Preventivo sconto multi-licenza
Database delle minacce Vulnerabilità Vulnerabilità CVE-2025-26633

Vulnerabilità CVE-2025-26633

Entro Mezo nel Vulnerabilità, Minaccia persistente avanzata (APT)
Traduci in:
Italiano

Water Gamayun ha sfruttato attivamente CVE-2025-26633 (nota anche come MSC EvilTwin), una vulnerabilità nel framework Microsoft Management Console (MMC), per eseguire malware utilizzando file Microsoft Console (.msc) non autorizzati.

Nuove backdoor: SilentPrism e DarkWisp

I criminali informatici dietro questo attacco zero-day hanno distribuito due sofisticate backdoor: SilentPrism e DarkWisp. Questi strumenti facilitano la persistenza, la ricognizione del sistema e il controllo remoto, rendendoli potenti risorse per lo spionaggio e il furto di dati. L'operazione è stata attribuita a un gruppo di hacker legato alla Russia noto come Water Gamayun, chiamato anche EncryptHub e LARVA-208.

Metodi di attacco: pacchetti di provisioning e programmi di installazione MSI

Water Gamayun distribuisce principalmente payload tramite pacchetti di provisioning fraudolenti, file .msi firmati e file MSC. Utilizzano tecniche come il processo IntelliJ runnerw.exe per l'esecuzione dei comandi, aumentando la furtività e l'efficacia.

L’evoluzione della distribuzione del malware di EncryptHub

Inizialmente, EncryptHub ha attirato l'attenzione nel giugno 2024 quando ha utilizzato un repository GitHub per distribuire varie famiglie di malware tramite un falso sito Web WinRAR. Da allora, si è spostato sulla propria infrastruttura per le operazioni di staging e Command-and-Control (C&C).

Mascherato da software legittimo

Water Gamayun maschera il suo malware all'interno di programmi di installazione .msi che si spacciano per applicazioni genuine come DingTalk, QQTalk e VooV Meeting. Questi programmi di installazione eseguono un downloader PowerShell, recuperando ed eseguendo payload di fase successiva su sistemi compromessi.

SilentPrism e DarkWisp: Impianti PowerShell furtivi

SilentPrism è un impianto basato su PowerShell che stabilisce la persistenza, esegue più comandi shell ed elude il rilevamento utilizzando tecniche di anti-analisi.

DarkWisp, un'altra backdoor di PowerShell, è specializzata nella ricognizione di sistema, nell'esfiltrazione di dati e nel mantenimento dell'accesso a lungo termine alle macchine infette.

Comunicazione C&C ed esecuzione dei comandi

Una volta infettato, il malware esfiltra i dati di ricognizione sul server C&C ed entra in un ciclo continuo, in attesa di comandi tramite la porta TCP 8080. I comandi arrivano nel formato COMANDO|, garantendo un'interazione e un controllo continui sul sistema della vittima.

MSC EvilTwin Loader: schieramento del Rhadamanthys Stealer

Uno dei payload più preoccupanti in questa catena di attacchi è il loader MSC EvilTwin, che sfrutta CVE-2025-26633 per eseguire file .msc dannosi. Ciò porta infine all'implementazione di Rhadamanthys Stealer , un noto malware progettato per il furto di dati.

Espansione dell’arsenale: più ladri e varianti personalizzate

Water Gamayun non si affida solo a Rhadamanthys. Distribuisce anche StealC e tre stealer personalizzati basati su PowerShell: le varianti A, B e C di EncryptHub Stealer. Queste varianti, basate sull'open source Kematian Stealer, estraggono dati di sistema estesi, tra cui dettagli anti-malware, software installato, configurazioni di rete e applicazioni in esecuzione.

Prendere di mira criptovalute e dati sensibili

Il malware stealer raccoglie un'ampia gamma di credenziali, tra cui password Wi-Fi, chiavi di prodotto Windows, dati del browser e cronologia degli appunti. In particolare, cerca esplicitamente file correlati ai wallet di criptovaluta, indicando l'intento di raccogliere frasi di recupero e asset finanziari.

Tecniche di vita fuori dalla terra per la furtività

Una caratteristica unica di una variante di EncryptHub Stealer è l'uso di una tecnica living-off-the-land binary (LOLBin). Sfrutta runnerw.exe di IntelliJ per eseguire il proxy dell'esecuzione di script PowerShell remoti, offuscandone ulteriormente l'attività.

Propagazione del malware attraverso più canali

È stato scoperto che i minacciosi pacchetti MSI e i dropper binari di Water Gamayun distribuiscono ulteriori famiglie di malware, tra cui Lumma Stealer , Amadey e vari clipper incentrati sulle criptovalute.

Infrastruttura C&C: controllo remoto tramite PowerShell

L'analisi dell'infrastruttura C&C di Water Gamayun (in particolare 82.115.223[.]182) ha rivelato che utilizzano script PowerShell per scaricare ed eseguire il software AnyDesk per l'accesso remoto. Inviano anche comandi remoti codificati in Base64 alle macchine delle vittime per un controllo senza interruzioni.

Adattabile e persistente: il panorama delle minacce di Water Gamayun

L'uso di più vettori di attacco da parte di Water Gamayun, tra cui file MSI firmati, LOLBins e payload personalizzati, evidenzia la sua adattabilità nel violare i sistemi. La sua sofisticata infrastruttura C&C gli consente di mantenere una persistenza a lungo termine eludendo le indagini forensi.

Vulnerabilità CVE-2025-26633 Video

Suggerimento: attiva l' audio e guarda il video in modalità Schermo intero .

Tendenza

I più visti

Caricamento in corso...