Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Vulnerabilitate Vulnerabilitatea CVE-2025-26633

Vulnerabilitatea CVE-2025-26633

Până în Mezo în Vulnerabilitate, Amenințare persistentă avansată (APT)
Tradu in:
Română

Water Gamayun a exploatat în mod activ CVE-2025-26633 (alias MSC EvilTwin), o vulnerabilitate din cadrul Microsoft Management Console (MMC), pentru a executa malware folosind fișiere Microsoft Console (.msc) neconforme.

Noi uși din spate: SilentPrism și DarkWisp

Criminalii cibernetici din spatele acestui atac de zi zero au desfășurat două uși din spate sofisticate – SilentPrism și DarkWisp. Aceste instrumente facilitează persistența, recunoașterea sistemului și controlul de la distanță, făcându-le active puternice pentru spionaj și furtul de date. Operațiunea a fost atribuită unui grup de hacking legat de Rusia, cunoscut sub numele de Water Gamayun, numit și EncryptHub și LARVA-208.

Metode de atac: pachete de aprovizionare și instalatori MSI

Water Gamayun furnizează în primul rând încărcături utile prin pachete de furnizare frauduloase, fișiere .msi semnate și fișiere MSC. Ei folosesc tehnici precum procesul IntelliJ runnerw.exe pentru executarea comenzilor, sporind ascunsarea și eficacitatea.

Evoluția distribuției de programe malware din EncryptHub

Inițial, EncryptHub a atras atenția în iunie 2024, când a folosit un depozit GitHub pentru a distribui diferite familii de malware prin intermediul unui site web WinRAR fals. De atunci, au trecut la propria infrastructură pentru operațiunile de comandă și control (C&C).

Mascarating ca software legitim

Water Gamayun își ascunde malware-ul în instalatorii .msi, dând drept aplicații autentice precum DingTalk, QQTalk și VooV Meeting. Acești programe de instalare execută un program de descărcare PowerShell, preluând și rulând încărcături utile din etapa următoare pe sisteme compromise.

SilentPrism și DarkWisp: Stealthy PowerShell Implants

SilentPrism este un implant bazat pe PowerShell care stabilește persistența, execută mai multe comenzi shell și evită detectarea folosind tehnici anti-analiza.

DarkWisp, un alt backdoor PowerShell, este specializat în recunoașterea sistemului, exfiltrarea datelor și menținerea accesului pe termen lung la mașinile infectate.

Comunicarea C&C și executarea comenzii

Odată infectat, malware-ul exfiltrează datele de recunoaștere către serverul C&C și intră într-o buclă continuă, în așteptarea comenzilor prin portul TCP 8080. Comenzile ajung în format COMMAND|, asigurând interacțiunea continuă și controlul asupra sistemului victimei.

MSC EvilTwin Loader: Desfășurarea furtorului Rhadamanthys

Una dintre cele mai îngrijorătoare sarcini utile din acest lanț de atac este încărcătorul MSC EvilTwin, care exploatează CVE-2025-26633 pentru a executa fișiere .msc rău intenționate. Acest lucru duce în cele din urmă la implementarea Rhadamanthys Stealer , un binecunoscut malware conceput pentru furtul de date.

Extinderea Arsenalului: mai mulți hoți și variante personalizate

Apa Gamayun nu se bazează doar pe Rhadamanthys. Ei distribuie, de asemenea, StealC și trei furători personalizați bazați pe PowerShell — variantele EncryptHub Stealer A, B și C. Aceste variante, bazate pe Kematian Stealer cu sursă deschisă, extrag date extinse de sistem, inclusiv detalii anti-malware, software instalat, configurații de rețea și aplicații care rulează.

Direcționarea criptomonedei și a datelor sensibile

Programul malware stealer adună o gamă largă de acreditări, inclusiv parole Wi-Fi, chei de produs Windows, date browser și istoric clipboard. În special, caută în mod explicit fișiere legate de portofelele criptomonede, indicând intenția de a colecta fraze de recuperare și active financiare.

Tehnici de viață în afara pământului pentru stealth

O caracteristică unică a unei variante a EncryptHub Stealer este utilizarea unei tehnici binare care trăiesc în afara terenului (LOLBin). Utilizează runnerw.exe de la IntelliJ pentru a proxy execuția scripturilor PowerShell de la distanță, ofucând și mai mult activitatea acestuia.

Propagarea programelor malware prin mai multe canale

Pachetele amenințătoare MSI și dropperele binare ale Water Gamayun au fost găsite distribuind familii de malware suplimentare, inclusiv Lumma Stealer , Amadey și diverse dispozitive de tăiere axate pe criptomonede.

Infrastructură C&C: control de la distanță prin PowerShell

Analiza infrastructurii C&C a Water Gamayun (în special 82.115.223[.]182) a arătat că folosesc scripturi PowerShell pentru a descărca și executa software-ul AnyDesk pentru acces de la distanță. De asemenea, trimit comenzi de la distanță codificate în Base64 către mașinile victime pentru un control fără întreruperi.

Adaptiv și persistent: peisajul amenințării lui Water Gamayun

Utilizarea de către Water Gamayun a mai multor vectori de atac, inclusiv fișiere MSI semnate, LOLBins și încărcături utile personalizate, îi evidențiază adaptabilitatea în sistemele care încalcă. Infrastructura sa sofisticată C&C îi permite să mențină persistența pe termen lung, evitând în același timp investigațiile criminalistice.

Vulnerabilitatea CVE-2025-26633 Video

Sfat: porniți sunetul și vizionați videoclipul în modul Ecran complet .

Trending

Înșelătorie prin e-mail de plată întârziată

phishing, Spam
Amenințările cibernetice evoluează zilnic, iar escrocii creează în mod continuu noi tactici pentru a exploata indivizi nebănuiți. O astfel de schemă, înșelătoria prin e-mail de plată întârziată, exploatează victimele, ademenindu-le cu pretenții inventate de bani nerevendicați. Înțelegerea modului în care funcționează această tactică este crucială pentru a vă proteja pe dumneavoastră și pe...

Cele mai văzute

Se încarcă...