CVE-2025-26633 जोखिम
वाटर गमायुँले माइक्रोसफ्ट म्यानेजमेन्ट कन्सोल (MMC) फ्रेमवर्कमा रहेको जोखिमपूर्ण CVE-2025-26633 (उर्फ MSC EvilTwin) को सक्रिय रूपमा शोषण गर्दै आएको छ, जसले गर्दा माइक्रोसफ्ट कन्सोल (.msc) फाइलहरू प्रयोग गरेर मालवेयर कार्यान्वयन गर्न सकिन्छ।
सामग्रीको तालिका
नयाँ ब्याकडोरहरू: साइलेन्टप्रिज्म र डार्कविस्प
यो शून्य-दिनको आक्रमणको पछाडि साइबर अपराधीहरूले दुई परिष्कृत ब्याकडोरहरू तैनाथ गरेका छन् - साइलेन्टप्रिज्म र डार्कविस्प। यी उपकरणहरूले दृढता, प्रणाली जासूसी र रिमोट कन्ट्रोललाई सहज बनाउँछन्, जसले गर्दा तिनीहरूलाई जासुसी र डेटा चोरीको लागि शक्तिशाली सम्पत्ति बनाइएको छ। यो अपरेशनको जिम्मेवारी रुसी-सम्बद्ध ह्याकिङ समूहलाई दिइएको छ जसलाई वाटर गमायुन भनिन्छ, जसलाई एन्क्रिप्टहब र LARVA-208 पनि भनिन्छ।
आक्रमण विधिहरू: प्याकेजहरू र MSI स्थापनाकर्ताहरूको प्रावधान
वाटर गामायुँले मुख्यतया नक्कली प्रोभिजनिङ प्याकेजहरू, हस्ताक्षर गरिएका .msi फाइलहरू र MSC फाइलहरू मार्फत पेलोडहरू डेलिभर गर्दछ। तिनीहरूले आदेश कार्यान्वयन, चोरी र प्रभावकारिता बढाउनको लागि IntelliJ runnerw.exe प्रक्रिया जस्ता प्रविधिहरू प्रयोग गर्छन्।
इन्क्रिप्टहबको मालवेयर वितरणको विकास
सुरुमा, जुन २०२४ मा EncryptHub ले ध्यान आकर्षित गर्यो जब तिनीहरूले नक्कली WinRAR वेबसाइट मार्फत विभिन्न मालवेयर परिवारहरू वितरण गर्न GitHub भण्डार प्रयोग गरे। त्यसबेलादेखि, तिनीहरू स्टेजिङ र कमाण्ड-एन्ड-कन्ट्रोल (C&C) सञ्चालनका लागि आफ्नै पूर्वाधारमा सरेका छन्।
वैध सफ्टवेयरको रूपमा लुकाउने
वाटर गमायुँले DingTalk, QQTalk, र VooV बैठक जस्ता वास्तविक अनुप्रयोगहरूको रूपमा प्रस्तुत गर्दै .msi स्थापनाकर्ताहरू भित्र आफ्नो मालवेयर लुकाउँछ। यी स्थापनाकर्ताहरूले PowerShell डाउनलोडर कार्यान्वयन गर्छन्, सम्झौता गरिएका प्रणालीहरूमा अर्को चरणको पेलोडहरू प्राप्त गर्छन् र चलाउँछन्।
साइलेन्टप्रिज्म र डार्कविस्प: स्टेल्थी पावरशेल इम्प्लान्टहरू
साइलेन्टप्रिज्म एक पावरशेल-आधारित इम्प्लान्ट हो जसले दृढता स्थापित गर्दछ, धेरै शेल आदेशहरू कार्यान्वयन गर्दछ, र एन्टी-विश्लेषण प्रविधिहरू प्रयोग गरेर पत्ता लगाउनबाट बचाउँछ।
अर्को पावरशेल ब्याकडोर, डार्कविस्प, प्रणाली पुनर्जागरण, डेटा एक्सफिल्ट्रेसन, र संक्रमित मेसिनहरूमा दीर्घकालीन पहुँच कायम राख्नमा विशेषज्ञ छ।
सी एण्ड सी सञ्चार र आदेश कार्यान्वयन
एकपटक संक्रमित भएपछि, मालवेयरले C&C सर्भरमा जासूसी डेटा एक्सफिल्टर गर्छ र TCP पोर्ट ८०८० मार्फत आदेशहरूको प्रतीक्षा गर्दै निरन्तर लूपमा प्रवेश गर्छ। आदेशहरू COMMAND|
MSC EvilTwin लोडर: Rhadamanthys Stealer तैनाथ गर्दै
यस आक्रमण शृङ्खलामा सबैभन्दा चिन्ताजनक पेलोडहरू मध्ये एक MSC EvilTwin लोडर हो, जसले CVE-2025-26633 लाई दुर्भावनापूर्ण .msc फाइलहरू कार्यान्वयन गर्न प्रयोग गर्दछ। यसले अन्ततः डेटा चोरीको लागि डिजाइन गरिएको एक प्रसिद्ध मालवेयर , Rhadamanthys Stealer को तैनाती निम्त्याउँछ।
शस्त्रागार विस्तार गर्दै: थप चोरी गर्नेहरू र अनुकूलन भेरियन्टहरू
वाटर गामायुन केवल राडामन्थिहरूमा मात्र भर पर्दैन। तिनीहरूले स्टीलसी र तीन कस्टम पावरशेल-आधारित स्टीलरहरू - एन्क्रिप्टहब स्टीलर भेरियन्टहरू ए, बी र सी पनि वितरण गर्छन्। यी भेरियन्टहरू, खुला-स्रोत केमाटियन स्टीलरमा आधारित, एन्टी-मालवेयर विवरणहरू, स्थापित सफ्टवेयर, नेटवर्क कन्फिगरेसनहरू र चलिरहेको अनुप्रयोगहरू सहित व्यापक प्रणाली डेटा निकाल्छन्।
क्रिप्टोकरेन्सी र संवेदनशील डेटालाई लक्षित गर्दै
चोरी गर्ने मालवेयरले वाइफाइ पासवर्ड, विन्डोज उत्पादन कुञ्जी, ब्राउजर डेटा र क्लिपबोर्ड इतिहास सहित विस्तृत दायराका प्रमाणपत्रहरू सङ्कलन गर्दछ। उल्लेखनीय रूपमा, यसले क्रिप्टोकरेन्सी वालेटहरूसँग सम्बन्धित फाइलहरू स्पष्ट रूपमा खोजी गर्दछ, जसले रिकभरी वाक्यांशहरू र वित्तीय सम्पत्तिहरू सङ्कलन गर्ने उद्देश्यलाई संकेत गर्दछ।
लुकाउनको लागि भूमि बाहिर बस्ने प्रविधिहरू
एउटा EncryptHub Stealer भेरियन्टको एउटा अद्वितीय विशेषता भनेको यसमा लिभिङ-अफ-द-ल्याण्ड बाइनरी (LOLBin) प्रविधिको प्रयोग हो। यसले रिमोट पावरशेल स्क्रिप्टहरूको कार्यान्वयनलाई प्रोक्सी गर्न IntelliJ को runnerw.exe प्रयोग गर्दछ, जसले गर्दा यसको गतिविधि अझ अस्पष्ट हुन्छ।
धेरै च्यानलहरू मार्फत मालवेयर प्रचार गर्दै
वाटर गमायुँका खतरनाक MSI प्याकेजहरू र बाइनरी ड्रपरहरूले लुम्मा स्टीलर , अमाडे र विभिन्न क्रिप्टोकरेन्सी-केन्द्रित क्लिपरहरू सहित थप मालवेयर परिवारहरू वितरण गरेको पाइएको छ।
C&C पूर्वाधार: PowerShell मार्फत रिमोट कन्ट्रोल
वाटर गमायुँको सी एण्ड सी पूर्वाधार (विशेष गरी ८२.११५.२२३[.]१८२) को विश्लेषणले पत्ता लगाएको छ कि उनीहरूले रिमोट एक्सेसको लागि एनीडेस्क सफ्टवेयर डाउनलोड र कार्यान्वयन गर्न पावरशेल स्क्रिप्टहरू प्रयोग गर्छन्। उनीहरूले निर्बाध नियन्त्रणको लागि पीडित मेसिनहरूमा बेस६४-इनकोड गरिएका रिमोट आदेशहरू पनि पठाउँछन्।
अनुकूलनीय र निरन्तर: पानी गमायुँको खतरापूर्ण परिदृश्य
हस्ताक्षरित MSI फाइलहरू, LOLBins, र अनुकूलन पेलोडहरू सहित धेरै आक्रमण भेक्टरहरूको प्रयोगले वाटर गमायुँले प्रणालीहरू उल्लङ्घनमा यसको अनुकूलन क्षमतालाई हाइलाइट गर्दछ। यसको परिष्कृत C&C पूर्वाधारले यसलाई फोरेन्सिक अनुसन्धानबाट बच्दा दीर्घकालीन स्थिरता कायम राख्न अनुमति दिन्छ।
CVE-2025-26633 जोखिम भिडियो
सुझाव: आफ्नो आवाज खोल्नुहोस् र पूर्ण स्क्रिन मोडमा भिडियो हेर्नुहोस् ।
