CVE-2025-26633 פגיעות
Water Gamayun ניצלה באופן פעיל את CVE-2025-26633 (המכונה MSC EvilTwin), פגיעות במסגרת Microsoft Management Console (MMC), כדי להפעיל תוכנות זדוניות באמצעות קבצי Microsoft Console (.msc).
תוכן העניינים
דלתות אחוריות חדשות: SilentPrism ו-DarkWisp
פושעי הסייבר שמאחורי מתקפת היום האפס הזו פרסו שתי דלתות אחוריות מתוחכמות - SilentPrism ו-DarkWisp. כלים אלה מקלים על התמדה, סיור מערכת ושליטה מרחוק, מה שהופך אותם לנכסים רבי עוצמה עבור ריגול וגניבת נתונים. הפעולה יוחסה לקבוצת פריצה מקושרת לרוסית הידועה בשם Water Gamayun, הנקראת גם EncryptHub ו-LARVA-208.
שיטות התקפה: אספקת חבילות ומתקיני MSI
Water Gamayun מספקת בעיקר מטענים באמצעות חבילות אספקה הונאה, קבצי .msi חתומים וקבצי MSC. הם משתמשים בטכניקות כמו תהליך IntelliJ runnerw.exe לביצוע פקודות, הגדלת התגנבות ויעילות.
האבולוציה של הפצת תוכנות זדוניות של EncryptHub
בתחילה, EncryptHub זכו לתשומת לב ביוני 2024 כשהשתמשו במאגר GitHub כדי להפיץ משפחות תוכנות זדוניות שונות דרך אתר WinRAR מזויף. מאז, הם עברו לתשתית משלהם למבצעי הבמה ושליטה ושליטה (C&C).
מתחזה לתוכנה לגיטימית
Water Gamayun מסווה את התוכנה הזדונית שלו בתוך מתקיני .msi המתחזה ליישומים מקוריים כמו DingTalk, QQTalk ו- VooV Meeting. מתקינים אלה מבצעים הורדת PowerShell, מאחזרים ומריצים עומסים בשלב הבא על מערכות שנפרצות.
SilentPrism ו-DarkWisp: שתלי PowerShell חמקניים
SilentPrism הוא שתל מבוסס PowerShell שמבסס התמדה, מבצע פקודות מעטפת מרובות וחומק מזיהוי באמצעות טכניקות אנטי-אנליזה.
DarkWisp, דלת אחורית נוספת של PowerShell, מתמחה בסיור מערכות, חילוץ נתונים ושמירה על גישה ארוכת טווח למכונות נגועות.
תקשורת C&C וביצוע פקודות
לאחר ההידבקות, התוכנה הזדונית מחלצת נתוני סיור לשרת C&C ונכנסת ללולאה רציפה, ממתינה לפקודות דרך יציאת TCP 8080. הפקודות מגיעות בפורמט של COMMAND| אחד המטענים המדאיגים ביותר בשרשרת ההתקפה הזו הוא מטעין MSC EvilTwin, המנצל את CVE-2025-26633 כדי להפעיל קבצי .msc זדוניים. זה מוביל בסופו של דבר לפריסה של Rhadamanthys Stealer , תוכנה זדונית ידועה שנועדה לגניבת נתונים. מים גמאיון לא מסתמך רק על Rhadamanthys. הם גם מפיצים StealC ושלושה גונבים מותאמים אישית מבוססי PowerShell - EncryptHub Stealer גרסאות A, B ו-C. גרסאות אלו, המבוססות על הקוד הפתוח Kematian Stealer, מחלצות נתוני מערכת נרחבים, כולל פרטים נגד תוכנות זדוניות, תוכנות מותקנות, תצורות רשת ויישומים הרצים. התוכנה הזדונית הגנבת אוספת מגוון רחב של אישורים, כולל סיסמאות Wi-Fi, מפתחות מוצר של Windows, נתוני דפדפן והיסטוריית לוח. יש לציין שהוא מחפש במפורש קבצים הקשורים לארנקים של מטבעות קריפטוגרפיים, מה שמצביע על כוונה לקצור ביטויי שחזור ונכסים פיננסיים. תכונה ייחודית של וריאנט אחד של EncryptHub Stealer הוא השימוש שלו בטכניקה בינארית לחיות מחוץ לאדמה (LOLBin). הוא ממנף את runnerw.exe של IntelliJ כדי לבצע פרוקסי ביצוע של סקריפטים מרוחקים של PowerShell, ומערפל עוד יותר את פעילותו. חבילות ה-MSI המאיימות והטפטפות הבינאריות של Water Gamayun נמצאו מפיצים משפחות תוכנות זדוניות נוספות, כולל Lumma Stealer , Amadey וקוצצים שונים המתמקדים במטבעות קריפטוגרפיים.
ניתוח של תשתית ה-C&C של Water Gamayun (בעיקר 82.115.223[.]182) גילה שהם משתמשים בסקריפטים של PowerShell כדי להוריד ולהפעיל את תוכנת AnyDesk לגישה מרחוק. הם גם שולחים פקודות מרחוק מקודדות Base64 למכונות הקורבן לשליטה חלקה. השימוש של מים Gamayun בוקטורי תקיפה מרובים, כולל קבצי MSI חתומים, LOLBins ומטעני שימוש מותאמים אישית, מדגיש את יכולת ההסתגלות שלו במערכות פורצות. תשתית C&C המתוחכמת שלה מאפשרת לו לשמור על התמדה ארוכת טווח תוך התחמקות מחקירות משפטיות.
טיפ: הפעל הקול שלך ON ולצפות בסרטון במצב של מסך מלא. MSC EvilTwin Loader: פריסת ה-Rhadamanthys Stealer
הרחבת ארסנל: עוד גונבים וגרסאות מותאמות אישית
מיקוד מטבעות קריפטו ונתונים רגישים
טכניקות לחיות מחוץ לאדמה להתגנבות
הפצת תוכנות זדוניות באמצעות ערוצים מרובים
תשתית C&C: שליטה מרחוק באמצעות PowerShell
מסתגל ומתמשך: השקה בנוף האיום של גמאיון
CVE-2025-26633 פגיעות וידאו
