Попуст за више лиценци
Тхреат Датабасе Рањивост ЦВЕ-2025-26633 Рањивост

ЦВЕ-2025-26633 Рањивост

До Mezo. у Рањивост, Напредна трајна претња (АПТ)
Преведи на:
Српски

Ватер Гамаиун је активно искоришћавао ЦВЕ-2025-26633 (ака МСЦ ЕвилТвин), рањивост у оквиру Мицрософт Манагемент Цонсоле (ММЦ), за извршавање злонамерног софтвера помоћу лажних датотека Мицрософт конзоле (.мсц).

Нова позадинска врата: СилентПрисм и ДаркВисп

Сајбер-криминалци који стоје иза овог напада нултог дана су применили два софистицирана позадинска врата — СилентПрисм и ДаркВисп. Ови алати олакшавају упорност, извиђање система и даљинско управљање, што их чини моћним средствима за шпијунажу и крађу података. Операција је приписана хакерској групи која је повезана са Русијом, познатој као Ватер Гамаиун, која се такође зове ЕнцриптХуб и ЛАРВА-208.

Методе напада: Пакети за обезбеђивање и МСИ инсталатери

Ватер Гамаиун првенствено испоручује корисне податке кроз лажне пакете за обезбеђивање, потписане .мси датотеке и МСЦ датотеке. Они користе технике попут ИнтеллиЈ руннерв.еке процеса за извршавање команди, повећавајући прикривеност и ефикасност.

Еволуција ЕнцриптХуб-ове дистрибуције злонамерног софтвера

У почетку, ЕнцриптХуб је привукао пажњу у јуну 2024. када су користили ГитХуб спремиште за дистрибуцију различитих породица злонамерног софтвера преко лажне ВинРАР веб локације. Од тада су се пребацили на сопствену инфраструктуру за постављање и командно-контролне (Ц&Ц) операције.

Маскирање у легитиман софтвер

Ватер Гамаиун прикрива свој малвер унутар .мси инсталатера представљајући се као оригиналне апликације као што су ДингТалк, ККТалк и ВооВ Меетинг. Ови инсталатери извршавају програм за преузимање ПоверСхелл-а, преузимајући и покрећући корисна оптерећења следеће фазе на компромитованим системима.

СилентПрисм и ДаркВисп: Стеалтхи ПоверСхелл имплантати

СилентПрисм је имплант заснован на ПоверСхелл-у који успоставља постојаност, извршава више команди љуске и избегава откривање помоћу техника против анализе.

ДаркВисп, још један ПоверСхелл бацкдоор, специјализован је за извиђање система, ексфилтрацију података и одржавање дугорочног приступа зараженим машинама.

Ц&Ц комуникација и извршење команди

Једном заражен, малвер ексфилтрира податке извиђања до Ц&Ц сервера и улази у континуирану петљу, чекајући команде преко ТЦП порта 8080. Команде стижу у формату ЦОММАНД|<басе64_енцодед_цомманд>, обезбеђујући сталну интеракцију и контролу над системом жртве.

МСЦ ЕвилТвин Лоадер: Примена Рхадамантхис Стеалер-а

Један од најзабрињавајућих корисних оптерећења у овом ланцу напада је МСЦ ЕвилТвин лоадер, који користи ЦВЕ-2025-26633 за извршавање злонамерних .мсц датотека. Ово на крају доводи до примене Рхадамантхис Стеалер-а , добро познатог малвера дизајнираног за крађу података.

Проширивање Арсенала: Више крадљиваца и прилагођених варијанти

Водени Гамајун се не ослања само на Радамантис. Они такође дистрибуирају СтеалЦ и три прилагођена крадљивача заснована на ПоверСхелл-у — ЕнцриптХуб Стеалер варијанте А, Б и Ц. Ове варијанте, засноване на Кематиан Стеалер-у отвореног кода, издвајају обимне системске податке, укључујући детаље о заштити од малвера, инсталирани софтвер, мрежне конфигурације и покренуте апликације.

Циљање криптовалуте и осетљивих података

Малвер за крађу прикупља широк спектар акредитива, укључујући лозинке за Ви-Фи, кључеве производа за Виндовс, податке прегледача и историју међуспремника. Посебно, експлицитно тражи датотеке повезане са новчаницима криптовалута, што указује на намеру да прикупи фразе за опоравак и финансијска средства.

Технике живота ван земље за стеалтх

Јединствена карактеристика једне варијанте ЕнцриптХуб Стеалер-а је његова употреба бинарне технике живота ван земље (ЛОЛБин). Користи ИнтеллиЈ-ов руннерв.еке за проки извршавање удаљених ПоверСхелл скрипти, додатно замагљујући његову активност.

Ширење злонамерног софтвера преко више канала

Утврђено је да претећи МСИ пакети Ватер Гамаиун-а и бинарни дроппери дистрибуирају додатне породице малвера, укључујући Лумма Стеалер , Амадеи и разне клипере фокусиране на криптовалуте.

Ц&Ц инфраструктура: Даљинско управљање преко ПоверСхелл-а

Анализа Ватер Гамаиун-ове Ц&Ц инфраструктуре (посебно 82.115.223[.]182) је открила да они користе ПоверСхелл скрипте за преузимање и извршавање АниДеск софтвера за даљински приступ. Они такође шаљу даљинске команде кодиране у Басе64 машинама жртве за беспрекорну контролу.

Прилагодљив и упоран: Водени Гамајунов пејзаж претње

Ватер Гамаиун-ова употреба вишеструких вектора напада, укључујући потписане МСИ датотеке, ЛОЛБ-ове и прилагођена оптерећења, наглашава његову прилагодљивост у системима за пробијање. Његова софистицирана Ц&Ц инфраструктура омогућава му да задржи дугорочну упорност док избегава форензичке истраге.

ЦВЕ-2025-26633 Рањивост Видео

Савет: Укључите звук и гледајте видео у режиму целог екрана .

У тренду

Превара е-поште са кашњењем плаћања

Пецање, Спам
Сајбер претње се свакодневно развијају, а преваранти непрестано праве нове тактике да искористе несуђене појединце. Једна таква шема, превара е-поште са прекораченим плаћањем, напада жртве тако што их намами измишљеним тврдњама о непотраженом новцу. Разумевање како ова тактика функционише је кључно за заштиту себе и других од финансијског губитка и крађе идентитета. Откривена тактика: како...

Најгледанији

Злонамерних програма

Пецање, Спам
29,819
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...