CVE-2025-26633 Sårbarhet

Med Mezo i Sårbarhet, Advanced Persistent Threat (APT)

Oversett til:

Water Gamayun har aktivt utnyttet CVE-2025-26633 (aka MSC EvilTwin), en sårbarhet i Microsoft Management Console (MMC)-rammeverket, for å utføre skadelig programvare ved å bruke useriøse Microsoft Console (.msc)-filer.

Innholdsfortegnelse

Nye bakdører: SilentPrism og DarkWisp

Nettkriminelle bak dette nulldagsangrepet har utplassert to sofistikerte bakdører – SilentPrism og DarkWisp. Disse verktøyene letter utholdenhet, systemrekognosering og fjernkontroll, noe som gjør dem til kraftige eiendeler for spionasje og datatyveri. Operasjonen har blitt tilskrevet en russisk-tilknyttet hackergruppe kjent som Water Gamayun, også kalt EncryptHub og LARVA-208.

Angrepsmetoder: Klargjøringspakker og MSI-installatører

Water Gamayun leverer primært nyttelast gjennom uredelige klargjøringspakker, signerte .msi-filer og MSC-filer. De bruker teknikker som IntelliJ runnerw.exe-prosessen for å utføre kommandoer, noe som øker stealth og effektivitet.

Utviklingen av EncryptHubs distribusjon av skadelig programvare

Opprinnelig fikk EncryptHub oppmerksomhet i juni 2024 da de brukte et GitHub-depot for å distribuere ulike malware-familier via et falskt WinRAR-nettsted. Siden den gang har de gått over til sin egen infrastruktur for iscenesettelse og Command-and-Control (C&C) operasjoner.

Forklædt som legitim programvare

Water Gamayun skjuler skadelig programvare i .msi-installatører og utgir seg for å være ekte applikasjoner som DingTalk, QQTalk og VooV Meeting. Disse installatørene kjører en PowerShell-nedlaster, henter og kjører nyttelaster i neste trinn på kompromitterte systemer.

SilentPrism og DarkWisp: Stealthy PowerShell-implantater

SilentPrism er et PowerShell-basert implantat som etablerer utholdenhet, utfører flere skallkommandoer og unngår deteksjon ved hjelp av antianalyseteknikker.

DarkWisp, en annen PowerShell-bakdør, spesialiserer seg på systemrekognosering, dataeksfiltrering og opprettholdelse av langsiktig tilgang til infiserte maskiner.

C&C-kommunikasjon og kommandoutførelse

Når den først er infisert, eksfiltrerer skadevaren rekognoseringsdata til C&C-serveren og går inn i en kontinuerlig sløyfe og venter på kommandoer via TCP-port 8080. Kommandoer kommer i formatet COMMAND|, som sikrer kontinuerlig interaksjon og kontroll over offerets system.

MSC EvilTwin Loader: Utplassering av Rhadamanthys Stealer

En av de mest bekymringsfulle nyttelastene i denne angrepskjeden er MSC EvilTwin-lasteren, som utnytter CVE-2025-26633 til å kjøre ondsinnede .msc-filer. Dette fører til slutt til utplasseringen av Rhadamanthys Stealer , en velkjent skadelig programvare designet for datatyveri.

Utvide Arsenal: Flere stjelere og tilpassede varianter

Water Gamayun stoler ikke utelukkende på Rhadamanthys. De distribuerer også StealC og tre tilpassede PowerShell-baserte stjelere—EncryptHub Stealer variantene A, B og C. Disse variantene, basert på åpen kildekode Kematian Stealer, trekker ut omfattende systemdata, inkludert anti-malware detaljer, installert programvare, nettverkskonfigurasjoner og kjørende applikasjoner.

Målretting mot kryptovaluta og sensitive data

Skadevaren som stjeler samler et bredt spekter av legitimasjon, inkludert Wi-Fi-passord, Windows-produktnøkler, nettleserdata og utklippstavlehistorikk. Spesielt søker den eksplisitt etter filer relatert til cryptocurrency-lommebøker, noe som indikerer en intensjon om å høste gjenopprettingsfraser og finansielle eiendeler.

Living-off-the-Land Techniques for Stealth

En unik egenskap ved en EncryptHub Stealer-variant er bruken av en levende-off-the-land binær (LOLBin) teknikk. Den utnytter IntelliJs runnerw.exe for å proxy-kjøre utføringen av eksterne PowerShell-skript, og tilsløre aktiviteten ytterligere.

Spre skadelig programvare gjennom flere kanaler

Water Gamayuns truende MSI-pakker og binære droppere har blitt funnet distribuere flere malware-familier, inkludert Lumma Stealer , Amadey og forskjellige kryptovaluta-fokuserte klippere.

C&C Infrastructure: Fjernkontroll via PowerShell

Analyse av Water Gamayuns C&C-infrastruktur (spesielt 82.115.223[.]182) har avslørt at de bruker PowerShell-skript for å laste ned og kjøre AnyDesk-programvaren for ekstern tilgang. De sender også Base64-kodede fjernkommandoer til offermaskiner for sømløs kontroll.

Adaptiv og vedvarende: Vann Gamayuns trussellandskap

Vann Gamayuns bruk av flere angrepsvektorer, inkludert signerte MSI-filer, LOLBins og tilpassede nyttelaster, fremhever dens tilpasningsevne i systembrudd. Dens sofistikerte C&C-infrastruktur lar den opprettholde langsiktig utholdenhet samtidig som den unngår rettsmedisinske undersøkelser.