CVE-2025-26633 Pažeidžiamumas

Autorius Mezo, Pažeidžiamumas, Išplėstinė nuolatinė grėsmė (APT)

Versti į:

„Water Gamayun“ aktyviai išnaudojo CVE-2025-26633 (dar žinomas kaip MSC EvilTwin), „Microsoft“ valdymo pulto (MMC) sistemos pažeidžiamumą, siekdamas vykdyti kenkėjiškas programas naudojant nesąžiningus „Microsoft Console“ (.msc) failus.

Turinys

Naujos užpakalinės durys: SilentPrism ir DarkWisp

Kibernetiniai nusikaltėliai, surengę šią nulinės dienos ataką, įdiegė dvi sudėtingas užpakalines duris – „SilentPrism“ ir „DarkWisp“. Šie įrankiai palengvina atkaklumą, sistemos žvalgybą ir nuotolinį valdymą, todėl jie yra galingi šnipinėjimo ir duomenų vagystės turtai. Operacija buvo priskirta su Rusija susijusiai įsilaužimo grupei, žinomai kaip „Water Gamayun“, dar vadinamai „EncryptHub“ ir „LARVA-208“.

Atakos metodai: paketų sudarymas ir MSI diegimo programos

„Water Gamayun“ pirmiausia teikia naudingus krovinius per apgaulingus aprūpinimo paketus, pasirašytus .msi failus ir MSC failus. Jie naudoja tokius metodus kaip IntelliJ runnerw.exe, kad vykdytų komandas, padidintų slaptumą ir efektyvumą.

„EncryptHub“ kenkėjiškų programų platinimo raida

Iš pradžių „EncryptHub“ sulaukė dėmesio 2024 m. birželio mėn., kai naudojo „GitHub“ saugyklą, kad platintų įvairias kenkėjiškų programų šeimas per netikrą „WinRAR“ svetainę. Nuo tada jie perėjo prie savo infrastruktūros, skirtos sustojimo ir valdymo ir valdymo (C&C) operacijoms.

Apsimeta teisėta programine įranga

„Water Gamayun“ užmaskuoja savo kenkėjiškas programas .msi diegimo programose, kurios yra tikros programos, tokios kaip „DingTalk“, „QQTalk“ ir „VooV Meeting“. Šios diegimo programos vykdo „PowerShell“ atsisiuntimo programą, gaudamos ir paleisdamos kito etapo naudingąsias apkrovas pažeistose sistemose.

„SilentPrism“ ir „DarkWisp“: slapti „PowerShell“ implantai

„SilentPrism“ yra „PowerShell“ pagrindu sukurtas implantas, užtikrinantis patvarumą, vykdantis kelias apvalkalo komandas ir išvengiantis aptikimo naudojant antianalizės metodus.

DarkWisp, kitas „PowerShell“ užpakalinės durys, specializuojasi sistemos žvalgybos, duomenų išfiltravimo ir ilgalaikės prieigos prie užkrėstų įrenginių palaikyme.

C&C komunikacija ir komandų vykdymas

Užsikrėtusi kenkėjiška programa išfiltruoja žvalgybos duomenis į C&C serverį ir patenka į nuolatinį ciklą, laukdama komandų per TCP prievadą 8080. Komandos gaunamos COMMAND| formatu, užtikrindamos nuolatinę sąveiką ir aukos sistemos kontrolę.

MSC EvilTwin Loader: „Rhadamanthys Stealer“ diegimas

Vienas iš labiausiai susirūpinusių naudingų krovinių šioje atakų grandinėje yra MSC EvilTwin įkroviklis, kuris išnaudoja CVE-2025-26633 kenkėjiškų .msc failų vykdymui. Dėl to galiausiai bus įdiegta Rhadamanthys Stealer – gerai žinoma kenkėjiška programa, skirta duomenų vagystėms.

Arsenalo išplėtimas: daugiau vagių ir pritaikytų variantų

Vandens Gamayun nepasikliauja vien Rhadamanthys. Jie taip pat platina „StealC“ ir tris pasirinktinius „PowerShell“ pagrindu veikiančius vagystes – „EncryptHub Stealer“ A, B ir C variantus. Šie variantai, pagrįsti atviro kodo „Kematian Stealer“, išgauna daug sistemos duomenų, įskaitant išsamią informaciją apie apsaugą nuo kenkėjiškų programų, įdiegtą programinę įrangą, tinklo konfigūracijas ir veikiančias programas.

Taikymas pagal kriptovaliutą ir jautrius duomenis

Vogti kenkėjiška programa renka daugybę kredencialų, įskaitant „Wi-Fi“ slaptažodžius, „Windows“ produkto raktus, naršyklės duomenis ir iškarpinės istoriją. Pažymėtina, kad ji aiškiai ieško failų, susijusių su kriptovaliutų piniginėmis, nurodant ketinimą surinkti atkūrimo frazes ir finansinį turtą.

Gyvenimo ne žemėje metodai slaptam naudojimui

Unikali vieno EncryptHub Stealer varianto ypatybė yra dvinarės (LOLBin) technikos naudojimas. Jis naudoja „IntelliJ“ runnerw.exe, kad tarpinis serveris būtų vykdomas nuotoliniuose „PowerShell“ scenarijuose, dar labiau apsunkindamas jo veiklą.

Kenkėjiškų programų platinimas keliais kanalais

Nustatyta, kad „Water Gamayun“ grėsmingi MSI paketai ir dvejetainiai lašeliai platina papildomas kenkėjiškų programų šeimas, įskaitant „ Lumma Stealer“ , „Amadey“ ir įvairias kriptovaliutoms skirtas kirpimo priemones.

C&C infrastruktūra: nuotolinis valdymas per „PowerShell“.

„Water Gamayun“ C&C infrastruktūros (ypač 82.115.223[.]182) analizė atskleidė, kad jie naudoja „PowerShell“ scenarijus, norėdami atsisiųsti ir vykdyti „AnyDesk“ programinę įrangą nuotolinei prieigai. Jie taip pat siunčia „Base64“ užkoduotas nuotolines komandas nukentėjusiems įrenginiams, kad būtų galima sklandžiai valdyti.

Prisitaikantis ir patvarus: Vandens Gamayun’s Threat Landscape

Tai, kad „Water Gamayun“ naudoja kelis atakos vektorius, įskaitant pasirašytus MSI failus, LOLBins ir tinkintus naudingus krovinius, pabrėžia jo gebėjimą prisitaikyti pažeidžiant sistemas. Sudėtinga C&C infrastruktūra leidžia išlaikyti ilgalaikį atkaklumą, vengiant teismo ekspertizės.