Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Vulnerabilitat Vulnerabilitat CVE-2025-26633

Vulnerabilitat CVE-2025-26633

El Mezo el Vulnerabilitat, Amenaça persistent avançada (APT)
Traduir a:
Català

Water Gamayun ha estat explotant activament CVE-2025-26633 (també conegut com MSC EvilTwin), una vulnerabilitat del marc de Microsoft Management Console (MMC), per executar programari maliciós mitjançant fitxers de Microsoft Console (.msc) maliciosos.

Noves portes del darrere: SilentPrism i DarkWisp

Els cibercriminals darrere d'aquest atac de dia zero han desplegat dues portes del darrere sofisticades: SilentPrism i DarkWisp. Aquestes eines faciliten la persistència, el reconeixement del sistema i el control remot, cosa que les converteix en potents actius per a l'espionatge i el robatori de dades. L'operació s'ha atribuït a un grup de pirateria vinculat a Rússia conegut com Water Gamayun, també anomenat EncryptHub i LARVA-208.

Mètodes d’atac: paquets d’aprovisionament i instal·ladors MSI

Water Gamayun ofereix principalment càrregues útils mitjançant paquets d'aprovisionament fraudulents, fitxers .msi signats i fitxers MSC. Utilitzen tècniques com el procés IntelliJ runnerw.exe per a l'execució d'ordres, augmentant el sigil i l'efectivitat.

L’evolució de la distribució de programari maliciós d’EncryptHub

Inicialment, EncryptHub va cridar l'atenció el juny de 2024 quan van utilitzar un dipòsit de GitHub per distribuir diverses famílies de programari maliciós mitjançant un lloc web de WinRAR fals. Des d'aleshores, han passat a la seva pròpia infraestructura per a operacions d'escenificació i de comandament i control (C&C).

Disfressar-se de programari legítim

Water Gamayun disfressa el seu programari maliciós dins dels instal·ladors .msi fent-se passar per aplicacions genuïnes com DingTalk, QQTalk i VooV Meeting. Aquests instal·ladors executen un descarregador de PowerShell, obtenint i executant càrregues útils de la següent etapa en sistemes compromesos.

SilentPrism i DarkWisp: implants de PowerShell furtius

SilentPrism és un implant basat en PowerShell que estableix la persistència, executa múltiples ordres d'intèrpret d'ordres i evade la detecció mitjançant tècniques antianàlisi.

DarkWisp, una altra porta posterior de PowerShell, s'especialitza en el reconeixement del sistema, l'exfiltració de dades i el manteniment de l'accés a llarg termini a les màquines infectades.

Comunicació C&C i execució de comandaments

Un cop infectat, el programari maliciós s'exfiltra les dades de reconeixement al servidor C&C i entra en un bucle continu, esperant ordres a través del port TCP 8080. Les ordres arriben en format COMMAND|, garantint la interacció i el control continus sobre el sistema de la víctima.

MSC EvilTwin Loader: desplegant el Rhadamanthys Stealer

Una de les càrregues útils més preocupants d'aquesta cadena d'atac és el carregador MSC EvilTwin, que aprofita CVE-2025-26633 per executar fitxers .msc maliciosos. Això porta finalment al desplegament del Rhadamanthys Stealer , un conegut programari maliciós dissenyat per al robatori de dades.

Ampliant l’Arsenal: més robadors i variants personalitzades

Water Gamayun no es basa únicament en Rhadamanthys. També distribueixen StealC i tres robatoris personalitzats basats en PowerShell: les variants A, B i C d'EncryptHub Stealer. Aquestes variants, basades en el Kematian Stealer de codi obert, extreuen dades extenses del sistema, inclosos detalls anti-malware, programari instal·lat, configuracions de xarxa i aplicacions en execució.

Orientació a criptomoneda i dades sensibles

El programari maliciós robador recull una àmplia gamma de credencials, incloses contrasenyes de Wi-Fi, claus de producte de Windows, dades del navegador i historial del porta-retalls. En particular, cerca de manera explícita fitxers relacionats amb carteres de criptomoneda, cosa que indica la intenció de recollir frases de recuperació i actius financers.

Tècniques de vida fora de la terra per sigil·los

Una característica única d'una variant d'EncryptHub Stealer és l'ús d'una tècnica binària de vida fora de la terra (LOLBin). Aprofita el runnerw.exe d'IntelliJ per proxy l'execució d'scripts de PowerShell remots, ofuscant encara més la seva activitat.

Propagació de programari maliciós a través de diversos canals

S'ha trobat que els amenaçadors paquets MSI i comptagotes binaris de Water Gamayun distribueixen famílies de programari maliciós addicionals, com ara Lumma Stealer , Amadey i diversos clippers centrats en criptomoneda.

Infraestructura C&C: control remot mitjançant PowerShell

L'anàlisi de la infraestructura C&C de Water Gamayun (en particular 82.115.223[.]182) ha revelat que utilitzen scripts de PowerShell per descarregar i executar el programari AnyDesk per a l'accés remot. També envien ordres remotes codificades en Base64 a les màquines víctimes per a un control perfecte.

Adaptatiu i persistent: el paisatge de l’amenaça de Water Gamayun

L'ús de Water Gamayun de múltiples vectors d'atac, inclosos fitxers MSI signats, LOLBins i càrregues útils personalitzades, destaca la seva adaptabilitat en sistemes d'incompliment. La seva sofisticada infraestructura de C&C li permet mantenir la persistència a llarg termini mentre evade les investigacions forenses.

Vulnerabilitat CVE-2025-26633 Vídeo

Consell: activa el so i mira el vídeo en mode de pantalla completa .

Tendència

Més vist

Carregant...