CVE-2025-26633 ਕਮਜ਼ੋਰੀ

ਵਾਟਰ ਗਮਾਯੂੰ, ਮਾਈਕ੍ਰੋਸਾਫਟ ਮੈਨੇਜਮੈਂਟ ਕੰਸੋਲ (MMC) ਫਰੇਮਵਰਕ ਵਿੱਚ ਇੱਕ ਕਮਜ਼ੋਰੀ, CVE-2025-26633 (ਉਰਫ਼ MSC EvilTwin) ਦਾ ਸਰਗਰਮੀ ਨਾਲ ਸ਼ੋਸ਼ਣ ਕਰ ਰਿਹਾ ਹੈ, ਤਾਂ ਜੋ ਠੱਗ ਮਾਈਕ੍ਰੋਸਾਫਟ ਕੰਸੋਲ (.msc) ਫਾਈਲਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਮਾਲਵੇਅਰ ਨੂੰ ਚਲਾਇਆ ਜਾ ਸਕੇ।

ਨਵੇਂ ਬੈਕਡੋਰ: ਸਾਈਲੈਂਟਪ੍ਰਿਜ਼ਮ ਅਤੇ ਡਾਰਕਵਿਸਪ

ਇਸ ਜ਼ੀਰੋ-ਡੇਅ ਹਮਲੇ ਦੇ ਪਿੱਛੇ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਨੇ ਦੋ ਅਤਿ-ਆਧੁਨਿਕ ਬੈਕਡੋਰ ਤਾਇਨਾਤ ਕੀਤੇ ਹਨ - ਸਾਈਲੈਂਟਪ੍ਰਿਜ਼ਮ ਅਤੇ ਡਾਰਕਵਿਸਪ। ਇਹ ਟੂਲ ਨਿਰੰਤਰਤਾ, ਸਿਸਟਮ ਖੋਜ ਅਤੇ ਰਿਮੋਟ ਕੰਟਰੋਲ ਦੀ ਸਹੂਲਤ ਦਿੰਦੇ ਹਨ, ਜੋ ਉਹਨਾਂ ਨੂੰ ਜਾਸੂਸੀ ਅਤੇ ਡੇਟਾ ਚੋਰੀ ਲਈ ਸ਼ਕਤੀਸ਼ਾਲੀ ਸੰਪਤੀਆਂ ਬਣਾਉਂਦੇ ਹਨ। ਇਸ ਕਾਰਵਾਈ ਦਾ ਕਾਰਨ ਇੱਕ ਰੂਸੀ-ਲਿੰਕਡ ਹੈਕਿੰਗ ਸਮੂਹ ਹੈ ਜਿਸਨੂੰ ਵਾਟਰ ਗਾਮਾਯੂੰ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਜਿਸਨੂੰ ਐਨਕ੍ਰਿਪਟਹੱਬ ਅਤੇ LARVA-208 ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ।

ਹਮਲੇ ਦੇ ਤਰੀਕੇ: ਪ੍ਰੋਵਿਜ਼ਨਿੰਗ ਪੈਕੇਜ ਅਤੇ MSI ਇੰਸਟਾਲਰ

ਵਾਟਰ ਗਮਾਯੂੰ ਮੁੱਖ ਤੌਰ 'ਤੇ ਧੋਖਾਧੜੀ ਵਾਲੇ ਪ੍ਰੋਵਿਜ਼ਨਿੰਗ ਪੈਕੇਜਾਂ, ਦਸਤਖਤ ਕੀਤੇ .msi ਫਾਈਲਾਂ ਅਤੇ MSC ਫਾਈਲਾਂ ਰਾਹੀਂ ਪੇਲੋਡ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਉਹ ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ, ਸਟੀਲਥ ਅਤੇ ਪ੍ਰਭਾਵਸ਼ੀਲਤਾ ਵਧਾਉਣ ਲਈ IntelliJ runnerw.exe ਪ੍ਰਕਿਰਿਆ ਵਰਗੀਆਂ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ।

ਇਨਕ੍ਰਿਪਟਹੱਬ ਦੇ ਮਾਲਵੇਅਰ ਵੰਡ ਦਾ ਵਿਕਾਸ

ਸ਼ੁਰੂ ਵਿੱਚ, EncryptHub ਨੇ ਜੂਨ 2024 ਵਿੱਚ ਧਿਆਨ ਖਿੱਚਿਆ ਜਦੋਂ ਉਹਨਾਂ ਨੇ ਇੱਕ ਨਕਲੀ WinRAR ਵੈੱਬਸਾਈਟ ਰਾਹੀਂ ਵੱਖ-ਵੱਖ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਨੂੰ ਵੰਡਣ ਲਈ ਇੱਕ GitHub ਰਿਪੋਜ਼ਟਰੀ ਦੀ ਵਰਤੋਂ ਕੀਤੀ। ਉਦੋਂ ਤੋਂ, ਉਹ ਸਟੇਜਿੰਗ ਅਤੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C&C) ਓਪਰੇਸ਼ਨਾਂ ਲਈ ਆਪਣੇ ਖੁਦ ਦੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਿੱਚ ਚਲੇ ਗਏ ਹਨ।

ਜਾਇਜ਼ ਸਾਫਟਵੇਅਰ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਬਦਲਣਾ

ਵਾਟਰ ਗਮਾਯੂੰ ਆਪਣੇ ਮਾਲਵੇਅਰ ਨੂੰ .msi ਇੰਸਟਾਲਰਾਂ ਦੇ ਅੰਦਰ ਛੁਪਾਉਂਦਾ ਹੈ ਜੋ DingTalk, QQTalk, ਅਤੇ VooV ਮੀਟਿੰਗ ਵਰਗੇ ਅਸਲੀ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਜੋਂ ਪੇਸ਼ ਕਰਦੇ ਹਨ। ਇਹ ਇੰਸਟਾਲਰ ਇੱਕ PowerShell ਡਾਊਨਲੋਡਰ ਚਲਾਉਂਦੇ ਹਨ, ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ 'ਤੇ ਅਗਲੇ-ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹਨ ਅਤੇ ਚਲਾਉਂਦੇ ਹਨ।

ਸਾਈਲੈਂਟਪ੍ਰਿਜ਼ਮ ਅਤੇ ਡਾਰਕਵਿਸਪ: ਸਟੀਲਥੀ ਪਾਵਰਸ਼ੈਲ ਇਮਪਲਾਂਟ

ਸਾਈਲੈਂਟਪ੍ਰਿਜ਼ਮ ਇੱਕ ਪਾਵਰਸ਼ੈਲ-ਅਧਾਰਤ ਇਮਪਲਾਂਟ ਹੈ ਜੋ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਦਾ ਹੈ, ਕਈ ਸ਼ੈੱਲ ਕਮਾਂਡਾਂ ਨੂੰ ਲਾਗੂ ਕਰਦਾ ਹੈ, ਅਤੇ ਐਂਟੀ-ਵਿਸ਼ਲੇਸ਼ਣ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਖੋਜ ਤੋਂ ਬਚਦਾ ਹੈ।

ਡਾਰਕਵਿਸਪ, ਇੱਕ ਹੋਰ ਪਾਵਰਸ਼ੈਲ ਬੈਕਡੋਰ, ਸਿਸਟਮ ਰੀਕੋਨੀਸੈਂਸ, ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ, ਅਤੇ ਸੰਕਰਮਿਤ ਮਸ਼ੀਨਾਂ ਤੱਕ ਲੰਬੇ ਸਮੇਂ ਦੀ ਪਹੁੰਚ ਬਣਾਈ ਰੱਖਣ ਵਿੱਚ ਮਾਹਰ ਹੈ।

ਸੀ ਐਂਡ ਸੀ ਸੰਚਾਰ ਅਤੇ ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ

ਇੱਕ ਵਾਰ ਸੰਕਰਮਿਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਮਾਲਵੇਅਰ ਖੋਜ ਡੇਟਾ ਨੂੰ C&C ਸਰਵਰ ਵਿੱਚ ਫੈਲਾਉਂਦਾ ਹੈ ਅਤੇ TCP ਪੋਰਟ 8080 ਰਾਹੀਂ ਕਮਾਂਡਾਂ ਦੀ ਉਡੀਕ ਕਰਦੇ ਹੋਏ ਇੱਕ ਨਿਰੰਤਰ ਲੂਪ ਵਿੱਚ ਦਾਖਲ ਹੁੰਦਾ ਹੈ। ਕਮਾਂਡਾਂ COMMAND| ਦੇ ਫਾਰਮੈਟ ਵਿੱਚ ਆਉਂਦੀਆਂ ਹਨ, ਜੋ ਪੀੜਤ ਦੇ ਸਿਸਟਮ 'ਤੇ ਨਿਰੰਤਰ ਪਰਸਪਰ ਪ੍ਰਭਾਵ ਅਤੇ ਨਿਯੰਤਰਣ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦੀਆਂ ਹਨ।

ਐਮਐਸਸੀ ਈਵਿਲਟਵਿਨ ਲੋਡਰ: ਰੈਡਾਮੈਂਥਿਸ ਸਟੀਲਰ ਨੂੰ ਤੈਨਾਤ ਕਰਨਾ

ਇਸ ਹਮਲੇ ਦੀ ਲੜੀ ਵਿੱਚ ਸਭ ਤੋਂ ਵੱਧ ਚਿੰਤਾਜਨਕ ਪੇਲੋਡਾਂ ਵਿੱਚੋਂ ਇੱਕ MSC EvilTwin ਲੋਡਰ ਹੈ, ਜੋ ਕਿ CVE-2025-26633 ਦੀ ਵਰਤੋਂ ਖਤਰਨਾਕ .msc ਫਾਈਲਾਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਕਰਦਾ ਹੈ। ਇਹ ਅੰਤ ਵਿੱਚ Rhadamanthys Stealer ਦੀ ਤੈਨਾਤੀ ਵੱਲ ਲੈ ਜਾਂਦਾ ਹੈ , ਜੋ ਕਿ ਡੇਟਾ ਚੋਰੀ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਇੱਕ ਜਾਣਿਆ-ਪਛਾਣਿਆ ਮਾਲਵੇਅਰ ਹੈ।

ਸ਼ਸਤਰ ਦਾ ਵਿਸਤਾਰ: ਹੋਰ ਚੋਰੀ ਕਰਨ ਵਾਲੇ ਅਤੇ ਕਸਟਮ ਰੂਪ

ਵਾਟਰ ਗਮਾਯੂੰ ਸਿਰਫ਼ ਰਾਡਾਮੈਂਥੀ 'ਤੇ ਨਿਰਭਰ ਨਹੀਂ ਕਰਦਾ। ਉਹ ਸਟੀਲਸੀ ਅਤੇ ਤਿੰਨ ਕਸਟਮ ਪਾਵਰਸ਼ੈਲ-ਅਧਾਰਿਤ ਸਟੀਲਰ - ਐਨਕ੍ਰਿਪਟਹਬ ਸਟੀਲਰ ਵੇਰੀਐਂਟ ਏ, ਬੀ ਅਤੇ ਸੀ ਵੀ ਵੰਡਦੇ ਹਨ। ਇਹ ਵੇਰੀਐਂਟ, ਓਪਨ-ਸੋਰਸ ਕੇਮੇਟੀਅਨ ਸਟੀਲਰ 'ਤੇ ਅਧਾਰਤ, ਵਿਆਪਕ ਸਿਸਟਮ ਡੇਟਾ ਐਕਸਟਰੈਕਟ ਕਰਦੇ ਹਨ, ਜਿਸ ਵਿੱਚ ਐਂਟੀ-ਮਾਲਵੇਅਰ ਵੇਰਵੇ, ਸਥਾਪਿਤ ਸੌਫਟਵੇਅਰ, ਨੈੱਟਵਰਕ ਕੌਂਫਿਗਰੇਸ਼ਨ ਅਤੇ ਚੱਲ ਰਹੇ ਐਪਲੀਕੇਸ਼ਨ ਸ਼ਾਮਲ ਹਨ।

ਕ੍ਰਿਪਟੋਕਰੰਸੀ ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ

ਚੋਰੀ ਕਰਨ ਵਾਲਾ ਮਾਲਵੇਅਰ ਵਾਈ-ਫਾਈ ਪਾਸਵਰਡ, ਵਿੰਡੋਜ਼ ਉਤਪਾਦ ਕੁੰਜੀਆਂ, ਬ੍ਰਾਊਜ਼ਰ ਡੇਟਾ ਅਤੇ ਕਲਿੱਪਬੋਰਡ ਇਤਿਹਾਸ ਸਮੇਤ ਕਈ ਤਰ੍ਹਾਂ ਦੇ ਪ੍ਰਮਾਣ ਪੱਤਰ ਇਕੱਠੇ ਕਰਦਾ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਇਹ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਵਾਲੇਟ ਨਾਲ ਸਬੰਧਤ ਫਾਈਲਾਂ ਦੀ ਸਪਸ਼ਟ ਤੌਰ 'ਤੇ ਖੋਜ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ ਰਿਕਵਰੀ ਵਾਕਾਂਸ਼ਾਂ ਅਤੇ ਵਿੱਤੀ ਸੰਪਤੀਆਂ ਨੂੰ ਇਕੱਠਾ ਕਰਨ ਦੇ ਇਰਾਦੇ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।

ਚੋਰੀ-ਛਿਪੇ ਰਹਿਣ ਲਈ ਜ਼ਮੀਨ ਤੋਂ ਬਾਹਰ ਰਹਿਣ ਦੀਆਂ ਤਕਨੀਕਾਂ

ਇੱਕ EncryptHub Stealer ਵੇਰੀਐਂਟ ਦੀ ਇੱਕ ਵਿਲੱਖਣ ਵਿਸ਼ੇਸ਼ਤਾ ਇਸਦੀ ਇੱਕ ਲਿਵਿੰਗ-ਆਫ-ਦ-ਲੈਂਡ ਬਾਈਨਰੀ (LOLBin) ਤਕਨੀਕ ਦੀ ਵਰਤੋਂ ਹੈ। ਇਹ ਰਿਮੋਟ ਪਾਵਰਸ਼ੈਲ ਸਕ੍ਰਿਪਟਾਂ ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਪ੍ਰੌਕਸੀ ਕਰਨ ਲਈ IntelliJ ਦੇ runnerw.exe ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ, ਇਸਦੀ ਗਤੀਵਿਧੀ ਨੂੰ ਹੋਰ ਵੀ ਅਸਪਸ਼ਟ ਬਣਾਉਂਦਾ ਹੈ।

ਕਈ ਚੈਨਲਾਂ ਰਾਹੀਂ ਮਾਲਵੇਅਰ ਦਾ ਪ੍ਰਚਾਰ ਕਰਨਾ

ਵਾਟਰ ਗਮਾਯੂੰ ਦੇ ਖਤਰਨਾਕ MSI ਪੈਕੇਜ ਅਤੇ ਬਾਈਨਰੀ ਡਰਾਪਰ ਵਾਧੂ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਨੂੰ ਵੰਡਦੇ ਹੋਏ ਪਾਏ ਗਏ ਹਨ, ਜਿਸ ਵਿੱਚ ਲੂਮਾ ਸਟੀਲਰ , ਅਮਾਡੇ ਅਤੇ ਵੱਖ-ਵੱਖ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ-ਕੇਂਦ੍ਰਿਤ ਕਲਿੱਪਰ ਸ਼ਾਮਲ ਹਨ।

ਸੀ ਐਂਡ ਸੀ ਬੁਨਿਆਦੀ ਢਾਂਚਾ: ਪਾਵਰਸ਼ੈਲ ਰਾਹੀਂ ਰਿਮੋਟ ਕੰਟਰੋਲ

ਵਾਟਰ ਗਮਾਯੂੰ ਦੇ ਸੀ ਐਂਡ ਸੀ ਬੁਨਿਆਦੀ ਢਾਂਚੇ (ਖਾਸ ਤੌਰ 'ਤੇ 82.115.223[.]182) ਦੇ ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਪਤਾ ਲੱਗਾ ਹੈ ਕਿ ਉਹ ਰਿਮੋਟ ਐਕਸੈਸ ਲਈ ਐਨੀਡੈਸਕ ਸੌਫਟਵੇਅਰ ਨੂੰ ਡਾਊਨਲੋਡ ਅਤੇ ਚਲਾਉਣ ਲਈ ਪਾਵਰਸ਼ੈਲ ਸਕ੍ਰਿਪਟਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ। ਉਹ ਬੇਸ64-ਏਨਕੋਡਡ ਰਿਮੋਟ ਕਮਾਂਡਾਂ ਨੂੰ ਪੀੜਤ ਮਸ਼ੀਨਾਂ ਨੂੰ ਸਹਿਜ ਨਿਯੰਤਰਣ ਲਈ ਵੀ ਭੇਜਦੇ ਹਨ।

ਅਨੁਕੂਲ ਅਤੇ ਸਥਾਈ: ਪਾਣੀ ਗਮਾਯੂੰ ਦਾ ਖ਼ਤਰੇ ਵਾਲਾ ਦ੍ਰਿਸ਼

ਵਾਟਰ ਗਮਾਯੂੰ ਦੁਆਰਾ ਦਸਤਖਤ ਕੀਤੇ MSI ਫਾਈਲਾਂ, LOLBins, ਅਤੇ ਕਸਟਮ ਪੇਲੋਡ ਸਮੇਤ ਕਈ ਹਮਲੇ ਦੇ ਵੈਕਟਰਾਂ ਦੀ ਵਰਤੋਂ, ਉਲੰਘਣਾ ਪ੍ਰਣਾਲੀਆਂ ਵਿੱਚ ਇਸਦੀ ਅਨੁਕੂਲਤਾ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ। ਇਸਦਾ ਸੂਝਵਾਨ C&C ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਇਸਨੂੰ ਫੋਰੈਂਸਿਕ ਜਾਂਚਾਂ ਤੋਂ ਬਚਦੇ ਹੋਏ ਲੰਬੇ ਸਮੇਂ ਦੀ ਸਥਿਰਤਾ ਬਣਾਈ ਰੱਖਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।

CVE-2025-26633 ਕਮਜ਼ੋਰੀ ਵੀਡੀਓ

ਸੁਝਾਅ: ਆਪਣੀ ਆਵਾਜ਼ ਨੂੰ ਚਾਲੂ ਕਰੋ ਅਤੇ ਪੂਰੀ ਸਕ੍ਰੀਨ ਮੋਡ ਵਿੱਚ ਵੀਡੀਓ ਦੇਖੋ ।