Rabattoffert för flera licenser
Hotdatabas Sårbarhet CVE-2025-26633 Sårbarhet

CVE-2025-26633 Sårbarhet

Med Mezo år Sårbarhet, Advanced Persistent Threat (APT)
Översätt till:
Svenska

Water Gamayun har aktivt utnyttjat CVE-2025-26633 (alias MSC EvilTwin), en sårbarhet i ramverket för Microsoft Management Console (MMC), för att exekvera skadlig programvara med hjälp av falska Microsoft Console-filer (.msc).

Nya bakdörrar: SilentPrism och DarkWisp

Cyberbrottslingarna bakom denna nolldagarsattack har distribuerat två sofistikerade bakdörrar – SilentPrism och DarkWisp. Dessa verktyg underlättar uthållighet, systemspaning och fjärrkontroll, vilket gör dem till kraftfulla tillgångar för spionage och datastöld. Operationen har tillskrivits en rysklänkad hackergrupp känd som Water Gamayun, även kallad EncryptHub och LARVA-208.

Attackmetoder: Provisioneringspaket och MSI-installatörer

Water Gamayun levererar i första hand nyttolaster genom bedrägliga provisioneringspaket, signerade .msi-filer och MSC-filer. De använder tekniker som IntelliJ runnerw.exe-processen för kommandoexekvering, vilket ökar smygförmågan och effektiviteten.

Utvecklingen av EncryptHubs distribution av skadlig programvara

Inledningsvis fick EncryptHub uppmärksamhet i juni 2024 när de använde ett GitHub-förråd för att distribuera olika skadliga programfamiljer via en falsk WinRAR-webbplats. Sedan dess har de gått över till sin egen infrastruktur för iscensättning och Command-and-Control (C&C) operationer.

Maskerad som legitim programvara

Water Gamayun döljer sin skadliga programvara inom .msi-installatörer som utger sig för att vara äkta applikationer som DingTalk, QQTalk och VooV Meeting. Dessa installationsprogram kör en PowerShell-nedladdare, hämtar och kör nästa nyttolaster på komprometterade system.

SilentPrism och DarkWisp: Stealthy PowerShell-implantat

SilentPrism är ett PowerShell-baserat implantat som etablerar uthållighet, utför flera skalkommandon och undviker upptäckt med hjälp av antianalystekniker.

DarkWisp, en annan PowerShell-bakdörr, specialiserar sig på systemspaning, dataexfiltrering och upprätthållande av långtidsåtkomst till infekterade maskiner.

C&C-kommunikation och kommandoexekvering

När den väl har infekterats exfiltrerar den skadliga programvaran spaningsdata till C&C-servern och går in i en kontinuerlig loop och väntar på kommandon via TCP-port 8080. Kommandon kommer in i formatet COMMAND|, vilket säkerställer pågående interaktion och kontroll över offrets system.

MSC EvilTwin Loader: Utplacering av Rhadamanthys Stealer

En av de mest oroande nyttolasterna i denna attackkedja är MSC EvilTwin loader, som utnyttjar CVE-2025-26633 för att exekvera skadliga .msc-filer. Detta leder i slutändan till utplaceringen av Rhadamanthys Stealer , en välkänd skadlig programvara designad för datastöld.

Expandera Arsenal: Fler stjälare och anpassade varianter

Water Gamayun förlitar sig inte enbart på Rhadamanthys. De distribuerar också StealC och tre anpassade PowerShell-baserade stjälare—EncryptHub Stealer varianterna A, B och C. Dessa varianter, baserade på Kematian Stealer med öppen källkod, extraherar omfattande systemdata, inklusive anti-malware-detaljer, installerad programvara, nätverkskonfigurationer och körande applikationer.

Inriktning på kryptovaluta och känsliga data

Skadlig programvara som stjäl samlar ett brett utbud av referenser, inklusive Wi-Fi-lösenord, Windows-produktnycklar, webbläsardata och urklippshistorik. Noterbart, det söker uttryckligen efter filer relaterade till kryptovaluta plånböcker, vilket indikerar en avsikt att skörda återställningsfraser och finansiella tillgångar.

Living-off-the-Land Techniques for Stealth

En unik egenskap hos en EncryptHub Stealer-variant är dess användning av en living-off-the-land binär (LOLBin) teknik. Den utnyttjar IntelliJ:s runnerw.exe för att proxyköra exekveringen av fjärrstyrda PowerShell-skript, vilket ytterligare fördunklar dess aktivitet.

Spridning av skadlig programvara via flera kanaler

Water Gamayuns hotfulla MSI-paket och binära droppers har hittats distribuera ytterligare skadlig programvara, inklusive Lumma Stealer , Amadey och olika kryptovaluta-fokuserade klippmaskiner.

C&C Infrastructure: Fjärrkontroll via PowerShell

Analys av Water Gamayuns C&C-infrastruktur (särskilt 82.115.223[.]182) har avslöjat att de använder PowerShell-skript för att ladda ner och köra AnyDesk-mjukvaran för fjärråtkomst. De skickar också Base64-kodade fjärrkommandon till offermaskiner för sömlös kontroll.

Adaptiv och ihållande: Vatten Gamayuns hotlandskap

Vatten Gamayuns användning av flera attackvektorer, inklusive signerade MSI-filer, LOLBins och anpassade nyttolaster, framhäver dess anpassningsförmåga vid systembrott. Dess sofistikerade C&C-infrastruktur gör att den kan bibehålla långvarig uthållighet samtidigt som den undviker kriminaltekniska undersökningar.

CVE-2025-26633 Sårbarhet Video

Tips: Slå ljudet och titta på videon i helskärmsläge .

Trendigt

Mest sedda

Läser in...