Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Haavatavus CVE-2025-26633 haavatavus

CVE-2025-26633 haavatavus

Aastaks Mezo aastal Haavatavus, Täiustatud püsiv oht (APT)
Tõlgi:
Eesti

Water Gamayun on Microsofti halduskonsooli (MMC) raamistiku haavatavust CVE-2025-26633 (teise nimega MSC EvilTwin) aktiivselt ära kasutanud pahavara käivitamiseks Microsofti konsooli (.msc) võltsfailide abil.

Uued tagauksed: SilentPrism ja DarkWisp

Selle nullpäevarünnaku taga olevad küberkurjategijad on kasutusele võtnud kaks keerukat tagaust – SilentPrism ja DarkWisp. Need tööriistad hõlbustavad püsivust, süsteemiga tutvumist ja kaugjuhtimist, muutes need võimsaks spionaažiks ja andmete varguseks. Operatsioon on omistatud Venemaaga seotud häkkimisrühmale Water Gamayun, mida nimetatakse ka EncryptHubiks ja LARVA-208-ks.

Ründemeetodid: pakettide varustamine ja MSI installijad

Water Gamayun tarnib peamiselt kasulikke koormusi petturlike pakkumispakettide, allkirjastatud .msi-failide ja MSC-failide kaudu. Nad kasutavad selliseid tehnikaid nagu IntelliJ runnerw.exe protsess käskude täitmiseks, suurendades varjamist ja tõhusust.

EncryptHubi pahavara levitamise areng

Algselt pälvis EncryptHub tähelepanu 2024. aasta juunis, kui nad kasutasid GitHubi hoidlat erinevate pahavaraperekondade levitamiseks võltsitud WinRAR-i veebisaidi kaudu. Sellest ajast alates on nad lavastamis- ja juhtimis- ja juhtimisoperatsioonide (C&C) jaoks üle läinud oma infrastruktuurile.

Õiguspäraseks tarkvaraks maskeerumine

Water Gamayun varjab oma pahavara .msi installijate sees, näidates end ehtsate rakendustena, nagu DingTalk, QQTalk ja VooV Meeting. Need installijad käivitavad PowerShelli allalaadija, toovad ja käivitavad ohustatud süsteemides järgmise etapi kasulikud koormused.

SilentPrism ja DarkWisp: varjatud PowerShelli implantaadid

SilentPrism on PowerShellil põhinev implantaat, mis tagab püsivuse, täidab mitut shellikäsku ja väldib tuvastamist analüüsivastaste tehnikate abil.

DarkWisp, teine PowerShelli tagauks, on spetsialiseerunud süsteemiga tutvumisele, andmete väljafiltreerimisele ja nakatunud masinatele pikaajalise juurdepääsu säilitamisele.

C&C side ja käskude täitmine

Pärast nakatumist eksfiltreerib pahavara luureandmed C&C serverisse ja siseneb pidevasse tsüklisse, oodates käske TCP-pordi 8080 kaudu. Käsud saabuvad vormingus COMMAND|, tagades pideva suhtluse ja kontrolli ohvri süsteemi üle.

MSC EvilTwin Loader: Rhadamanthys Stealeri juurutamine

Üks selle ründeahela kõige murettekitavamaid koormusi on laadur MSC EvilTwin, mis kasutab pahatahtlike msc-failide käivitamiseks ära CVE-2025-26633. See viib lõpuks Rhadamanthys Stealeri , tuntud pahavara, mis on loodud andmete varguse jaoks, kasutuselevõtuni.

Arsenali laiendamine: rohkem varastajaid ja kohandatud variante

Vesi Gamayun ei tugine ainult Rhadamanthysele. Samuti levitavad nad StealC ja kolme kohandatud PowerShellil põhinevat vargijat – EncryptHub Stealeri variante A, B ja C. Need variandid, mis põhinevad avatud lähtekoodiga Kematian Stealeril, eraldavad ulatuslikke süsteemiandmeid, sealhulgas pahavaratõrje üksikasju, installitud tarkvara, võrgukonfiguratsioone ja töötavaid rakendusi.

Krüptovaluutade ja tundlike andmete sihtimine

Varastav pahavara kogub laia valikut mandaate, sealhulgas WiFi-paroolid, Windowsi tootevõtmed, brauseri andmed ja lõikelaua ajalugu. Eelkõige otsib see selgesõnaliselt krüptoraha rahakottidega seotud faile, mis viitab kavatsusele koguda taastamisfraase ja finantsvarasid.

Maast eemal elamise tehnikad hiilimiseks

Ühe EncryptHub Stealeri variandi ainulaadne omadus on elu-off-the-land binaartehnika (LOLBin) kasutamine. See kasutab IntelliJ runnerw.exe-d PowerShelli kaugskriptide täitmise puhverserveriks, segades selle tegevust veelgi.

Pahavara levitamine mitme kanali kaudu

Leiti, et Water Gamayuni ähvardavad MSI paketid ja binaarsed dropperid levitavad täiendavaid pahavaraperekondi, sealhulgas Lumma Stealer , Amadey ja erinevad krüptovaluutale keskendunud klipperid.

C&C infrastruktuur: kaugjuhtimispult PowerShelli kaudu

Water Gamayuni C&C infrastruktuuri (eriti 82.115.223[.]182) analüüs näitas, et nad kasutavad AnyDeski tarkvara allalaadimiseks ja kaugjuurdepääsuks käivitamiseks PowerShelli skripte. Samuti saadavad nad Base64-kodeeritud kaugkäsklused ohvrite masinatele sujuvaks juhtimiseks.

Kohanduv ja püsiv: vesi Gamayuni ohumaastik

Water Gamayuni mitme ründevektori kasutamine, sealhulgas allkirjastatud MSI-failid, LOLBinid ja kohandatud kasulikud koormused, tõstab esile selle kohanemisvõimet rikkumissüsteemides. Selle keerukas C&C infrastruktuur võimaldab säilitada pikaajalist püsivust, vältides samal ajal kohtuekspertiisi uurimist.

CVE-2025-26633 haavatavus Video

Näpunäide. Lülitage heli sisse ja vaadake videot täisekraanirežiimis .

Trendikas

Enim vaadatud

Laadimine...