CVE-2025-26633 Sårbarhed

Med Mezo i Sårbarhed, Advanced Persistent Threat (APT)

Oversæt til:

Water Gamayun har aktivt udnyttet CVE-2025-26633 (alias MSC EvilTwin), en sårbarhed i Microsoft Management Console (MMC) frameworket, til at udføre malware ved hjælp af useriøse Microsoft Console (.msc) filer.

Indholdsfortegnelse

Nye bagdøre: SilentPrism og DarkWisp

De cyberkriminelle bag dette zero-day-angreb har indsat to sofistikerede bagdøre – SilentPrism og DarkWisp. Disse værktøjer letter vedholdenhed, systemrekognoscering og fjernbetjening, hvilket gør dem til kraftfulde aktiver til spionage og datatyveri. Operationen er blevet tilskrevet en russisk-linket hackergruppe kendt som Water Gamayun, også kaldet EncryptHub og LARVA-208.

Angrebsmetoder: Klargøring af pakker og MSI-installatører

Vand Gamayun leverer primært nyttelast gennem svigagtige klargøringspakker, signerede .msi-filer og MSC-filer. De anvender teknikker som IntelliJ runnerw.exe-processen til kommandoudførelse, hvilket øger stealth og effektivitet.

Udviklingen af EncryptHubs Malware-distribution

Oprindeligt fik EncryptHub opmærksomhed i juni 2024, da de brugte et GitHub-lager til at distribuere forskellige malware-familier via et falsk WinRAR-websted. Siden da har de skiftet til deres egen infrastruktur til iscenesættelse og Command-and-Control (C&C) operationer.

Forklædt som legitim software

Vand Gamayun skjuler sin malware inden for .msi-installationsprogrammer, der udgiver sig for at være ægte applikationer som DingTalk, QQTalk og VooV Meeting. Disse installationsprogrammer udfører en PowerShell-downloader, henter og kører næste trins nyttelast på kompromitterede systemer.

SilentPrism og DarkWisp: Stealthy PowerShell-implantater

SilentPrism er et PowerShell-baseret implantat, der etablerer persistens, udfører flere shell-kommandoer og undgår detektion ved hjælp af anti-analyseteknikker.

DarkWisp, en anden PowerShell-bagdør, har specialiseret sig i systemrekognoscering, dataeksfiltrering og opretholdelse af langtidsadgang til inficerede maskiner.

C&C kommunikation og kommandoudførelse

Når den først er inficeret, eksfiltrerer malwaren rekognosceringsdata til C&C-serveren og går ind i en kontinuerlig løkke, der venter på kommandoer via TCP-port 8080. Kommandoer ankommer i formatet COMMAND|, hvilket sikrer løbende interaktion og kontrol over offerets system.

MSC EvilTwin Loader: Implementering af Rhadamanthys Stealer

En af de mest bekymrende nyttelaster i denne angrebskæde er MSC EvilTwin-indlæseren, som udnytter CVE-2025-26633 til at udføre ondsindede .msc-filer. Dette fører i sidste ende til implementeringen af Rhadamanthys Stealer , en velkendt malware designet til datatyveri.

Udvidelse af Arsenal: Flere stjælere og tilpassede varianter

Vand Gamayun stoler ikke udelukkende på Rhadamanthys. De distribuerer også StealC og tre brugerdefinerede PowerShell-baserede tyvere – EncryptHub Stealer varianterne A, B og C. Disse varianter, baseret på open source Kematian Stealer, udtrækker omfattende systemdata, herunder anti-malware detaljer, installeret software, netværkskonfigurationer og kørende applikationer.

Målretning mod kryptovaluta og følsomme data

Den stjælende malware samler en bred vifte af legitimationsoplysninger, herunder Wi-Fi-adgangskoder, Windows-produktnøgler, browserdata og klippebordshistorik. Navnlig søger den eksplicit efter filer relateret til cryptocurrency tegnebøger, hvilket indikerer en hensigt om at høste gendannelsessætninger og finansielle aktiver.

Living-off-the-Land Teknikker til Stealth

En unik egenskab ved en EncryptHub Stealer-variant er dens brug af en living-off-the-land binær (LOLBin) teknik. Det udnytter IntelliJ's runnerw.exe til at proxy-udføre eksekveringen af eksterne PowerShell-scripts, hvilket yderligere slører dens aktivitet.

Udbredelse af malware gennem flere kanaler

Vand Gamayuns truende MSI-pakker og binære droppere er blevet fundet distribuere yderligere malware-familier, inklusive Lumma Stealer , Amadey og forskellige kryptovaluta-fokuserede klippere.

C&C Infrastruktur: Fjernbetjening via PowerShell

Analyse af Water Gamayuns C&C-infrastruktur (især 82.115.223[.]182) har afsløret, at de bruger PowerShell-scripts til at downloade og udføre AnyDesk-softwaren til fjernadgang. De sender også Base64-kodede fjernkommandoer til offermaskiner for problemfri kontrol.

Adaptiv og vedvarende: Vand Gamayuns trussellandskab

Vand Gamayuns brug af flere angrebsvektorer, inklusive signerede MSI-filer, LOLBins og brugerdefinerede nyttelaster, fremhæver dens tilpasningsevne i brud på systemer. Dens sofistikerede C&C-infrastruktur giver den mulighed for at opretholde langsigtet vedholdenhed, mens den undgår retsmedicinske undersøgelser.