Уязвимость CVE-2025-26633

К Mezo году в Уязвимость, Расширенная постоянная угроза (APT) году

Перевести на:

Water Gamayun активно эксплуатирует уязвимость CVE-2025-26633 (также известную как MSC EvilTwin) в фреймворке Microsoft Management Console (MMC) для запуска вредоносного ПО с использованием поддельных файлов Microsoft Console (.msc).

Оглавление

Новые бэкдоры: SilentPrism и DarkWisp

Киберпреступники, стоящие за этой атакой нулевого дня, развернули два сложных бэкдора — SilentPrism и DarkWisp. Эти инструменты обеспечивают сохранение, разведку системы и удаленное управление, что делает их мощными инструментами для шпионажа и кражи данных. Операция была приписана связанной с Россией хакерской группе, известной как Water Gamayun, также называемой EncryptHub и LARVA-208.

Методы атаки: пакеты подготовки и установщики MSI

Water Gamayun в основном доставляет полезные нагрузки через мошеннические пакеты подготовки, подписанные файлы .msi и файлы MSC. Они используют такие методы, как процесс IntelliJ runnerw.exe для выполнения команд, что повышает скрытность и эффективность.

Эволюция распространения вредоносного ПО EncryptHub

Первоначально EncryptHub привлек внимание в июне 2024 года, когда они использовали репозиторий GitHub для распространения различных семейств вредоносных программ через поддельный веб-сайт WinRAR. С тех пор они перешли на собственную инфраструктуру для подготовки и операций Command-and-Control (C&C).

Маскировка под легальное программное обеспечение

Water Gamayun маскирует свое вредоносное ПО в установщиках .msi, выдавая себя за настоящие приложения, такие как DingTalk, QQTalk и VooV Meeting. Эти установщики запускают загрузчик PowerShell, извлекая и запуская полезные нагрузки следующего этапа на скомпрометированных системах.

SilentPrism и DarkWisp: скрытые импланты PowerShell

SilentPrism — это имплант на основе PowerShell, который обеспечивает устойчивость, выполняет несколько команд оболочки и избегает обнаружения с помощью методов антианализа.

DarkWisp, еще один бэкдор PowerShell, специализируется на разведке систем, эксфильтрации данных и поддержании долгосрочного доступа к зараженным машинам.

Связь и выполнение команд

После заражения вредоносная программа переносит разведывательные данные на сервер управления и контроля и входит в непрерывный цикл, ожидая команд через порт TCP 8080. Команды поступают в формате COMMAND|, что обеспечивает постоянное взаимодействие и контроль над системой жертвы.

MSC EvilTwin Loader: развертывание Rhadamanthys Stealer

Одной из наиболее тревожных полезных нагрузок в этой цепочке атак является загрузчик MSC EvilTwin, который использует CVE-2025-26633 для выполнения вредоносных файлов .msc. Это в конечном итоге приводит к развертыванию Rhadamanthys Stealer , известного вредоносного ПО, предназначенного для кражи данных.

Расширение арсенала: больше краж и кастомных вариантов

Water Gamayun не полагается исключительно на Rhadamanthys. Они также распространяют StealC и три специальных стайлера на основе PowerShell — EncryptHub Stealer варианты A, B и C. Эти варианты, основанные на открытом исходном коде Kematian Stealer, извлекают обширные системные данные, включая сведения об антивредоносном ПО, установленном программном обеспечении, сетевых конфигурациях и запущенных приложениях.

Нацеливание на криптовалюту и конфиденциальные данные

Вредоносное ПО для кражи собирает широкий спектр учетных данных, включая пароли Wi-Fi, ключи продуктов Windows, данные браузера и историю буфера обмена. В частности, оно явно ищет файлы, связанные с криптовалютными кошельками, что указывает на намерение собирать фразы восстановления и финансовые активы.

Методы скрытности жизни вне земли

Уникальной особенностью одного из вариантов EncryptHub Stealer является использование техники living-off-the-land binary (LOLBin). Он использует runnerw.exe от IntelliJ для прокси-выполнения удаленных скриптов PowerShell, что еще больше скрывает его активность.

Распространение вредоносного ПО по нескольким каналам

Было обнаружено, что опасные MSI-пакеты и бинарные дропперы Water Gamayun распространяют дополнительные семейства вредоносных программ, включая Lumma Stealer , Amadey и различные клипперы, ориентированные на криптовалюту.

Инфраструктура C&C: удаленное управление через PowerShell

Анализ инфраструктуры C&C Water Gamayun (в частности, 82.115.223[.]182) показал, что они используют скрипты PowerShell для загрузки и выполнения программного обеспечения AnyDesk для удаленного доступа. Они также отправляют удаленные команды в кодировке Base64 на машины жертв для бесперебойного управления.

Адаптивный и устойчивый: ландшафт угроз Воды Гамаюн

Использование Water Gamayun множественных векторов атак, включая подписанные файлы MSI, LOLBins и пользовательские полезные нагрузки, подчеркивает его адаптивность при взломе систем. Его сложная инфраструктура C&C позволяет ему поддерживать долгосрочную устойчивость, избегая при этом криминалистических расследований.