CVE-2025-26633 Уразливість

До Mezo року в Вразливість, Розширена постійна загроза (APT) році

Перекласти на:

Water Gamayun активно використовує CVE-2025-26633 (він же MSC EvilTwin), уразливість у структурі Microsoft Management Console (MMC), щоб запускати зловмисне програмне забезпечення за допомогою фальшивих файлів Microsoft Console (.msc).

Зміст

Нові бекдори: SilentPrism і DarkWisp

Кіберзлочинці, які стоять за цією атакою нульового дня, розгорнули два складних бекдори — SilentPrism і DarkWisp. Ці інструменти полегшують збереження, розвідку системи та дистанційне керування, що робить їх потужними засобами для шпигунства та крадіжки даних. Операцію приписують пов’язаній з Росією хакерській групі, відомій як Water Gamayun, яка також називається EncryptHub і LARVA-208.

Методи атаки: пакети підготовки та інсталятори MSI

Water Gamayun переважно доставляє корисне навантаження через шахрайські пакети ініціалізації, підписані файли .msi та файли MSC. Вони використовують такі методи, як процес IntelliJ runnerw.exe для виконання команд, підвищуючи скритність і ефективність.

Еволюція розповсюдження шкідливих програм EncryptHub

Спочатку EncryptHub привернув увагу в червні 2024 року, коли вони використовували репозиторій GitHub для розповсюдження різних сімей зловмисного програмного забезпечення через підроблений веб-сайт WinRAR. Відтоді вони перейшли до власної інфраструктури для проведення операцій командування та управління (C&C).

Маскування під законне програмне забезпечення

Water Gamayun маскує своє шкідливе програмне забезпечення в інсталяторах .msi, видаючи себе за справжні програми, такі як DingTalk, QQTalk і VooV Meeting. Ці інсталятори виконують завантажувач PowerShell, завантажуючи та запускаючи корисні навантаження наступного етапу на скомпрометованих системах.

SilentPrism і DarkWisp: приховані імплантати PowerShell

SilentPrism — це імплантат на основі PowerShell, який забезпечує стійкість, виконує кілька команд оболонки та ухиляється від виявлення за допомогою методів антианалізу.

DarkWisp, інший бекдор PowerShell, спеціалізується на системній розвідці, викраденні даних і підтримці довгострокового доступу до заражених машин.

Зв'язок C&C і виконання команд

Після зараження зловмисне програмне забезпечення передає розвідувальні дані на сервер C&C і входить у безперервний цикл, очікуючи команд через TCP-порт 8080. Команди надходять у форматі COMMAND|, забезпечуючи постійну взаємодію та контроль над системою жертви.

MSC EvilTwin Loader: розгортання Rhadamanthys Stealer

Одним із найбільш занепокоєних корисних навантажень у цьому ланцюжку атак є завантажувач MSC EvilTwin, який використовує CVE-2025-26633 для виконання шкідливих файлів .msc. Зрештою це призводить до розгортання Rhadamanthys Stealer , відомого шкідливого програмного забезпечення, призначеного для крадіжки даних.

Розширення арсеналу: більше крадіїв і нестандартних варіантів

Водний Гамаюн не покладається лише на Радамантіс. Вони також розповсюджують StealC і три спеціальні викрадачі на основі PowerShell — EncryptHub Stealer, варіанти A, B і C. Ці варіанти, засновані на відкритому вихідному коді Kematian Stealer, витягують велику кількість системних даних, включаючи деталі захисту від зловмисного програмного забезпечення, встановлене програмне забезпечення, мережеві конфігурації та запущені програми.

Націлювання на криптовалюту та конфіденційні дані

Зловмисне програмне забезпечення-викрадач збирає широкий спектр облікових даних, включаючи паролі Wi-Fi, ключі продукту Windows, дані браузера та історію буфера обміну. Примітно, що він явно шукає файли, пов’язані з криптовалютними гаманцями, що вказує на намір зібрати фрази відновлення та фінансові активи.

Техніка невидимого життя поза межами землі

Унікальною особливістю одного з варіантів EncryptHub Stealer є використання двійкової техніки живого за межами землі (LOLBin). Він використовує runnerw.exe IntelliJ для проксі-сервера виконання віддалених сценаріїв PowerShell, ще більше приховуючи його діяльність.

Розповсюдження зловмисного програмного забезпечення кількома каналами

Було виявлено, що загрозливі пакети MSI Water Gamayun і двійкові дроппери розповсюджують додаткові сімейства зловмисного програмного забезпечення, зокрема Lumma Stealer , Amadey та різноманітні кліпери, орієнтовані на криптовалюту.

Інфраструктура C&C: віддалене керування через PowerShell

Аналіз інфраструктури керування Water Gamayun (зокрема 82.115.223[.]182) показав, що вони використовують сценарії PowerShell для завантаження та виконання програмного забезпечення AnyDesk для віддаленого доступу. Вони також надсилають дистанційні команди, закодовані за допомогою Base64, на комп’ютери-жертви для безперешкодного керування.

Адаптивний і стійкий: загрозливий ландшафт Водного Гамаюна

Використання Water Gamayun кількох векторів атак, у тому числі підписаних файлів MSI, LOLBins і користувацьких корисних навантажень, підкреслює його здатність адаптуватися до зламу систем. Його складна інфраструктура C&C дозволяє йому підтримувати довгострокову стійкість, уникаючи судових розслідувань.