Ponuda s popustom na više licenci
Baza prijetnji Ranjivost CVE-2025-26633 Ranjivost

CVE-2025-26633 Ranjivost

Do Mezo. Ranjivost, Napredna trajna prijetnja (APT). godine
Prevedi na:
Hrvatski

Water Gamayun aktivno iskorištava CVE-2025-26633 (aka MSC EvilTwin), ranjivost u Microsoft Management Console (MMC) okviru, za pokretanje zlonamjernog softvera koristeći lažne Microsoft Console (.msc) datoteke.

Nova stražnja vrata: SilentPrism i DarkWisp

Kibernetički kriminalci koji stoje iza ovog napada nultog dana postavili su dva sofisticirana stražnja vrata—SilentPrism i DarkWisp. Ovi alati olakšavaju postojanost, izviđanje sustava i daljinsko upravljanje, što ih čini moćnim sredstvima za špijunažu i krađu podataka. Operacija se pripisuje hakerskoj skupini povezanoj s Rusijom poznatoj kao Water Gamayun, koja se također naziva EncryptHub i LARVA-208.

Metode napada: Paketi za dodjelu i MSI instalateri

Water Gamayun primarno isporučuje korisni teret putem lažnih paketa za pružanje usluga, potpisanih .msi datoteka i MSC datoteka. Oni koriste tehnike kao što je proces IntelliJ runnerw.exe za izvršavanje naredbi, povećavajući skrivenost i učinkovitost.

Evolucija distribucije zlonamjernog softvera EncryptHuba

U početku je EncryptHub privukao pažnju u lipnju 2024. kada su upotrijebili GitHub repozitorij za distribuciju različitih obitelji zlonamjernog softvera putem lažne web stranice WinRAR. Od tada su se prebacili na svoju vlastitu infrastrukturu za inscenaciju i operacije zapovijedanja i kontrole (C&C).

Maskiranje kao legitiman softver

Water Gamayun prikriva svoj zlonamjerni softver unutar .msi instalatera predstavljajući se kao prave aplikacije kao što su DingTalk, QQTalk i VooV Meeting. Ovi instalateri izvršavaju PowerShell downloader, dohvaćaju i pokreću korisni sadržaj sljedećeg stupnja na ugroženim sustavima.

SilentPrism i DarkWisp: prikriveni PowerShell implantati

SilentPrism je implantat temeljen na PowerShell-u koji uspostavlja postojanost, izvršava više naredbi ljuske i izbjegava otkrivanje pomoću tehnika anti-analize.

DarkWisp, još jedan PowerShell backdoor, specijaliziran je za izviđanje sustava, eksfiltraciju podataka i održavanje dugoročnog pristupa zaraženim strojevima.

C&C komunikacija i izvršavanje naredbi

Nakon što se zarazi, zlonamjerni softver eksfiltrira izviđačke podatke na C&C poslužitelj i ulazi u kontinuiranu petlju, čekajući naredbe putem TCP porta 8080. Naredbe stižu u formatu COMMAND|, osiguravajući stalnu interakciju i kontrolu nad žrtvinim sustavom.

MSC EvilTwin Loader: Uvođenje Rhadamanthys Stealera

Jedan od najzabrinjavajućih sadržaja u ovom lancu napada je MSC EvilTwin loader, koji iskorištava CVE-2025-26633 za izvršavanje zlonamjernih .msc datoteka. To u konačnici dovodi do postavljanja Rhadamanthys Stealera , dobro poznatog zlonamjernog softvera dizajniranog za krađu podataka.

Širenje arsenala: više kradljivaca i prilagođenih varijanti

Water Gamayun ne oslanja se samo na Rhadamanthysa. Oni također distribuiraju StealC i tri prilagođena kradljivaca temeljena na PowerShell-u – EncryptHub Stealer varijante A, B i C. Ove varijante, temeljene na Kematian Stealeru otvorenog koda, izvlače opsežne sistemske podatke, uključujući pojedinosti o zaštiti od zlonamjernog softvera, instalirani softver, mrežne konfiguracije i pokrenute aplikacije.

Ciljanje na kriptovalute i osjetljive podatke

Zlonamjerni softver kradljivac prikuplja širok raspon vjerodajnica, uključujući Wi-Fi lozinke, Windows ključeve proizvoda, podatke preglednika i povijest međuspremnika. Naime, izričito traži datoteke povezane s novčanicima kriptovaluta, što ukazuje na namjeru prikupljanja fraza za oporavak i financijske imovine.

Tehnike života izvan zemlje za nevidljivost

Jedinstvena značajka jedne varijante EncryptHub Stealer-a je njegova upotreba binarne tehnike življenja izvan zemlje (LOLBin). Iskorištava IntelliJ-ov runnerw.exe za proxy izvršavanje udaljenih PowerShell skripti, dodatno prikrivajući njegovu aktivnost.

Širenje zlonamjernog softvera kroz više kanala

Utvrđeno je da prijeteći MSI paketi i binarni dropperi tvrtke Water Gamayun distribuiraju dodatne obitelji malwarea, uključujući Lumma Stealer , Amadey i razne klipere usmjerene na kriptovalute.

C&C infrastruktura: Daljinsko upravljanje putem PowerShell-a

Analiza C&C infrastrukture Water Gamayuna (osobito 82.115.223[.]182) otkrila je da koriste PowerShell skripte za preuzimanje i izvršavanje softvera AnyDesk za udaljeni pristup. Također šalju daljinske naredbe kodirane Base64 žrtvi za besprijekornu kontrolu.

Prilagodljiv i postojan: prijeteći krajolik vodenog Gamayuna

Water Gamayun koristi višestruke vektore napada, uključujući potpisane MSI datoteke, LOLBins i prilagođena korisna opterećenja, naglašava njegovu prilagodljivost u probijanju sustava. Njegova sofisticirana C&C infrastruktura omogućuje mu održavanje dugoročne postojanosti dok izbjegava forenzičke istrage.

CVE-2025-26633 Ranjivost video

Savjet: Pretvorite svoj zvuk i gledati video u full screen modu.

U trendu

Prijevara putem e-pošte s kašnjenjem plaćanja

Krađa identiteta, Spam
Kibernetičke prijetnje svakodnevno se razvijaju, a prevaranti neprestano smišljaju nove taktike za iskorištavanje pojedinaca koji ništa ne sumnjaju. Jedna takva shema, prijevara e-poštom s prekoračenim plaćanjem, lovi žrtve mameći ih izmišljenim zahtjevima za nepotraživanim novcem. Razumijevanje načina na koji ova taktika funkcionira ključno je za zaštitu sebe i drugih od financijskog gubitka i...

Nagledanije

Učitavam...