Monen lisenssin alennustarjous
Uhatietokanta Haavoittuvuus CVE-2025-26633 Haavoittuvuus

CVE-2025-26633 Haavoittuvuus

Vuonna Mezo vuonna Haavoittuvuus, Advanced Persistent Threat (APT)
Käännä:
Suomi

Water Gamayun on käyttänyt aktiivisesti Microsoft Management Console (MMC) -kehyksen haavoittuvuutta CVE-2025-26633 (alias MSC EvilTwin) suorittaakseen haittaohjelmia käyttämällä vääriä Microsoft Console (.msc) -tiedostoja.

Uudet takaovet: SilentPrism ja DarkWisp

Tämän nollapäivähyökkäyksen takana olevat kyberrikolliset ovat ottaneet käyttöön kaksi hienostunutta takaovea – SilentPrism ja DarkWisp. Nämä työkalut helpottavat pysyvyyttä, järjestelmän tiedustelua ja kauko-ohjausta, mikä tekee niistä tehokkaita resursseja vakoilussa ja tietovarkauksissa. Operaatio on liitetty Venäjään liittyvään hakkerointiryhmään, joka tunnetaan nimellä Water Gamayun, jota kutsutaan myös EncryptHubiksi ja LARVA-208:ksi.

Hyökkäysmenetelmät: Pakettien hallinta ja MSI-asentajat

Water Gamayun toimittaa hyötykuormat ensisijaisesti vilpillisten hallintapakettien, allekirjoitettujen .msi-tiedostojen ja MSC-tiedostojen kautta. Ne käyttävät tekniikoita, kuten IntelliJ runnerw.exe -prosessia komentojen suorittamiseen, mikä lisää varkautta ja tehokkuutta.

EncryptHubin haittaohjelmien jakelun kehitys

Alun perin EncryptHub sai huomiota kesäkuussa 2024, kun he käyttivät GitHub-arkistoa erilaisten haittaohjelmaperheiden jakamiseen väärennetyn WinRAR-sivuston kautta. Siitä lähtien he ovat siirtyneet omaan infrastruktuuriinsa lavastus- ja Command-and-Control (C&C) -toimintoihin.

Naamioituminen lailliseksi ohjelmistoksi

Water Gamayun peittää haittaohjelmansa .msi-asentajien sisällä ja esiintyy aidoina sovelluksina, kuten DingTalk, QQTalk ja VooV Meeting. Nämä asennusohjelmat suorittavat PowerShell-latausohjelman, joka hakee ja suorittaa seuraavan vaiheen hyötykuormia vaarantuneissa järjestelmissä.

SilentPrism ja DarkWisp: Stealthy PowerShell-implantit

SilentPrism on PowerShell-pohjainen implantti, joka varmistaa pysyvyyden, suorittaa useita komentotulkkikomentoja ja välttää havaitsemisen käyttämällä anti-analyysitekniikoita.

DarkWisp, toinen PowerShell-takaovi, on erikoistunut järjestelmän tutkimiseen, tietojen suodattamiseen ja pitkäaikaisen pääsyn ylläpitämiseen tartunnan saaneisiin koneisiin.

C&C:n viestintä ja komentojen suorittaminen

Kun haittaohjelma on saanut tartunnan, se suodattaa tiedustelutiedot C&C-palvelimelle ja siirtyy jatkuvaan silmukkaan odottaen komentoja TCP-portin 8080 kautta. Komennot saapuvat muodossa COMMAND|, mikä varmistaa jatkuvan vuorovaikutuksen ja uhrin järjestelmän hallinnan.

MSC EvilTwin Loader: Rhadamanthys Stealerin käyttöönotto

Yksi tämän hyökkäysketjun huolestuttavimmista hyötykuormista on MSC EvilTwin -latausohjelma, joka käyttää CVE-2025-26633:a suorittaakseen haitallisia .msc-tiedostoja. Tämä johtaa lopulta Rhadamanthys Stealer -ohjelmiston käyttöön , joka on tunnettu haittaohjelma, joka on suunniteltu tietovarkauksiin.

Arsenaalin laajentaminen: Lisää varastamista ja mukautettuja variantteja

Vesi Gamayun ei luota pelkästään Rhadamanthysiin. He myös jakavat StealC:tä ja kolmea mukautettua PowerShell-pohjaista varastajaa – EncryptHub Stealer -versioita A, B ja C. Nämä versiot, jotka perustuvat avoimen lähdekoodin Kematian Stealeriin, poimivat laajoja järjestelmätietoja, mukaan lukien haittaohjelmien torjuntatiedot, asennetut ohjelmistot, verkkokokoonpanot ja käynnissä olevat sovellukset.

Kohdistus kryptovaluuttaan ja arkaluontoisiin tietoihin

Varastajahaittaohjelma kerää laajan valikoiman tunnistetietoja, mukaan lukien Wi-Fi-salasanat, Windows-tuoteavaimet, selaintiedot ja leikepöydän historia. Erityisesti se etsii nimenomaisesti kryptovaluuttalompakoihin liittyviä tiedostoja, mikä osoittaa aikomusta kerätä palautuslausekkeita ja rahoitusomaisuutta.

Living off-the-land -tekniikat varkain

Yhden EncryptHub Stealer -muunnelman ainutlaatuinen ominaisuus on sen binääritekniikan (LOLBin) käyttö. Se hyödyntää IntelliJ:n runnerw.exe-ohjelmaa PowerShell-etäkomentosarjojen suorittamisen välityspalvelimena, mikä hämärtää entisestään sen toimintaa.

Haittaohjelmien levittäminen useiden kanavien kautta

Water Gamayunin uhkaavien MSI-pakettien ja binääristen droppereiden on löydetty jakavan lisää haittaohjelmaperheitä, mukaan lukien Lumma Stealer , Amadey ja erilaiset kryptovaluuttakeskeiset leikkurit.

C&C-infrastruktuuri: Kaukosäädin PowerShellin kautta

Water Gamayunin C&C-infrastruktuurin (erityisesti 82.115.223[.]182) analyysi on paljastanut, että he käyttävät PowerShell-skriptejä AnyDesk-ohjelmiston lataamiseen ja suorittamiseen etäkäyttöä varten. Ne myös lähettävät Base64-koodattuja kauko-komentoja uhrien koneille saumattoman hallinnan varmistamiseksi.

Mukautuva ja pysyvä: Vesi Gamayunin uhkamaisema

Water Gamayunin useiden hyökkäysvektorien käyttö, mukaan lukien allekirjoitetut MSI-tiedostot, LOLBinit ja mukautetut hyötykuormat, korostaa sen sopeutumiskykyä murtautumisjärjestelmissä. Sen kehittyneen C&C-infrastruktuurin avulla se voi säilyttää pitkän aikavälin sinnikkyyden ja välttää rikosteknisiä tutkimuksia.

CVE-2025-26633 Haavoittuvuus Video

Vinkki: Ota ääni käyttöön ja katso video koko näytön tilassa .

Trendaavat

Erääntyneen maksun sähköpostihuijaus

Tietojenkalastelu, Roskaposti
Kyberuhat kehittyvät päivittäin, ja huijarit kehittävät jatkuvasti uusia taktiikoita hyväuskoisten ihmisten hyväksikäyttöön. Eräs tällainen järjestelmä, myöhässä olevien maksujen sähköpostihuijaus, saalistaa uhreja houkuttelemalla heitä väärennetyillä väitteillä lunastamattomista rahoista. Tämän taktiikan toiminnan ymmärtäminen on ratkaisevan tärkeää suojattaessa itseäsi ja muita...

Eniten katsottu

Ladataan...