত মেশিনগুলিতে দীর্ঘমেয়াদী অ্যাক্সেস বজায় রাখার ক্ষেত্রে বিশেষজ্ঞ।

সিএন্ডসি যোগাযোগ এবং কমান্ড কার্যকরকরণ

একবার সংক্রামিত হলে, ম্যালওয়্যারটি C&C সার্ভারে রিকনেসান্স ডেটা ছড়িয়ে দেয় এবং TCP পোর্ট 8080 এর মাধ্যমে কমান্ডের জন্য অপেক্ষা করে একটি অবিচ্ছিন্ন লুপে প্রবেশ করে। কমান্ডগুলি COMMAND| ফর্ম্যাটে আসে, যা শিকারের সিস্টেমের উপর চলমান মিথস্ক্রিয়া এবং নিয়ন্ত্রণ নিশ্চিত করে।

এমএসসি ইভিলটুইন লোডার: র‍্যাডামন্থিস স্টিলার মোতায়েন করা হচ্ছে

এই আক্রমণ শৃঙ্খলে সবচেয়ে উদ্বেগজনক পেলোডগুলির মধ্যে একটি হল MSC EvilTwin লোডার, যা CVE-2025-26633 ব্যবহার করে ক্ষতিকারক .msc ফাইলগুলি কার্যকর করে। এর ফলে শেষ পর্যন্ত Rhadamanthys Stealer , যা ডেটা চুরির জন্য ডিজাইন করা একটি সুপরিচিত ম্যালওয়্যার, এর বিস্তার ঘটে।

অস্ত্রাগার সম্প্রসারণ: আরও চুরিকারী এবং কাস্টম ভেরিয়েন্ট

ওয়াটার গামায়ুন কেবল রাডামন্থিসের উপর নির্ভর করে না। তারা স্টিলসি এবং তিনটি কাস্টম পাওয়ারশেল-ভিত্তিক স্টিলার - এনক্রিপ্টহাব স্টিলার ভেরিয়েন্ট এ, বি এবং সি - বিতরণ করে। ওপেন-সোর্স কেমাশিয়ান স্টিলারের উপর ভিত্তি করে এই ভেরিয়েন্টগুলি ব্যাপক সিস্টেম ডেটা আহরণ করে, যার মধ্যে রয়েছে অ্যান্টি-ম্যালওয়্যার বিবরণ, ইনস্টল করা সফ্টওয়্যার, নেটওয়ার্ক কনফিগারেশন এবং চলমান অ্যাপ্লিকেশন।

ক্রিপ্টোকারেন্সি এবং সংবেদনশীল ডেটা লক্ষ্য করে

চুরিকারী ম্যালওয়্যারটি ওয়াই-ফাই পাসওয়ার্ড, উইন্ডোজ পণ্য কী, ব্রাউজার ডেটা এবং ক্লিপবোর্ড ইতিহাস সহ বিস্তৃত পরিসরের শংসাপত্র সংগ্রহ করে। উল্লেখযোগ্যভাবে, এটি ক্রিপ্টোকারেন্সি ওয়ালেট সম্পর্কিত ফাইলগুলি স্পষ্টভাবে অনুসন্ধান করে, যা পুনরুদ্ধারের বাক্যাংশ এবং আর্থিক সম্পদ সংগ্রহের উদ্দেশ্য নির্দেশ করে।

গোপনে বসবাসের কৌশল

EncryptHub Stealer ভেরিয়েন্টের একটি অনন্য বৈশিষ্ট্য হল এর লিভিং-অফ-দ্য-ল্যান্ড বাইনারি (LOLBin) কৌশল ব্যবহার করা। এটি দূরবর্তী PowerShell স্ক্রিপ্টগুলির এক্সিকিউশন প্রক্সি করার জন্য IntelliJ এর runnerw.exe ব্যবহার করে, এর কার্যকলাপকে আরও অস্পষ্ট করে তোলে।

একাধিক চ্যানেলের মাধ্যমে ম্যালওয়্যার প্রচার করা

ওয়াটার গামায়ুনের হুমকিস্বরূপ MSI প্যাকেজ এবং বাইনারি ড্রপারগুলি লুম্মা স্টিলার , আমেডি এবং বিভিন্ন ক্রিপ্টোকারেন্সি-কেন্দ্রিক ক্লিপার সহ অতিরিক্ত ম্যালওয়্যার পরিবার বিতরণ করছে বলে জানা গেছে।

সিএন্ডসি অবকাঠামো: পাওয়ারশেলের মাধ্যমে রিমোট কন্ট্রোল

ওয়াটার গামায়ুনের সিএন্ডসি অবকাঠামো (বিশেষ করে 82.115.223[.]182) বিশ্লেষণ করে দেখা গেছে যে তারা দূরবর্তী অ্যাক্সেসের জন্য AnyDesk সফ্টওয়্যার ডাউনলোড এবং কার্যকর করতে PowerShell স্ক্রিপ্ট ব্যবহার করে। তারা নির্বিঘ্ন নিয়ন্ত্রণের জন্য Base64-এনকোডেড রিমোট কমান্ডগুলি ভিকটিম মেশিনগুলিতে পাঠায়।

অভিযোজিত এবং স্থায়ী: জল গামায়ুনের হুমকির ল্যান্ডস্কেপ

স্বাক্ষরিত MSI ফাইল, LOLBins এবং কাস্টম পেলোড সহ একাধিক আক্রমণ ভেক্টরের ব্যবহার ওয়াটার গামায়ুনের সিস্টেম লঙ্ঘনের ক্ষেত্রে এর অভিযোজনযোগ্যতা তুলে ধরে। এর অত্যাধুনিক C&C অবকাঠামো এটিকে ফরেনসিক তদন্ত এড়িয়ে দীর্ঘমেয়াদী স্থায়িত্ব বজায় রাখার সুযোগ দেয়।

CVE-2025-26633 দুর্বলতা ভিডিও

টিপ: আপনার সাউন্ড চালু করুন এবং পূর্ণ স্ক্রীন মোডে ভিডিওটি দেখুন ।