Vairāku licenču atlaides piedāvājums
Draudu datu bāze Neaizsargātība CVE-2025-26633 Ievainojamība

CVE-2025-26633 Ievainojamība

Līdz Mezo. gadam Neaizsargātība, Advanced Persistent Threat (APT). gadā
Tulkot uz:
Latviešu

Water Gamayun ir aktīvi izmantojis CVE-2025-26633 (pazīstams arī kā MSC EvilTwin), kas ir Microsoft Management Console (MMC) sistēmas ievainojamība, lai palaistu ļaunprātīgu programmatūru, izmantojot negodīgus Microsoft Console (.msc) failus.

Jaunas aizmugures durvis: SilentPrism un DarkWisp

Kibernoziedznieki aiz šī nulles dienas uzbrukuma ir izvietojuši divas sarežģītas aizmugures durvis — SilentPrism un DarkWisp. Šie rīki atvieglo noturību, sistēmas izlūkošanu un tālvadību, padarot tos par spēcīgiem spiegošanas un datu zādzību līdzekļiem. Operācija tika attiecināta uz ar Krieviju saistītu hakeru grupu, kas pazīstama kā Water Gamayun, ko sauc arī par EncryptHub un LARVA-208.

Uzbrukuma metodes: pakotņu nodrošināšana un MSI instalētāji

Water Gamayun galvenokārt piegādā lietderīgās kravas, izmantojot krāpnieciskas nodrošināšanas pakotnes, parakstītus .msi failus un MSC failus. Tie izmanto tādas metodes kā IntelliJ runnerw.exe, lai izpildītu komandu, palielinot slepenību un efektivitāti.

EncryptHub ļaunprātīgas programmatūras izplatīšanas attīstība

Sākotnēji EncryptHub ieguva uzmanību 2024. gada jūnijā, kad viņi izmantoja GitHub repozitoriju, lai izplatītu dažādas ļaunprātīgas programmatūras saimes, izmantojot viltotu WinRAR vietni. Kopš tā laika viņi ir pārgājuši uz savu infrastruktūru iestudēšanas un vadības un kontroles (C&C) operācijām.

Maskaties par likumīgu programmatūru

Water Gamayun maskē savu ļaunprātīgo programmatūru .msi instalētājos, kas izliekas par oriģinālām lietojumprogrammām, piemēram, DingTalk, QQTalk un VooV Meeting. Šie instalētāji izpilda PowerShell lejupielādētāju, iegūstot un palaižot nākamā posma lietderīgās slodzes apdraudētās sistēmās.

SilentPrism un DarkWisp: Stealthy PowerShell implanti

SilentPrism ir uz PowerShell balstīts implants, kas nodrošina noturību, izpilda vairākas apvalka komandas un izvairās no atklāšanas, izmantojot pretanalīzes metodes.

DarkWisp, vēl viena PowerShell aizmugures durvis, specializējas sistēmas izpētē, datu izfiltrēšanā un ilgstošas piekļuves uzturēšanā inficētām iekārtām.

C&C komunikācija un komandu izpilde

Kad ļaunprogrammatūra ir inficēta, tā izfiltrē izlūkošanas datus uz C&C serveri un nonāk nepārtrauktā ciklā, gaidot komandas, izmantojot TCP portu 8080. Komandas tiek saņemtas šādā formātā: COMMAND|, nodrošinot nepārtrauktu mijiedarbību un upura sistēmas kontroli.

MSC EvilTwin Loader: Rhadamanthys Stealer izvietošana

Viena no vissvarīgākajām kravām šajā uzbrukuma ķēdē ir MSC EvilTwin ielādētājs, kas izmanto CVE-2025-26633, lai izpildītu ļaunprātīgus .msc failus. Tas galu galā noved pie Rhadamanthys Stealer  — plaši pazīstamas ļaunprātīgas programmatūras, kas paredzēta datu zādzībām.

Arsenāla paplašināšana: vairāk zagļu un pielāgotu variantu

Ūdens Gamayun nepaļaujas tikai uz Rhadamanthys. Viņi arī izplata StealC un trīs pielāgotus uz PowerShell balstītus zagļus — EncryptHub Stealer A, B un C variantus. Šie varianti, kuru pamatā ir atvērtā koda Kematian Stealer, iegūst plašus sistēmas datus, tostarp detalizētu informāciju par ļaunprātīgu programmatūru, instalēto programmatūru, tīkla konfigurācijas un darbojošās lietojumprogrammas.

Mērķauditorijas atlase pēc kriptovalūtas un sensitīviem datiem

Ļaunprātīgā zagšanas programmatūra apkopo plašu akreditācijas datu klāstu, tostarp Wi-Fi paroles, Windows produktu atslēgas, pārlūkprogrammas datus un starpliktuves vēsturi. Jo īpaši tas meklē failus, kas saistīti ar kriptovalūtu makiem, norādot uz nodomu novākt atkopšanas frāzes un finanšu aktīvus.

Dzīves ārpus zemes metodes slepenībai

Viena EncryptHub Stealer varianta unikāla iezīme ir binārās (LOLBin) metodes izmantošana. Tas izmanto IntelliJ runnerw.exe, lai nodrošinātu attālo PowerShell skriptu izpildes starpniekserveri, vēl vairāk traucējot tā darbību.

Ļaunprātīgas programmatūras izplatīšana, izmantojot vairākus kanālus

Tika konstatēts, ka Water Gamayun draudošās MSI pakotnes un binārie pilinātāji izplata papildu ļaunprātīgas programmatūras saimes, tostarp Lumma Stealer , Amadey un dažādus uz kriptovalūtu vērstus griezējus.

C&C infrastruktūra: tālvadības pults, izmantojot PowerShell

Water Gamayun C&C infrastruktūras analīze (īpaši 82.115.223[.]182) atklāja, ka viņi izmanto PowerShell skriptus, lai lejupielādētu un izpildītu AnyDesk programmatūru attālinātai piekļuvei. Viņi arī nosūta Base64 kodētas tālvadības komandas cietušajām mašīnām, lai nodrošinātu netraucētu kontroli.

Adaptīvs un noturīgs: Ūdens Gamayun’s Threat Ainava

Tas, ka Water Gamayun izmanto vairākus uzbrukuma vektorus, tostarp parakstītus MSI failus, LOLBins un pielāgotas lietderīgās slodzes, izceļ tā pielāgošanās spējas pārkāpuma sistēmās. Tā izsmalcinātā C&C infrastruktūra ļauj tai saglabāt ilgstošu noturību, vienlaikus izvairoties no kriminālistikas izmeklēšanas.

CVE-2025-26633 Ievainojamība video

Padoms. Ieslēdziet skaņu un skatieties video pilnekrāna režīmā .

Tendences

Nokavēta maksājuma e-pasta krāpniecība

Pikšķerēšana, Mēstules
Kiberdraudi attīstās katru dienu, un krāpnieki nemitīgi izstrādā jaunas taktikas, lai izmantotu nenojaušus cilvēkus. Viena no šādām shēmām, e-pasta krāpniecība ar kavēto maksājumu, upurus izmanto, vilinot tos ar izdomātām prasībām par nepieprasītu naudu. Izpratne par šīs taktikas darbību ir ļoti svarīga, lai pasargātu sevi un citus no finansiāliem zaudējumiem un identitātes zādzībām. Atklātā...

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
29,819
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...