CVE-2025-26633 பாதிப்பு
மைக்ரோசாஃப்ட் மேனேஜ்மென்ட் கன்சோல் (MMC) கட்டமைப்பில் உள்ள ஒரு பாதிப்புக்குள்ளான CVE-2025-26633 (aka MSC EvilTwin) ஐ, வாட்டர் கமயூன், போலி மைக்ரோசாஃப்ட் கன்சோல் (.msc) கோப்புகளைப் பயன்படுத்தி தீம்பொருளை இயக்க தீவிரமாகப் பயன்படுத்தி வருகிறது.
பொருளடக்கம்
புதிய பின்னணிகள்: சைலண்ட்ப்ரிசம் மற்றும் டார்க்விஸ்ப்
இந்த பூஜ்ஜிய-நாள் தாக்குதலுக்குப் பின்னால் உள்ள சைபர் குற்றவாளிகள் இரண்டு அதிநவீன பின்கதவுகளைப் பயன்படுத்தியுள்ளனர் - சைலண்ட்பிரிசம் மற்றும் டார்க்விஸ்ப். இந்த கருவிகள் நிலைத்தன்மை, அமைப்பு உளவு பார்த்தல் மற்றும் ரிமோட் கண்ட்ரோல் ஆகியவற்றை எளிதாக்குகின்றன, இதனால் அவை உளவு பார்த்தல் மற்றும் தரவு திருட்டுக்கு சக்திவாய்ந்த சொத்துக்களாக அமைகின்றன. இந்த நடவடிக்கை வாட்டர் கமாயுன் எனப்படும் ரஷ்ய-தொடர்புடைய ஹேக்கிங் குழுவால் செய்யப்பட்டது, இது என்க்ரிப்ட்ஹப் மற்றும் LARVA-208 என்றும் அழைக்கப்படுகிறது.
தாக்குதல் முறைகள்: தொகுப்புகளை வழங்குதல் மற்றும் MSI நிறுவிகள்
வாட்டர் கமயூன் முதன்மையாக மோசடியான வழங்கல் தொகுப்புகள், கையொப்பமிடப்பட்ட .msi கோப்புகள் மற்றும் MSC கோப்புகள் மூலம் பேலோடுகளை வழங்குகிறது. கட்டளை செயல்படுத்தலுக்காக, திருட்டுத்தனம் மற்றும் செயல்திறனை அதிகரிக்க, IntelliJ runnerw.exe செயல்முறை போன்ற நுட்பங்களைப் பயன்படுத்துகின்றன.
EncryptHub இன் மால்வேர் விநியோகத்தின் பரிணாமம்
ஆரம்பத்தில், ஜூன் 2024 இல், போலி WinRAR வலைத்தளம் வழியாக பல்வேறு தீம்பொருள் குடும்பங்களை விநியோகிக்க GitHub களஞ்சியத்தைப் பயன்படுத்தியபோது EncryptHub கவனத்தை ஈர்த்தது. அதன் பிறகு, அவர்கள் நிலைப்படுத்தல் மற்றும் கட்டளை மற்றும் கட்டுப்பாடு (C&C) செயல்பாடுகளுக்காக தங்கள் சொந்த உள்கட்டமைப்பிற்கு மாறிவிட்டனர்.
சட்டபூர்வமான மென்பொருளாக மாறுவேடம் போடுதல்
வாட்டர் கமயூன், டிங்டாக், க்யூக்யூடாக் மற்றும் வூவ் மீட்டிங் போன்ற உண்மையான பயன்பாடுகளாகக் காட்டிக் கொண்டு, .msi நிறுவிகளுக்குள் அதன் தீம்பொருளை மறைக்கிறது. இந்த நிறுவிகள் ஒரு பவர்ஷெல் பதிவிறக்கியை இயக்குகின்றன, சமரசம் செய்யப்பட்ட கணினிகளில் அடுத்த கட்ட பேலோடுகளைப் பெற்று இயக்குகின்றன.
சைலண்ட்ப்ரிசம் மற்றும் டார்க்விஸ்ப்: திருட்டுத்தனமான பவர்ஷெல் உள்வைப்புகள்
சைலண்ட்ப்ரிசம் என்பது பவர்ஷெல் அடிப்படையிலான உள்வைப்பு ஆகும், இது நிலைத்தன்மையை நிறுவுகிறது, பல ஷெல் கட்டளைகளை செயல்படுத்துகிறது மற்றும் பகுப்பாய்வு எதிர்ப்பு நுட்பங்களைப் பயன்படுத்தி கண்டறிதலைத் தவிர்க்கிறது.
மற்றொரு பவர்ஷெல் பின்கதவான டார்க்விஸ்ப், கணினி உளவு பார்த்தல், தரவு வெளியேற்றம் மற்றும் பாதிக்கப்பட்ட இயந்திரங்களுக்கான நீண்டகால அணுகலைப் பராமரித்தல் ஆகியவற்றில் நிபுணத்துவம் பெற்றது.
C&C தொடர்பு மற்றும் கட்டளை செயல்படுத்தல்
பாதிக்கப்பட்டவுடன், தீம்பொருள் கண்காணிப்புத் தரவை C&C சேவையகத்திற்கு வெளியேற்றி, தொடர்ச்சியான சுழற்சியில் நுழைந்து, TCP போர்ட் 8080 வழியாக கட்டளைகளுக்காகக் காத்திருக்கிறது. கட்டளைகள் COMMAND|
MSC EvilTwin ஏற்றி: Rhadamanthys ஸ்டீலரைப் பயன்படுத்துதல்
இந்தத் தாக்குதல் சங்கிலியில் மிகவும் கவலையளிக்கும் பேலோடுகளில் ஒன்று MSC EvilTwin ஏற்றி ஆகும், இது CVE-2025-26633 ஐப் பயன்படுத்தி தீங்கிழைக்கும் .msc கோப்புகளை இயக்குகிறது. இது இறுதியில் தரவு திருட்டுக்காக வடிவமைக்கப்பட்ட நன்கு அறியப்பட்ட தீம்பொருளான Rhadamanthys Stealer ஐப் பயன்படுத்த வழிவகுக்கிறது.
ஆயுதக் களஞ்சியத்தை விரிவுபடுத்துதல்: மேலும் திருடர்கள் மற்றும் தனிப்பயன் மாறுபாடுகள்
வாட்டர் கமயூன், ராடமந்திஸை மட்டும் நம்பியிருக்கவில்லை. அவர்கள் ஸ்டீல்சி மற்றும் மூன்று தனிப்பயன் பவர்ஷெல் அடிப்படையிலான ஸ்டீலர்களையும் விநியோகிக்கிறார்கள் - என்கிரிப்ட்ஹப் ஸ்டீலர் வகைகள் A, B மற்றும் C. திறந்த மூல கெமடியன் ஸ்டீலரை அடிப்படையாகக் கொண்ட இந்த வகைகள், தீம்பொருள் எதிர்ப்பு விவரங்கள், நிறுவப்பட்ட மென்பொருள், நெட்வொர்க் உள்ளமைவுகள் மற்றும் இயங்கும் பயன்பாடுகள் உள்ளிட்ட விரிவான கணினி தரவைப் பிரித்தெடுக்கின்றன.
கிரிப்டோகரன்சி மற்றும் உணர்திறன் தரவை குறிவைத்தல்
இந்த ஸ்டீலர் தீம்பொருள், Wi-Fi கடவுச்சொற்கள், விண்டோஸ் தயாரிப்பு விசைகள், உலாவி தரவு மற்றும் கிளிப்போர்டு வரலாறு உள்ளிட்ட பல்வேறு வகையான சான்றுகளை சேகரிக்கிறது. குறிப்பாக, இது கிரிப்டோகரன்சி பணப்பைகள் தொடர்பான கோப்புகளை வெளிப்படையாகத் தேடுகிறது, இது மீட்பு சொற்றொடர்கள் மற்றும் நிதி சொத்துக்களை அறுவடை செய்யும் நோக்கத்தைக் குறிக்கிறது.
திருட்டுத்தனமாக வாழ்வதற்கான நிலத்திற்கு வெளியே வாழ்க்கை நுட்பங்கள்
ஒரு EncryptHub Stealer மாறுபாட்டின் தனித்துவமான அம்சம், அது வாழும்-நிலத்திலிருந்து-நிலத்திற்கு வெளியே பைனரி (LOLbin) நுட்பத்தைப் பயன்படுத்துவதாகும். இது IntelliJ இன் runnerw.exe ஐப் பயன்படுத்தி தொலைதூர PowerShell ஸ்கிரிப்ட்களை செயல்படுத்துவதை ப்ராக்ஸி செய்கிறது, மேலும் அதன் செயல்பாட்டை மேலும் குழப்புகிறது.
பல சேனல்கள் மூலம் தீம்பொருளைப் பரப்புதல்
வாட்டர் கமயூனின் அச்சுறுத்தும் MSI தொகுப்புகள் மற்றும் பைனரி டிராப்பர்கள் , லும்மா ஸ்டீலர் , அமேடி மற்றும் பல்வேறு கிரிப்டோகரன்சியை மையமாகக் கொண்ட கிளிப்பர்கள் உள்ளிட்ட கூடுதல் தீம்பொருள் குடும்பங்களை விநியோகிப்பது கண்டறியப்பட்டுள்ளது.
C&C உள்கட்டமைப்பு: பவர்ஷெல் வழியாக ரிமோட் கண்ட்ரோல்
வாட்டர் கமயூனின் C&C உள்கட்டமைப்பின் பகுப்பாய்வு (குறிப்பாக 82.115.223[.]182) தொலைநிலை அணுகலுக்கான AnyDesk மென்பொருளைப் பதிவிறக்கம் செய்து செயல்படுத்த பவர்ஷெல் ஸ்கிரிப்ட்களைப் பயன்படுத்துவதை வெளிப்படுத்தியுள்ளது. தடையற்ற கட்டுப்பாட்டிற்காக பாதிக்கப்பட்ட இயந்திரங்களுக்கு Base64-குறியிடப்பட்ட தொலை கட்டளைகளையும் அவர்கள் அனுப்புகிறார்கள்.
தகவமைப்பு மற்றும் நிலைத்தன்மை: நீர் காமாயூனின் அச்சுறுத்தல் நிலப்பரப்பு
கையொப்பமிடப்பட்ட MSI கோப்புகள், LOLBinகள் மற்றும் தனிப்பயன் பேலோடுகள் உட்பட பல தாக்குதல் திசையன்களை வாட்டர் கமயூன் பயன்படுத்துவது, மீறல் அமைப்புகளில் அதன் தகவமைப்புத் திறனை எடுத்துக்காட்டுகிறது. அதன் அதிநவீன C&C உள்கட்டமைப்பு தடயவியல் விசாரணைகளைத் தவிர்த்து நீண்டகால நிலைத்தன்மையைப் பராமரிக்க அனுமதிக்கிறது.
CVE-2025-26633 பாதிப்பு வீடியோ
உதவிக்குறிப்பு: உங்கள் ஒலியை இயக்கி , வீடியோவை முழுத்திரை பயன்முறையில் பார்க்கவும் .
