Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Kwetsbaarheid CVE-2025-26633 kwetsbaarheid

CVE-2025-26633 kwetsbaarheid

Tegen Mezo in Kwetsbaarheid, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:
Nederlands

Water Gamayun heeft actief misbruik gemaakt van CVE-2025-26633 (ook bekend als MSC EvilTwin), een kwetsbaarheid in het Microsoft Management Console (MMC)-framework, om malware uit te voeren met behulp van frauduleuze Microsoft Console (.msc)-bestanden.

Nieuwe backdoors: SilentPrism en DarkWisp

De cybercriminelen achter deze zero-day-aanval hebben twee geavanceerde backdoors ingezet: SilentPrism en DarkWisp. Deze tools maken persistentie, systeemverkenning en afstandsbediening mogelijk, waardoor ze krachtige middelen zijn voor spionage en datadiefstal. De operatie is toegeschreven aan een Russische hackersgroep die bekendstaat als Water Gamayun, ook wel EncryptHub en LARVA-208 genoemd.

Aanvalsmethoden: provisioning-pakketten en MSI-installatieprogramma’s

Water Gamayun levert voornamelijk payloads via frauduleuze provisioning-pakketten, ondertekende .msi-bestanden en MSC-bestanden. Ze gebruiken technieken zoals het IntelliJ runnerw.exe-proces voor het uitvoeren van opdrachten, wat de stealth en effectiviteit vergroot.

De evolutie van de malwaredistributie van EncryptHub

EncryptHub kreeg aanvankelijk aandacht in juni 2024 toen ze een GitHub-repository gebruikten om verschillende malwarefamilies te verspreiden via een nep-WinRAR-website. Sindsdien zijn ze overgestapt op hun eigen infrastructuur voor staging en Command-and-Control (C&C)-bewerkingen.

Zich voordoen als legitieme software

Water Gamayun vermomt zijn malware in .msi-installatieprogramma's die zich voordoen als echte applicaties zoals DingTalk, QQTalk en VooV Meeting. Deze installatieprogramma's voeren een PowerShell-downloader uit, die next-stage payloads ophaalt en uitvoert op gecompromitteerde systemen.

SilentPrism en DarkWisp: Stealthy PowerShell-implantaten

SilentPrism is een op PowerShell gebaseerd implantaat dat persistentie creëert, meerdere shell-opdrachten uitvoert en detectie ontwijkt met behulp van anti-analysetechnieken.

DarkWisp, een andere PowerShell-backdoor, is gespecialiseerd in systeemverkenning, data-exfiltratie en het op lange termijn toegankelijk houden van geïnfecteerde machines.

C&C-communicatie en opdrachtuitvoering

Zodra de malware geïnfecteerd is, exfiltreert deze verkenningsgegevens naar de C&C-server en komt in een voortdurende lus terecht, wachtend op opdrachten via TCP-poort 8080. Opdrachten komen binnen in de vorm COMMAND|, wat zorgt voor voortdurende interactie en controle over het systeem van het slachtoffer.

MSC EvilTwin Loader: De Rhadamanthys Stealer inzetten

Een van de meest zorgwekkende payloads in deze aanvalsketen is de MSC EvilTwin-loader, die CVE-2025-26633 exploiteert om schadelijke .msc-bestanden uit te voeren. Dit leidt uiteindelijk tot de implementatie van de Rhadamanthys Stealer , een bekende malware die is ontworpen voor gegevensdiefstal.

Uitbreiding van het arsenaal: meer stealers en aangepaste varianten

Water Gamayun vertrouwt niet alleen op Rhadamanthys. Ze distribueren ook StealC en drie aangepaste PowerShell-gebaseerde stealers: EncryptHub Stealer-varianten A, B en C. Deze varianten, gebaseerd op de open-source Kematian Stealer, extraheren uitgebreide systeemgegevens, waaronder anti-malwaredetails, geïnstalleerde software, netwerkconfiguraties en actieve applicaties.

Targeting van cryptocurrency en gevoelige gegevens

De stealer-malware verzamelt een breed scala aan inloggegevens, waaronder wifi-wachtwoorden, Windows-productcodes, browsergegevens en klembordgeschiedenis. Het zoekt met name expliciet naar bestanden die gerelateerd zijn aan cryptocurrency-wallets, wat duidt op een intentie om herstelzinnen en financiële activa te oogsten.

Technieken om van het land te leven voor stealth

Een unieke eigenschap van een EncryptHub Stealer-variant is het gebruik van een living-off-the-land binary (LOLBin)-techniek. Het maakt gebruik van IntelliJ's runnerw.exe om de uitvoering van externe PowerShell-scripts te proxyen, wat de activiteit ervan verder verhult.

Malware verspreiden via meerdere kanalen

Er is ontdekt dat de bedreigende MSI-pakketten en binaire droppers van Water Gamayun nog meer malwarefamilies verspreiden, waaronder de Lumma Stealer , Amadey en verschillende clippers die zich richten op cryptovaluta.

C&C-infrastructuur: externe besturing via PowerShell

Analyse van Water Gamayun's C&C-infrastructuur (met name 82.115.223[.]182) heeft onthuld dat ze PowerShell-scripts gebruiken om de AnyDesk-software te downloaden en uit te voeren voor externe toegang. Ze sturen ook Base64-gecodeerde externe opdrachten naar slachtoffermachines voor naadloze controle.

Adaptief en persistent: het bedreigingslandschap van Water Gamayun

Water Gamayun's gebruik van meerdere aanvalsvectoren, waaronder ondertekende MSI-bestanden, LOLBins en aangepaste payloads, benadrukt zijn aanpassingsvermogen bij het schenden van systemen. Zijn geavanceerde C&C-infrastructuur stelt het in staat om op lange termijn persistentie te behouden terwijl het forensisch onderzoek ontwijkt.

CVE-2025-26633 kwetsbaarheid Video

Tip: Zet je geluid AAN en bekijk de video in de modus Volledig scherm.

Trending

Meest bekeken

Bezig met laden...