CVE-2025-26633 దుర్బలత్వం

రోగ్ మైక్రోసాఫ్ట్ కన్సోల్ (.msc) ఫైళ్లను ఉపయోగించి మాల్వేర్‌ను అమలు చేయడానికి వాటర్ గమాయున్ మైక్రోసాఫ్ట్ మేనేజ్‌మెంట్ కన్సోల్ (MMC) ఫ్రేమ్‌వర్క్‌లోని ఒక దుర్బలత్వం అయిన CVE-2025-26633 (aka MSC EvilTwin)ను చురుకుగా ఉపయోగించుకుంటోంది.

కొత్త బ్యాక్‌డోర్లు: సైలెంట్ ప్రిజం మరియు డార్క్ విస్ప్

ఈ జీరో-డే దాడి వెనుక ఉన్న సైబర్ నేరస్థులు సైలెంట్‌ప్రిజం మరియు డార్క్‌విస్ప్ అనే రెండు అధునాతన బ్యాక్‌డోర్‌లను మోహరించారు. ఈ సాధనాలు నిలకడ, సిస్టమ్ నిఘా మరియు రిమోట్ కంట్రోల్‌ను సులభతరం చేస్తాయి, ఇవి గూఢచర్యం మరియు డేటా దొంగతనానికి శక్తివంతమైన ఆస్తులుగా మారుతాయి. ఈ ఆపరేషన్‌ను వాటర్ గమాయున్ అని పిలువబడే రష్యన్-లింక్డ్ హ్యాకింగ్ గ్రూప్, దీనిని ఎన్‌క్రిప్ట్‌హబ్ మరియు LARVA-208 అని కూడా పిలుస్తారు.

దాడి పద్ధతులు: ప్రొవిజనింగ్ ప్యాకేజీలు మరియు MSI ఇన్‌స్టాలర్‌లు

వాటర్ గమాయున్ ప్రధానంగా మోసపూరిత ప్రొవిజనింగ్ ప్యాకేజీలు, సంతకం చేసిన .msi ఫైల్స్ మరియు MSC ఫైల్స్ ద్వారా పేలోడ్‌లను అందిస్తుంది. వారు కమాండ్ అమలు కోసం IntelliJ runnerw.exe ప్రక్రియ వంటి పద్ధతులను ఉపయోగిస్తారు, స్టెల్త్ మరియు ప్రభావాన్ని పెంచుతారు.

ఎన్క్రిప్ట్ హబ్ యొక్క మాల్వేర్ పంపిణీ పరిణామం

ప్రారంభంలో, 2024 జూన్‌లో నకిలీ WinRAR వెబ్‌సైట్ ద్వారా వివిధ మాల్వేర్ కుటుంబాలను పంపిణీ చేయడానికి GitHub రిపోజిటరీని ఉపయోగించినప్పుడు EncryptHub దృష్టిని ఆకర్షించింది. అప్పటి నుండి, వారు స్టేజింగ్ మరియు కమాండ్-అండ్-కంట్రోల్ (C&C) కార్యకలాపాల కోసం వారి స్వంత మౌలిక సదుపాయాలకు మారారు.

చట్టబద్ధమైన సాఫ్ట్‌వేర్‌గా మారడం

వాటర్ గమాయున్ .msi ఇన్‌స్టాలర్‌లలో దాని మాల్వేర్‌ను దాచిపెడుతుంది, అవి DingTalk, QQTalk మరియు VooV మీటింగ్ వంటి నిజమైన అప్లికేషన్‌లుగా నటిస్తాయి. ఈ ఇన్‌స్టాలర్‌లు పవర్‌షెల్ డౌన్‌లోడ్‌ను అమలు చేస్తాయి, రాజీపడిన సిస్టమ్‌లలో తదుపరి దశ పేలోడ్‌లను పొందుతాయి మరియు అమలు చేస్తాయి.

సైలెంట్ ప్రిజం మరియు డార్క్ విస్ప్: స్టెల్తీ పవర్‌షెల్ ఇంప్లాంట్లు

సైలెంట్ ప్రిజం అనేది పవర్‌షెల్-ఆధారిత ఇంప్లాంట్, ఇది నిలకడను ఏర్పరుస్తుంది, బహుళ షెల్ ఆదేశాలను అమలు చేస్తుంది మరియు యాంటీ-అనాలిసిస్ టెక్నిక్‌లను ఉపయోగించి గుర్తింపును తప్పించుకుంటుంది.

మరొక పవర్‌షెల్ బ్యాక్‌డోర్ అయిన డార్క్‌విస్ప్, సిస్టమ్ నిఘా, డేటా ఎక్స్‌ఫిల్ట్రేషన్ మరియు ఇన్‌ఫెక్ట్ చేయబడిన యంత్రాలకు దీర్ఘకాలిక యాక్సెస్‌ను నిర్వహించడంలో ప్రత్యేకత కలిగి ఉంది.

సి అండ్ సి కమ్యూనికేషన్ మరియు కమాండ్ ఎగ్జిక్యూషన్

ఒకసారి వైరస్ సోకిన తర్వాత, మాల్వేర్ నిఘా డేటాను C&C సర్వర్‌కు పంపుతుంది మరియు నిరంతర లూప్‌లోకి ప్రవేశిస్తుంది, TCP పోర్ట్ 8080 ద్వారా ఆదేశాల కోసం వేచి ఉంటుంది. ఆదేశాలు COMMAND| ఫార్మాట్‌లో వస్తాయి, బాధితుడి సిస్టమ్‌పై కొనసాగుతున్న పరస్పర చర్య మరియు నియంత్రణను నిర్ధారిస్తాయి.

MSC ఈవిల్‌ట్విన్ లోడర్: రాడమంతిస్ స్టీలర్‌ను మోహరించడం

ఈ దాడి గొలుసులోని అత్యంత ఆందోళనకరమైన పేలోడ్‌లలో ఒకటి MSC EvilTwin లోడర్, ఇది హానికరమైన .msc ఫైల్‌లను అమలు చేయడానికి CVE-2025-26633ని ఉపయోగిస్తుంది. ఇది చివరికి డేటా దొంగతనం కోసం రూపొందించబడిన ప్రసిద్ధ మాల్వేర్ అయిన Rhadamanthys Stealer యొక్క విస్తరణకు దారితీస్తుంది.

ఆర్సెనల్ విస్తరణ: మరిన్ని స్టీలర్లు మరియు కస్టమ్ వేరియంట్లు

వాటర్ గమాయున్ పూర్తిగా రాడమంతిస్‌పై ఆధారపడదు. వారు స్టీల్‌సి మరియు మూడు కస్టమ్ పవర్‌షెల్-ఆధారిత స్టీలర్‌లను కూడా పంపిణీ చేస్తారు - ఎన్‌క్రిప్ట్‌హబ్ స్టీలర్ వేరియంట్‌లు A, B మరియు C. ఓపెన్-సోర్స్ కెమాటియన్ స్టీలర్ ఆధారంగా ఈ వేరియంట్‌లు, యాంటీ-మాల్వేర్ వివరాలు, ఇన్‌స్టాల్ చేయబడిన సాఫ్ట్‌వేర్, నెట్‌వర్క్ కాన్ఫిగరేషన్‌లు మరియు రన్నింగ్ అప్లికేషన్‌లతో సహా విస్తృతమైన సిస్టమ్ డేటాను సంగ్రహిస్తాయి.

క్రిప్టోకరెన్సీ మరియు సున్నితమైన డేటాను లక్ష్యంగా చేసుకోవడం

స్టీలర్ మాల్వేర్ Wi-Fi పాస్‌వర్డ్‌లు, విండోస్ ఉత్పత్తి కీలు, బ్రౌజర్ డేటా మరియు క్లిప్‌బోర్డ్ చరిత్రతో సహా విస్తృత శ్రేణి ఆధారాలను సేకరిస్తుంది. ముఖ్యంగా, ఇది క్రిప్టోకరెన్సీ వాలెట్‌లకు సంబంధించిన ఫైల్‌ల కోసం స్పష్టంగా శోధిస్తుంది, ఇది రికవరీ పదబంధాలు మరియు ఆర్థిక ఆస్తులను సేకరించే ఉద్దేశ్యాన్ని సూచిస్తుంది.

స్టెల్త్ కోసం భూమి వెలుపల నివసించే పద్ధతులు

ఒక ఎన్‌క్రిప్ట్‌హబ్ స్టీలర్ వేరియంట్ యొక్క ప్రత్యేక లక్షణం ఏమిటంటే అది లివింగ్-ఆఫ్-ది-ల్యాండ్ బైనరీ (LOLBin) టెక్నిక్‌ను ఉపయోగించడం. ఇది రిమోట్ పవర్‌షెల్ స్క్రిప్ట్‌ల అమలును ప్రాక్సీ చేయడానికి IntelliJ యొక్క runnerw.exeని ప్రభావితం చేస్తుంది, దాని కార్యాచరణను మరింత అస్పష్టం చేస్తుంది.

బహుళ మార్గాల ద్వారా మాల్వేర్‌ను ప్రచారం చేయడం

వాటర్ గమాయున్ యొక్క బెదిరింపు MSI ప్యాకేజీలు మరియు బైనరీ డ్రాప్పర్లు లుమ్మా స్టీలర్ , అమాడే మరియు వివిధ క్రిప్టోకరెన్సీ-కేంద్రీకృత క్లిప్పర్‌లతో సహా అదనపు మాల్వేర్ కుటుంబాలను పంపిణీ చేస్తున్నట్లు కనుగొనబడింది.

C&C మౌలిక సదుపాయాలు: పవర్‌షెల్ ద్వారా రిమోట్ కంట్రోల్

వాటర్ గమాయున్ యొక్క C&C మౌలిక సదుపాయాల విశ్లేషణ (ముఖ్యంగా 82.115.223[.]182) వారు రిమోట్ యాక్సెస్ కోసం AnyDesk సాఫ్ట్‌వేర్‌ను డౌన్‌లోడ్ చేసి అమలు చేయడానికి పవర్‌షెల్ స్క్రిప్ట్‌లను ఉపయోగిస్తున్నారని వెల్లడించింది. వారు సజావుగా నియంత్రణ కోసం బాధితుల యంత్రాలకు Base64-ఎన్‌కోడ్ చేసిన రిమోట్ ఆదేశాలను కూడా పంపుతారు.

అనుకూల మరియు నిరంతర: నీటి గమాయున్ ముప్పు ప్రకృతి దృశ్యం

వాటర్ గమాయున్ సంతకం చేసిన MSI ఫైల్స్, LOLBins మరియు కస్టమ్ పేలోడ్‌లతో సహా బహుళ దాడి వెక్టర్‌లను ఉపయోగించడం, ఉల్లంఘన వ్యవస్థలలో దాని అనుకూలతను హైలైట్ చేస్తుంది. దాని అధునాతన C&C మౌలిక సదుపాయాలు ఫోరెన్సిక్ దర్యాప్తులను తప్పించుకుంటూ దీర్ఘకాలిక నిలకడను కొనసాగించడానికి వీలు కల్పిస్తాయి.

CVE-2025-26633 దుర్బలత్వం వీడియో

చిట్కా: మీ ధ్వనిని ఆన్ చేసి , వీడియోను పూర్తి స్క్రీన్ మోడ్‌లో చూడండి .