ភាពងាយរងគ្រោះ CVE-2025-26633
Water Gamayun បាននិងកំពុងកេងប្រវ័ញ្ចយ៉ាងសកម្ម CVE-2025-26633 (ហៅកាត់ថា MSC EvilTwin) ដែលជាភាពងាយរងគ្រោះនៅក្នុង Microsoft Management Console (MMC) framework ដើម្បីប្រតិបត្តិមេរោគដោយប្រើឯកសារ Microsoft Console (.msc) ដែលមិនត្រឹមត្រូវ។
តារាងមាតិកា
Backdoors ថ្មី៖ SilentPrism និង DarkWisp
ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតនៅពីក្រោយការវាយប្រហារសូន្យថ្ងៃនេះ បានដាក់ពង្រាយ backdoors ទំនើបចំនួនពីរគឺ SilentPrism និង DarkWisp ។ ឧបករណ៍ទាំងនេះជួយសម្រួលដល់ការជាប់លាប់ ការឈ្លបយកការណ៍តាមប្រព័ន្ធ និងការបញ្ជាពីចម្ងាយ ធ្វើឱ្យពួកវាមានទ្រព្យសម្បត្តិដ៏មានឥទ្ធិពលសម្រាប់ចារកម្ម និងការលួចទិន្នន័យ។ ប្រតិបត្តិការនេះត្រូវបានកំណត់ថាជាក្រុមលួចចូលដែលមានទំនាក់ទំនងជាមួយរុស្សីដែលគេស្គាល់ថា Water Gamayun ដែលហៅម្យ៉ាងទៀតថា EncryptHub និង LARVA-208។
វិធីសាស្ត្រវាយប្រហារ៖ ការផ្តល់កញ្ចប់ និងកម្មវិធីដំឡើង MSI
Water Gamayun ជាចម្បងផ្តល់នូវបន្ទុកតាមរយៈកញ្ចប់ផ្តល់ការក្លែងបន្លំ ឯកសារ .msi ដែលបានចុះហត្ថលេខា និងឯកសារ MSC ។ ពួកគេប្រើបច្ចេកទេសដូចជាដំណើរការ IntelliJ runnerw.exe សម្រាប់ការប្រតិបត្តិពាក្យបញ្ជា បង្កើនការបំបាំងកាយ និងប្រសិទ្ធភាព។
ការវិវត្តន៍នៃការចែកចាយមេរោគរបស់ EncryptHub
ដំបូងឡើយ EncryptHub ទទួលបានការចាប់អារម្មណ៍ក្នុងខែមិថុនា ឆ្នាំ 2024 នៅពេលដែលពួកគេបានប្រើឃ្លាំង GitHub ដើម្បីចែកចាយមេរោគផ្សេងៗតាមរយៈគេហទំព័រ WinRAR ក្លែងក្លាយ។ ចាប់តាំងពីពេលនោះមក ពួកគេបានផ្លាស់ប្តូរទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធផ្ទាល់ខ្លួនរបស់ពួកគេសម្រាប់ដំណើរការដំណាក់កាល និងការគ្រប់គ្រង (C&C)។
ការក្លែងបន្លំជាកម្មវិធីស្របច្បាប់
Water Gamayun ក្លែងបន្លំមេរោគរបស់វានៅក្នុងកម្មវិធីដំឡើង .msi ដែលដាក់ជាកម្មវិធីពិតប្រាកដដូចជា DingTalk, QQTalk និង VooV Meeting ។ កម្មវិធីដំឡើងទាំងនេះប្រតិបត្តិកម្មវិធីទាញយក PowerShell ទាញយក និងដំណើរការបន្ទុកដំណាក់កាលបន្ទាប់នៅលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។
SilentPrism និង DarkWisp៖ ការដាក់បញ្ចូល PowerShell ដែលលាក់លៀម
SilentPrism គឺជាការផ្សាំដែលមានមូលដ្ឋានលើ PowerShell ដែលបង្កើតភាពជាប់លាប់ ប្រតិបត្តិពាក្យបញ្ជាសែលច្រើន និងគេចពីការរកឃើញដោយប្រើបច្ចេកទេសប្រឆាំងការវិភាគ។
DarkWisp ដែលជា PowerShell backdoor មួយផ្សេងទៀត មានជំនាញក្នុងការឈ្លបយកការណ៍ប្រព័ន្ធ ការដកទិន្នន័យ និងរក្សាការចូលប្រើប្រាស់ម៉ាស៊ីនដែលមានមេរោគរយៈពេលវែង។
C&C ទំនាក់ទំនង និងប្រតិបត្តិពាក្យបញ្ជា
នៅពេលដែលឆ្លងមេរោគ មេរោគនេះបណ្តេញទិន្នន័យឈ្លបយកការណ៍ទៅកាន់ម៉ាស៊ីនមេ C&C ហើយចូលទៅក្នុងរង្វិលជុំបន្ត រង់ចាំពាក្យបញ្ជាតាមរយៈច្រក TCP 8080។ ពាក្យបញ្ជាមកដល់ក្នុងទម្រង់ COMMAND|
MSC EvilTwin Loader: ការដាក់ពង្រាយ Rhadamanthys Stealer
បន្ទុកដែលពាក់ព័ន្ធបំផុតមួយនៅក្នុងខ្សែសង្វាក់វាយប្រហារនេះគឺកម្មវិធីផ្ទុក MSC EvilTwin ដែលទាញយកប្រយោជន៍ពី CVE-2025-26633 ដើម្បីប្រតិបត្តិឯកសារ .msc ដែលមានគំនិតអាក្រក់។ ចុងក្រោយនេះនាំទៅដល់ការដាក់ពង្រាយ Rhadamanthys Stealer ដែល ជាមេរោគដ៏ល្បីដែលត្រូវបានរចនាឡើងសម្រាប់ការលួចទិន្នន័យ។
ពង្រីកក្រុម Arsenal៖ អ្នកលួចកាន់តែច្រើន និងជម្រើសផ្ទាល់ខ្លួន
Water Gamayun មិនពឹងផ្អែកតែលើ Rhadamanthys ទេ។ ពួកគេក៏ចែកចាយ StealC និងអ្នកលួចដែលមានមូលដ្ឋានលើ PowerShell ផ្ទាល់ខ្លួនចំនួនបីផងដែរ—EncryptHub Stealer variants A, B និង C. វ៉ារ្យ៉ង់ទាំងនេះដោយផ្អែកលើប្រភពបើកចំហ Kematian Stealer ទាញយកទិន្នន័យប្រព័ន្ធយ៉ាងទូលំទូលាយ រួមទាំងព័ត៌មានលម្អិតប្រឆាំងនឹងមេរោគ កម្មវិធីដែលបានដំឡើង ការកំណត់បណ្តាញ និងកម្មវិធីដែលកំពុងដំណើរការ។
ការកំណត់គោលដៅ Cryptocurrency និងទិន្នន័យរសើប
មេរោគដែលលួចបានប្រមូលផ្តុំនូវព័ត៌មានសម្ងាត់ជាច្រើន រួមទាំងពាក្យសម្ងាត់ Wi-Fi លេខកូដផលិតផល Windows ទិន្នន័យកម្មវិធីរុករកតាមអ៊ីនធឺណិត និងប្រវត្តិក្ដារតម្បៀតខ្ទាស់។ គួរកត់សម្គាល់ថាវាស្វែងរកយ៉ាងច្បាស់លាស់សម្រាប់ឯកសារដែលទាក់ទងនឹងកាបូបរូបិយប័ណ្ណគ្រីបតូ ដែលបង្ហាញពីចេតនាក្នុងការប្រមូលឃ្លាស្តារឡើងវិញ និងទ្រព្យសម្បត្តិហិរញ្ញវត្ថុ។
បច្ចេកទេសរស់នៅក្រៅដីសម្រាប់បំបាំងកាយ
លក្ខណៈពិសេសតែមួយគត់នៃវ៉ារ្យ៉ង់ EncryptHub Stealer គឺការប្រើប្រាស់របស់វានូវបច្ចេកទេសប្រព័ន្ធគោលពីរដែលរស់នៅក្រៅដី (LOLBin)។ វាប្រើប្រាស់ runnerw.exe របស់ IntelliJ ដើម្បីប្រូកស៊ីការប្រតិបត្តិនៃស្គ្រីប PowerShell ពីចម្ងាយ ដែលធ្វើអោយសកម្មភាពរបស់វាកាន់តែច្របូកច្របល់។
ការផ្សព្វផ្សាយមេរោគតាមរយៈឆានែលច្រើន។
កញ្ចប់ MSI គំរាមកំហែងរបស់ Water Gamayun និងឧបករណ៍ទម្លាក់លេខគោលពីរត្រូវបានរកឃើញចែកចាយក្រុមគ្រួសារមេរោគបន្ថែម រួមទាំង Lumma Stealer , Amadey និងក្លីបដែលផ្តោតលើរូបិយប័ណ្ណផ្សេងៗ។
ហេដ្ឋារចនាសម្ព័ន្ធ C&C៖ ការបញ្ជាពីចម្ងាយតាមរយៈ PowerShell
ការវិភាគលើហេដ្ឋារចនាសម្ព័ន្ធ C&C របស់ Water Gamayun (ជាពិសេស 82.115.223[.]182) បានបង្ហាញថាពួកគេប្រើស្គ្រីប PowerShell ដើម្បីទាញយក និងប្រតិបត្តិកម្មវិធី AnyDesk សម្រាប់ការចូលប្រើពីចម្ងាយ។ ពួកគេក៏ផ្ញើការបញ្ជាពីចម្ងាយដែលបានអ៊ិនកូដ Base64 ទៅម៉ាស៊ីនជនរងគ្រោះសម្រាប់ការគ្រប់គ្រងដោយគ្មានថ្នេរ។
សម្របខ្លួន និងតស៊ូ៖ ទេសភាពគំរាមកំហែងរបស់ Water Gamayun
ការប្រើប្រាស់វ៉ិចទ័រវាយប្រហារជាច្រើនរបស់ Water Gamayun រួមទាំងឯកសារ MSI ដែលបានចុះហត្ថលេខា LOLBins និងបន្ទុកផ្ទាល់ខ្លួន បង្ហាញពីភាពប្រែប្រួលរបស់វានៅក្នុងប្រព័ន្ធបំពាន។ ហេដ្ឋារចនាសម្ព័ន្ធ C&C ដ៏ស្មុគ្រស្មាញរបស់វាអនុញ្ញាតឱ្យវារក្សាការតស៊ូរយៈពេលវែង ខណៈពេលដែលគេចចេញពីការស៊ើបអង្កេតផ្នែកកោសល្យវិច្ច័យ។
ភាពងាយរងគ្រោះ CVE-2025-26633 វីដេអូ
គន្លឹះ៖ បើក សំឡេងរបស់អ្នក ហើយ មើលវីដេអូក្នុងទម្រង់ពេញអេក្រង់ ។
