Multi-License Discount Quote
Banta sa Database kahinaan CVE-2025-26633 Kahinaan

CVE-2025-26633 Kahinaan

Sa pamamagitan ng Mezo sa kahinaan, Advanced Persistent Threat (APT)
Isalin To:
Wikang Filipino

Aktibong sinasamantala ng Water Gamayun ang CVE-2025-26633 (aka MSC EvilTwin), isang kahinaan sa framework ng Microsoft Management Console (MMC), upang magsagawa ng malware gamit ang mga rogue na Microsoft Console (.msc) na file.

Bagong Backdoors: SilentPrism at DarkWisp

Ang mga cybercriminal sa likod ng zero-day attack na ito ay nag-deploy ng dalawang sopistikadong backdoor—SilentPrism at DarkWisp. Ang mga tool na ito ay nagpapadali sa pagtitiyaga, system reconnaissance, at remote control, na ginagawa itong mga makapangyarihang asset para sa espionage at pagnanakaw ng data. Ang operasyon ay naiugnay sa isang Russian-linked hacking group na kilala bilang Water Gamayun, na tinatawag ding EncryptHub at LARVA-208.

Mga Paraan ng Pag-atake: Mga Provisioning Package at MSI Installer

Pangunahing naghahatid ng mga payload ang Water Gamayun sa pamamagitan ng mga mapanlinlang na provisioning package, nilagdaang .msi file at MSC file. Gumagamit sila ng mga diskarte tulad ng proseso ng IntelliJ runnerw.exe para sa pagpapatupad ng command, pagtaas ng stealth at pagiging epektibo.

Ang Ebolusyon ng Malware Distribution ng EncryptHub

Sa una, nakakuha ng pansin ang EncryptHub noong Hunyo 2024 nang gumamit sila ng GitHub repository upang ipamahagi ang iba't ibang pamilya ng malware sa pamamagitan ng pekeng website ng WinRAR. Mula noon, lumipat sila sa kanilang sariling imprastraktura para sa pagtatanghal at mga operasyon ng Command-and-Control (C&C).

Nagbabalatkayo bilang Lehitimong Software

Itinatago ng Water Gamayun ang malware nito sa loob ng mga installer ng .msi na nagpapanggap bilang mga tunay na application tulad ng DingTalk, QQTalk, at VooV Meeting. Ang mga installer na ito ay nagpapatupad ng PowerShell downloader, kumukuha at nagpapatakbo ng mga susunod na yugto ng mga payload sa mga nakompromisong system.

SilentPrism at DarkWisp: Stealthy PowerShell Implants

Ang SilentPrism ay isang PowerShell-based na implant na nagtatatag ng pagpupursige, nagsasagawa ng maraming shell command, at umiiwas sa pagtuklas gamit ang mga diskarteng anti-analysis.

Ang DarkWisp, isa pang PowerShell backdoor, ay dalubhasa sa system reconnaissance, data exfiltration, at pagpapanatili ng pangmatagalang access sa mga infected na makina.

C&C Communication at Command Execution

Kapag nahawahan na, ilalabas ng malware ang data ng reconnaissance sa C&C server at pumapasok sa isang tuluy-tuloy na loop, naghihintay ng mga command sa pamamagitan ng TCP port 8080. Dumating ang mga command sa format na COMMAND|, na tinitiyak ang patuloy na pakikipag-ugnayan at kontrol sa system ng biktima.

MSC EvilTwin Loader: Deploying the Rhadamanthys Stealer

Ang isa sa mga pinaka-uukol na payload sa attack chain na ito ay ang MSC EvilTwin loader, na sinasamantala ang CVE-2025-26633 upang magsagawa ng mga nakakahamak na .msc file. Ito sa huli ay humahantong sa pag-deploy ng Rhadamanthys Stealer , isang kilalang malware na idinisenyo para sa pagnanakaw ng data.

Pagpapalawak ng Arsenal: Higit pang Magnanakaw at Custom na Variant

Ang Water Gamayun ay hindi umaasa lamang sa Rhadamanthys. Namamahagi din sila ng StealC at tatlong custom na PowerShell-based stealers—mga variant ng EncryptHub Stealer na A, B at C. Ang mga variant na ito, batay sa open-source na Kematian Stealer, ay kumukuha ng malawak na data ng system, kabilang ang mga detalye ng anti-malware, naka-install na software, mga configuration ng network at mga tumatakbong application.

Pag-target sa Cryptocurrency at Sensitibong Data

Ang magnanakaw na malware ay nangangalap ng malawak na hanay ng mga kredensyal, kabilang ang mga password ng Wi-Fi, mga key ng produkto ng Windows, data ng browser at kasaysayan ng clipboard. Kapansin-pansin, tahasan itong naghahanap ng mga file na nauugnay sa mga wallet ng cryptocurrency, na nagsasaad ng layunin na umani ng mga parirala sa pagbawi at mga asset na pinansyal.

Mga Pamamaraan sa Pamumuhay-off-the-Land para sa Stealth

Ang isang natatanging tampok ng isang variant ng EncryptHub Stealer ay ang paggamit nito ng isang living-off-the-land binary (LOLBin) na pamamaraan. Ginagamit nito ang runnerw.exe ng IntelliJ upang i-proxy ang pagpapatupad ng mga remote na PowerShell script, na lalong nagpapalabo sa aktibidad nito.

Pagpapalaganap ng Malware sa pamamagitan ng Maramihang Mga Channel

Ang mga nagbabantang MSI package at binary dropper ng Water Gamayun ay natagpuang namamahagi ng mga karagdagang pamilya ng malware, kabilang ang Lumma Stealer , Amadey at iba't ibang mga clipper na nakatuon sa cryptocurrency.

C&C Infrastructure: Remote Control sa pamamagitan ng PowerShell

Ang pagsusuri sa imprastraktura ng C&C ng Water Gamayun (kapansin-pansin ang 82.115.223[.]182) ay nagsiwalat na gumagamit sila ng PowerShell script upang i-download at isagawa ang AnyDesk software para sa malayuang pag-access. Nagpapadala rin sila ng Base64-encoded remote commands sa mga biktimang machine para sa tuluy-tuloy na kontrol.

Adaptive at Persistent: Water Gamayun’s Threat Landscape

Ang paggamit ng Water Gamayun ng maraming vector ng pag-atake, kabilang ang mga nilagdaang MSI file, LOLBins, at mga custom na payload, ay nagha-highlight sa kakayahang umangkop nito sa mga paglabag sa system. Ang sopistikadong imprastraktura ng C&C nito ay nagbibigay-daan dito na mapanatili ang pangmatagalang pananatili habang umiiwas sa mga forensic na pagsisiyasat.

CVE-2025-26633 Kahinaan Video

Tip: I- ON ang iyong tunog at panoorin ang video sa Full Screen mode .

Trending

Pinaka Nanood

Naglo-load...