CVE-2025-26633 भेद्यता

वाटर गामायूं, माइक्रोसॉफ्ट मैनेजमेंट कंसोल (एमएमसी) ढांचे में मौजूद एक कमजोरी, CVE-2025-26633 (जिसे एमएससी इविलट्विन भी कहा जाता है) का सक्रिय रूप से दोहन कर रहा है, ताकि नकली माइक्रोसॉफ्ट कंसोल (.msc) फाइलों का उपयोग करके मैलवेयर को क्रियान्वित किया जा सके।

नए बैकडोर: साइलेंटप्रिज्म और डार्कविस्प

इस जीरो-डे अटैक के पीछे साइबर अपराधियों ने दो परिष्कृत बैकडोर-साइलेंटप्रिज्म और डार्कविस्प का इस्तेमाल किया है। ये उपकरण दृढ़ता, सिस्टम टोही और रिमोट कंट्रोल की सुविधा देते हैं, जिससे वे जासूसी और डेटा चोरी के लिए शक्तिशाली साधन बन जाते हैं। इस ऑपरेशन का श्रेय रूस से जुड़े हैकिंग समूह को दिया जाता है जिसे वाटर गामायुन के नाम से जाना जाता है, जिसे एन्क्रिप्टहब और लार्वा-208 भी कहा जाता है।

आक्रमण के तरीके: प्रोविजनिंग पैकेज और MSI इंस्टॉलर

वाटर गामायुन मुख्य रूप से धोखाधड़ी वाले प्रोविजनिंग पैकेज, हस्ताक्षरित .msi फ़ाइलों और MSC फ़ाइलों के माध्यम से पेलोड वितरित करता है। वे कमांड निष्पादन के लिए IntelliJ runnerw.exe प्रक्रिया जैसी तकनीकों का उपयोग करते हैं, जिससे चुपके और प्रभावशीलता बढ़ जाती है।

एन्क्रिप्टहब के मैलवेयर वितरण का विकास

प्रारंभ में, EncryptHub ने जून 2024 में ध्यान आकर्षित किया जब उन्होंने नकली WinRAR वेबसाइट के माध्यम से विभिन्न मैलवेयर परिवारों को वितरित करने के लिए GitHub रिपॉजिटरी का उपयोग किया। तब से, वे स्टेजिंग और कमांड-एंड-कंट्रोल (C&C) संचालन के लिए अपने स्वयं के बुनियादी ढांचे में स्थानांतरित हो गए हैं।

वैध सॉफ्टवेयर का दिखावा

वाटर गामायुन अपने मैलवेयर को .msi इंस्टॉलर के भीतर छिपाकर असली एप्लीकेशन जैसे कि डिंगटॉक, क्यूक्यूटॉक और वूव मीटिंग के रूप में प्रस्तुत करता है। ये इंस्टॉलर पॉवरशेल डाउनलोडर को निष्पादित करते हैं, समझौता किए गए सिस्टम पर अगले चरण के पेलोड को प्राप्त करते हैं और चलाते हैं।

साइलेंटप्रिज्म और डार्कविस्प: गुप्त पॉवरशेल प्रत्यारोपण

साइलेंटप्रिज्म एक पॉवरशेल-आधारित इम्प्लांट है जो दृढ़ता स्थापित करता है, कई शेल कमांड निष्पादित करता है, और एंटी-विश्लेषण तकनीकों का उपयोग करके पता लगाने से बचता है।

डार्कविस्प, एक अन्य पॉवरशेल बैकडोर, सिस्टम की जांच, डेटा एक्सफिलट्रेशन, तथा संक्रमित मशीनों तक दीर्घकालिक पहुंच बनाए रखने में विशेषज्ञ है।

सी एंड सी संचार और कमांड निष्पादन

एक बार संक्रमित होने पर, मैलवेयर C&C सर्वर पर जासूसी डेटा को बाहर निकालता है और एक सतत लूप में प्रवेश करता है, TCP पोर्ट 8080 के माध्यम से कमांड की प्रतीक्षा करता है। कमांड COMMAND| के प्रारूप में आते हैं, जिससे पीड़ित के सिस्टम पर निरंतर संपर्क और नियंत्रण सुनिश्चित होता है।

एमएससी ईविलट्विन लोडर: रादामंथिस स्टीलर की तैनाती

इस हमले की श्रृंखला में सबसे अधिक चिंताजनक पेलोड में से एक MSC EvilTwin लोडर है, जो दुर्भावनापूर्ण .msc फ़ाइलों को निष्पादित करने के लिए CVE-2025-26633 का शोषण करता है। यह अंततः डेटा चोरी के लिए डिज़ाइन किए गए एक प्रसिद्ध मैलवेयर , Rhadamanthys Stealer की तैनाती की ओर ले जाता है।

शस्त्रागार का विस्तार: अधिक स्टीलर्स और कस्टम वेरिएंट

वाटर गामायुन केवल रादामंथिस पर निर्भर नहीं है। वे स्टीलसी और तीन कस्टम पॉवरशेल-आधारित स्टीलर्स-एन्क्रिप्टहब स्टीलर वेरिएंट ए, बी और सी भी वितरित करते हैं। ओपन-सोर्स केमेटियन स्टीलर पर आधारित ये वेरिएंट एंटी-मैलवेयर विवरण, इंस्टॉल किए गए सॉफ़्टवेयर, नेटवर्क कॉन्फ़िगरेशन और चल रहे एप्लिकेशन सहित व्यापक सिस्टम डेटा निकालते हैं।

क्रिप्टोकरेंसी और संवेदनशील डेटा को लक्ष्य बनाना

चोरी करने वाला मैलवेयर वाई-फाई पासवर्ड, विंडोज उत्पाद कुंजी, ब्राउज़र डेटा और क्लिपबोर्ड इतिहास सहित कई तरह के क्रेडेंशियल इकट्ठा करता है। विशेष रूप से, यह क्रिप्टोकरेंसी वॉलेट से संबंधित फ़ाइलों की स्पष्ट रूप से खोज करता है, जो रिकवरी वाक्यांशों और वित्तीय संपत्तियों को इकट्ठा करने के इरादे को दर्शाता है।

ज़मीन से दूर रहकर छिपने की तकनीक

एनक्रिप्टहब स्टीलर के एक संस्करण की एक अनूठी विशेषता यह है कि इसमें लिविंग-ऑफ-द-लैंड बाइनरी (LOLBin) तकनीक का उपयोग किया जाता है। यह रिमोट पॉवरशेल स्क्रिप्ट के निष्पादन को प्रॉक्सी करने के लिए IntelliJ के रनरw.exe का लाभ उठाता है, जिससे इसकी गतिविधि और भी अस्पष्ट हो जाती है।

कई चैनलों के माध्यम से मैलवेयर का प्रसार

वाटर गमायूं के खतरनाक एमएसआई पैकेज और बाइनरी ड्रॉपर अतिरिक्त मैलवेयर परिवारों को वितरित करते पाए गए हैं, जिनमें लुम्मा स्टीलर , अमाडे और विभिन्न क्रिप्टोकरेंसी-केंद्रित क्लिपर्स शामिल हैं।

सी&सी इंफ्रास्ट्रक्चर: पावरशेल के माध्यम से रिमोट कंट्रोल

वाटर गामायुन के C&C इंफ्रास्ट्रक्चर (विशेष रूप से 82.115.223[.]182) के विश्लेषण से पता चला है कि वे रिमोट एक्सेस के लिए AnyDesk सॉफ़्टवेयर को डाउनलोड करने और निष्पादित करने के लिए PowerShell स्क्रिप्ट का उपयोग करते हैं। वे निर्बाध नियंत्रण के लिए पीड़ित मशीनों को बेस64-एन्कोडेड रिमोट कमांड भी भेजते हैं।

अनुकूली और सतत: जल गामायूं का ख़तरा परिदृश्य

वाटर गामायुन द्वारा हस्ताक्षरित MSI फ़ाइलों, LOLBins और कस्टम पेलोड सहित कई आक्रमण वेक्टरों का उपयोग, सिस्टम में सेंध लगाने में इसकी अनुकूलन क्षमता को उजागर करता है। इसका परिष्कृत C&C इंफ्रास्ट्रक्चर इसे फोरेंसिक जांच से बचते हुए दीर्घकालिक दृढ़ता बनाए रखने की अनुमति देता है।

CVE-2025-26633 भेद्यता वीडियो

युक्ति: अपनी ध्वनि चालू करें और वीडियो को पूर्ण स्क्रीन मोड में देखें ।