Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Güvenlik Açığı CVE-2025-26633 Güvenlik Açığı

CVE-2025-26633 Güvenlik Açığı

Mezo'de Güvenlik Açığı, Gelişmiş Sürekli Tehdit (APT)'de
Çevir:
Türkçe

Water Gamayun, Microsoft Yönetim Konsolu (MMC) çerçevesindeki bir güvenlik açığı olan CVE-2025-26633'ü (diğer adıyla MSC EvilTwin) etkin bir şekilde kullanarak, sahte Microsoft Konsolu (.msc) dosyalarını kullanarak kötü amaçlı yazılımları çalıştırıyor.

Yeni Arka Kapılar: SilentPrism ve DarkWisp

Bu sıfır gün saldırısının arkasındaki siber suçlular iki sofistike arka kapı konuşlandırdı: SilentPrism ve DarkWisp. Bu araçlar kalıcılığı, sistem keşfini ve uzaktan kontrolü kolaylaştırarak onları casusluk ve veri hırsızlığı için güçlü varlıklar haline getiriyor. Operasyon, Water Gamayun olarak bilinen Rusya bağlantılı bir hacker grubuna, ayrıca EncryptHub ve LARVA-208'e atfedildi.

Saldırı Yöntemleri: Paketlerin ve MSI Yükleyicilerinin Sağlanması

Water Gamayun, öncelikle sahte provizyon paketleri, imzalanmış .msi dosyaları ve MSC dosyaları aracılığıyla yükleri iletir. Komut yürütme için IntelliJ runnerw.exe işlemi gibi teknikler kullanırlar, gizliliği ve etkinliği artırırlar.

EncryptHub’ın Kötü Amaçlı Yazılım Dağıtımının Evrimi

Başlangıçta, EncryptHub Haziran 2024'te sahte bir WinRAR web sitesi aracılığıyla çeşitli kötü amaçlı yazılım ailelerini dağıtmak için bir GitHub deposunu kullandıklarında dikkat çekti. O zamandan beri, sahneleme ve Komuta ve Kontrol (C&C) işlemleri için kendi altyapılarına geçtiler.

Meşru Yazılım Gibi Görünmek

Water Gamayun, kötü amaçlı yazılımını DingTalk, QQTalk ve VooV Meeting gibi gerçek uygulamalar gibi görünen .msi yükleyicilerinin içinde gizler. Bu yükleyiciler, bir PowerShell indiricisini çalıştırır, tehlikeye atılmış sistemlerde bir sonraki aşama yüklerini alır ve çalıştırır.

SilentPrism ve DarkWisp: Gizli PowerShell İmplantları

SilentPrism, kalıcılığı sağlayan, birden fazla kabuk komutunu yürüten ve anti-analiz tekniklerini kullanarak tespitten kaçınan PowerShell tabanlı bir implanttır.

Başka bir PowerShell arka kapısı olan DarkWisp, sistem keşfi, veri sızdırma ve enfekte olmuş makinelere uzun süreli erişim sağlama konusunda uzmanlaşmıştır.

C&C İletişimi ve Komut Yürütme

Kötü amaçlı yazılım bulaştıktan sonra keşif verilerini C&C sunucusuna sızdırır ve TCP portu 8080 üzerinden komutları bekleyerek sürekli bir döngüye girer. Komutlar COMMAND| biçiminde gelir ve kurbanın sistemi üzerinde sürekli etkileşim ve kontrol sağlar.

MSC EvilTwin Yükleyici: Rhadamanthys Stealer’ı Yerleştirme

Bu saldırı zincirindeki en endişe verici yüklerden biri, kötü amaçlı .msc dosyalarını yürütmek için CVE-2025-26633'ü kullanan MSC EvilTwin yükleyicisidir. Bu, nihayetinde veri hırsızlığı için tasarlanmış iyi bilinen bir kötü amaçlı yazılım olan Rhadamanthys Stealer'ın dağıtımına yol açar.

Cephaneliğin Genişletilmesi: Daha Fazla Hırsız ve Özel Varyantlar

Water Gamayun yalnızca Rhadamanthys'e güvenmez. Ayrıca StealC ve üç özel PowerShell tabanlı hırsızı da dağıtırlar—EncryptHub Hırsız varyantları A, B ve C. Açık kaynaklı Kematian Hırsız'a dayanan bu varyantlar, kötü amaçlı yazılımlara karşı ayrıntılar, yüklü yazılımlar, ağ yapılandırmaları ve çalışan uygulamalar dahil olmak üzere kapsamlı sistem verilerini çıkarır.

Kripto Para Birimi ve Hassas Verileri Hedefleme

Çalma yazılımı, Wi-Fi parolaları, Windows ürün anahtarları, tarayıcı verileri ve pano geçmişi dahil olmak üzere geniş bir kimlik bilgisi yelpazesi toplar. Özellikle, kripto para cüzdanlarıyla ilgili dosyaları açıkça arar ve bu da kurtarma ifadelerini ve finansal varlıkları toplama niyetini gösterir.

Gizlilik İçin Topraktan Yaşama Teknikleri

EncryptHub Stealer varyantlarından birinin benzersiz bir özelliği, living-off-the-land ikili (LOLBin) tekniğini kullanmasıdır. Uzak PowerShell betiklerinin yürütülmesini proxy etmek için IntelliJ'in runnerw.exe'sini kullanır ve etkinliğini daha da gizler.

Kötü Amaçlı Yazılımın Birden Fazla Kanaldan Yayılması

Water Gamayun'un tehdit edici MSI paketleri ve ikili dosya yükleyicilerinin, Lumma Stealer , Amadey ve çeşitli kripto para odaklı kesiciler de dahil olmak üzere ek kötü amaçlı yazılım ailelerini dağıttığı tespit edildi.

C&C Altyapısı: PowerShell Üzerinden Uzaktan Kontrol

Water Gamayun'un C&C altyapısının analizi (özellikle 82.115.223[.]182), uzaktan erişim için AnyDesk yazılımını indirmek ve çalıştırmak için PowerShell betiklerini kullandıklarını ortaya koydu. Ayrıca, kusursuz kontrol için kurban makinelere Base64 kodlu uzaktan komutlar gönderiyorlar.

Uyarlanabilir ve Kalıcı: Su Gamayun’un Tehdit Manzarası

Water Gamayun'un imzalı MSI dosyaları, LOLBin'ler ve özel yükler dahil olmak üzere birden fazla saldırı vektörünü kullanması, sistemlere girmedeki uyarlanabilirliğini vurgular. Gelişmiş C&C altyapısı, adli soruşturmalardan kaçınırken uzun vadeli kalıcılığını sürdürmesini sağlar.

CVE-2025-26633 Güvenlik Açığı Video

İpucu: Sesi AÇIN ve videoyu Tam Ekran modunda izleyin .

trend

Gecikmiş Ödeme E-posta Dolandırıcılığı

Kimlik avı, İstenmeyen e-posta
Siber tehditler her gün gelişiyor ve dolandırıcılar, şüphesiz bireyleri sömürmek için sürekli olarak yeni taktikler üretiyor. Bunlardan biri olan Vadesi Geçmiş Ödeme e-posta dolandırıcılığı, kurbanları talep edilmemiş para iddialarıyla kandırarak avlıyor. Bu taktiğin nasıl çalıştığını anlamak, kendinizi ve başkalarını finansal kayıplardan ve kimlik hırsızlığından korumak için çok önemlidir....

En çok görüntülenen

Yükleniyor...