Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Vulnerabilidade CVE-2025-26633 Vulnerability

CVE-2025-26633 Vulnerability

Por Mezo em Vulnerabilidade, Ameaça Persistente Avançada (APT)
Traduzir Para:
Português

Water Gamayun tem explorado ativamente CVE-2025-26633 (também conhecido como MSC EvilTwin), uma vulnerabilidade na estrutura do Microsoft Management Console (MMC), para executar malware usando arquivos desonestos do Microsoft Console (.msc).

Novos Backdoors: SilentPrism e DarkWisp

Os cibercriminosos por trás desse ataque de dia zero implantaram dois backdoors sofisticados — SilentPrism e DarkWisp. Essas ferramentas facilitam a persistência, o reconhecimento do sistema e o controle remoto, tornando-as ativos poderosos para espionagem e roubo de dados. A operação foi atribuída a um grupo de hackers vinculado à Rússia conhecido como Water Gamayun, também chamado de EncryptHub e LARVA-208.

Métodos de Ataque: Provisionamento de Pacotes e Instaladores MSI

O Water Gamayun entrega principalmente payloads por meio de pacotes de provisionamento fraudulentos, arquivos .msi assinados e arquivos MSC. Eles empregam técnicas como o processo IntelliJ runnerw.exe para execução de comando, aumentando a furtividade e a eficácia.

A Evolução da Distribuição de Malware pelo EncryptHub

Inicialmente, o EncryptHub ganhou atenção em junho de 2024, quando eles usaram um repositório GitHub para distribuir várias famílias de malware por meio de um site WinRAR falso. Desde então, eles mudaram para sua própria infraestrutura para operações de preparação e comando e controle (C&C).

Disfarçado como um Software Legítimo

O Water Gamayun disfarça seu malware dentro de instaladores .msi se passando por aplicativos genuínos como DingTalk, QQTalk e VooV Meeting. Esses instaladores executam um downloader do PowerShell, buscando e executando payloads de próximo estágio em sistemas comprometidos.

SilentPrism e DarkWisp: Implantes Furtivos do PowerShell

SilentPrism é um implante baseado em PowerShell que estabelece persistência, executa vários comandos de shell e evita detecção usando técnicas antianálise.

DarkWisp, outro backdoor do PowerShell, é especializado em reconhecimento de sistemas, exfiltração de dados e manutenção de acesso de longo prazo a máquinas infectadas.

Comunicação C&C e Execução de Comandos

Uma vez infectado, o malware extrai dados de reconhecimento para o servidor C&C e entra em um loop contínuo, aguardando comandos via porta TCP 8080. Os comandos chegam no formato COMMAND|, garantindo interação e controle contínuos sobre o sistema da vítima.

MSC EvilTwin Loader: Implantando o Rhadamanthys Stealer

Um dos payloads mais preocupantes nessa cadeia de ataque é o carregador MSC EvilTwin, que explora o CVE-2025-26633 para executar arquivos .msc maliciosos. Isso, em última análise, leva à implantação do Rhadamanthys Stealer, um malware bem conhecido, projetado para roubo de dados.

Expandindo o Arsenal: Outros Stealers e Variantes Personalizadas

A Water Gamayun não depende somente do Rhadamanthys. Eles também distribuem o StealC e três stealers personalizados baseados em PowerShell — variantes A, B e C do EncryptHub Stealer. Essas variantes, baseadas no Kematian Stealer de código aberto, extraem dados extensivos do sistema, incluindo detalhes antimalware, software instalado, configurações de rede e aplicativos em execução.

Visando Cripto-Moedas e Dados Sensíveis

Um malware stealer reúne uma ampla gama de credenciais, incluindo senhas de Wi-Fi, chaves de produto do Windows, dados do navegador e histórico da área de transferência. Notavelmente, ele pesquisa explicitamente por arquivos relacionados a carteiras de criptomoedas, indicando uma intenção de coletar frases de recuperação e ativos financeiros.

Técnicas de Living-off-the-Land para Furtividade

Um recurso exclusivo de uma variante do EncryptHub Stealer é o uso de uma técnica living-off-the-land binary (LOLBin). Ele aproveita o runnerw.exe do IntelliJ para fazer proxy da execução de scripts remotos do PowerShell, ofuscando ainda mais sua atividade.

Propagação de Malware por Meio de Vários Canais

Os pacotes MSI ameaçadores e droppers binários do Water Gamayun foram encontrados distribuindo famílias de malware adicionais, incluindo o Lumma Stealer, o Amadey e vários clippers focados em criptomoedas.

Infraestrutura C&C: Controle Remoto via PowerShell

A análise da infraestrutura C&C da Water Gamayun (notavelmente 82.115.223[.]182) revelou que eles usam scripts do PowerShell para baixar e executar o software AnyDesk para acesso remoto. Eles também enviam comandos remotos codificados em Base64 para máquinas vítimas para controle contínuo.

Adaptável e Persistente: A Paisagem de Ameaças do Water Gamayun

O uso de múltiplos vetores de ataque pela Water Gamayun, incluindo arquivos MSI assinados, LOLBins e payloads personalizados, destaca sua adaptabilidade em sistemas de violação. Sua sofisticada infraestrutura C&C permite que ela mantenha persistência de longo prazo enquanto evita investigações forenses.

CVE-2025-26633 Vulnerability Vídeo

Dica: Ligue o som e assistir o vídeo em modo de tela cheia.

Tendendo

Mais visto

Carregando...