Chyba zabezpečenia CVE-2025-26633

Do roku Mezo v roku Zraniteľnosť, Pokročilá perzistentná hrozba (APT)

Preložiť do:

Water Gamayun aktívne využíva CVE-2025-26633 (aka MSC EvilTwin), zraniteľnosť v rámci Microsoft Management Console (MMC), na spustenie malvéru pomocou nečestných súborov Microsoft Console (.msc).

Obsah

Nové zadné vrátka: SilentPrism a DarkWisp

Kyberzločinci stojaci za týmto zero-day útokom nasadili dve sofistikované zadné vrátka – SilentPrism a DarkWisp. Tieto nástroje uľahčujú vytrvalosť, prieskum systému a diaľkové ovládanie, čo z nich robí silné prostriedky na špionáž a krádež údajov. Operácia bola pripísaná hackerskej skupine napojenej na Rusko známej ako Water Gamayun, nazývanej aj EncryptHub a LARVA-208.

Metódy útoku: Poskytovanie balíkov a inštalačné programy MSI

Water Gamayun primárne dodáva užitočné zaťaženia prostredníctvom podvodných provizórnych balíkov, podpísaných súborov .msi a súborov MSC. Používajú techniky ako proces IntelliJ runnerw.exe na vykonávanie príkazov, čím zvyšujú utajenie a efektivitu.

Vývoj distribúcie malvéru EncryptHub

Spočiatku EncryptHub získal pozornosť v júni 2024, keď použil úložisko GitHub na distribúciu rôznych rodín malvéru prostredníctvom falošnej webovej stránky WinRAR. Odvtedy sa preorientovali na vlastnú infraštruktúru na prípravu a operácie velenia a riadenia (C&C).

Vydáva sa za legitímny softvér

Water Gamayun maskuje svoj malvér v rámci inštalátorov .msi, ktorí sa tvária ako originálne aplikácie ako DingTalk, QQTalk a VooV Meeting. Tieto inštalačné programy spustia sťahovanie PowerShell, načítajú a spustia užitočné zaťaženia ďalšej fázy na napadnutých systémoch.

SilentPrism a DarkWisp: Stealthy PowerShell Implants

SilentPrism je implantát založený na PowerShell, ktorý vytvára vytrvalosť, vykonáva viacero príkazov shellu a vyhýba sa detekcii pomocou antianalytických techník.

DarkWisp, ďalšie backdoor PowerShell, sa špecializuje na prieskum systému, exfiltráciu dát a udržiavanie dlhodobého prístupu k infikovaným počítačom.

Komunikácia C&C a vykonávanie príkazov

Po infikovaní preniká malvér prieskumnými dátami na server C&C a vstupuje do nepretržitej slučky, kde čaká na príkazy cez port TCP 8080. Príkazy prichádzajú vo formáte COMMAND|, čím sa zabezpečuje nepretržitá interakcia a kontrola nad systémom obete.

MSC EvilTwin Loader: Nasadenie Rhadamanthys Stealer

Jedným z najviac znepokojujúcich dát v tomto reťazci útokov je zavádzač MSC EvilTwin, ktorý využíva CVE-2025-26633 na spúšťanie škodlivých súborov .msc. To nakoniec vedie k nasadeniu Rhadamanthys Stealer , známeho malvéru určeného na krádež údajov.

Rozšírenie arzenálu: Viac zlodejov a vlastných variantov

Water Gamayun sa nespolieha len na Rhadamanthys. Distribuujú tiež StealC a tri vlastné krádeže založené na PowerShell – EncryptHub Stealer varianty A, B a C. Tieto varianty, založené na open-source Kematian Stealer, extrahujú rozsiahle systémové dáta vrátane podrobností o antimalvéri, nainštalovanom softvéri, sieťových konfiguráciách a spustených aplikáciách.

Zacielenie na kryptomeny a citlivé údaje

Zlodejský malvér zhromažďuje širokú škálu poverení vrátane hesiel Wi-Fi, produktových kľúčov systému Windows, údajov prehliadača a histórie schránky. Najmä vyhľadáva explicitne súbory súvisiace s kryptomenovými peňaženkami, čo naznačuje zámer zbierať frázy a finančné aktíva.

Techniky života mimo krajiny pre utajenie

Jedinečnou vlastnosťou jedného variantu EncryptHub Stealer je použitie binárnej techniky living-off-the-land (LOLBin). Využíva runnerw.exe IntelliJ na proxy vykonávanie vzdialených skriptov PowerShell, čím ďalej zahmlieva jeho aktivitu.

Šírenie malvéru prostredníctvom viacerých kanálov

Zistilo sa, že hrozivé balíčky MSI a binárne kvapkadlá Water Gamayun distribuujú ďalšie rodiny škodlivého softvéru, vrátane Lumma Stealer , Amadey a rôznych strihačov zameraných na kryptomeny.

C&C Infrastructure: Diaľkové ovládanie cez PowerShell

Analýza infraštruktúry C&C spoločnosti Water Gamayun (najmä 82.115.223[.]182) odhalila, že používajú skripty PowerShell na stiahnutie a spustenie softvéru AnyDesk na vzdialený prístup. Posielajú tiež vzdialené príkazy zakódované v Base64 do počítačov obetí pre bezproblémové ovládanie.

Adaptívny a perzistentný: Krajina hrozieb vodného Gamayuna

Použitie viacerých vektorov útokov, vrátane podpísaných súborov MSI, LOLBinov a vlastných užitočných zaťažení, zvýrazňuje Water Gamayun jeho prispôsobivosť pri porušovaní systémov. Jeho sofistikovaná C&C infraštruktúra mu umožňuje udržať si dlhodobú vytrvalosť a zároveň sa vyhýbať forenzným vyšetrovaniam.