Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Sự dễ bị tổn thương Lỗ hổng CVE-2025-26633

Lỗ hổng CVE-2025-26633

Đến năm Mezo năm Sự dễ bị tổn thương, Mối đe dọa dai dẳng nâng cao (APT)
Dịch sang:
Tiếng Việt Nam

Water Gamayun đã tích cực khai thác CVE-2025-26633 (hay còn gọi là MSC EvilTwin), một lỗ hổng trong nền tảng Microsoft Management Console (MMC), để thực thi phần mềm độc hại bằng cách sử dụng các tệp Microsoft Console (.msc) độc hại.

Backdoor mới: SilentPrism và DarkWisp

Những tên tội phạm mạng đứng sau cuộc tấn công zero-day này đã triển khai hai backdoor tinh vi—SilentPrism và DarkWisp. Những công cụ này tạo điều kiện cho sự bền bỉ, do thám hệ thống và điều khiển từ xa, khiến chúng trở thành tài sản mạnh mẽ cho hoạt động gián điệp và đánh cắp dữ liệu. Hoạt động này được cho là do một nhóm tin tặc có liên hệ với Nga có tên là Water Gamayun, còn được gọi là EncryptHub và LARVA-208 thực hiện.

Phương pháp tấn công: Cung cấp các gói và trình cài đặt MSI

Water Gamayun chủ yếu phân phối payload thông qua các gói cung cấp gian lận, các tệp .msi đã ký và các tệp MSC. Chúng sử dụng các kỹ thuật như quy trình IntelliJ runnerw.exe để thực thi lệnh, tăng tính ẩn danh và hiệu quả.

Sự phát triển của việc phân phối phần mềm độc hại của EncryptHub

Ban đầu, EncryptHub đã thu hút sự chú ý vào tháng 6 năm 2024 khi họ sử dụng kho lưu trữ GitHub để phân phối nhiều họ phần mềm độc hại khác nhau thông qua một trang web WinRAR giả mạo. Kể từ đó, họ đã chuyển sang cơ sở hạ tầng riêng của mình để dàn dựng và hoạt động Chỉ huy và Kiểm soát (C&C).

Ngụy trang như phần mềm hợp pháp

Water Gamayun ngụy trang phần mềm độc hại của mình trong trình cài đặt .msi đóng giả là các ứng dụng chính hãng như DingTalk, QQTalk và VooV Meeting. Các trình cài đặt này thực thi trình tải xuống PowerShell, tìm nạp và chạy các tải trọng giai đoạn tiếp theo trên các hệ thống bị xâm phạm.

SilentPrism và DarkWisp: Cấy ghép PowerShell bí mật

SilentPrism là một phần mềm cấy ghép dựa trên PowerShell có khả năng thiết lập tính bền bỉ, thực thi nhiều lệnh shell và tránh bị phát hiện bằng các kỹ thuật chống phân tích.

DarkWisp, một backdoor PowerShell khác, chuyên về trinh sát hệ thống, đánh cắp dữ liệu và duy trì quyền truy cập lâu dài vào các máy bị nhiễm.

Truyền thông C&C và thực hiện lệnh

Sau khi bị nhiễm, phần mềm độc hại sẽ truyền dữ liệu trinh sát đến máy chủ C&C và liên tục lặp lại, chờ lệnh qua cổng TCP 8080. Lệnh sẽ có định dạng COMMAND|, đảm bảo tương tác và kiểm soát liên tục đối với hệ thống của nạn nhân.

MSC EvilTwin Loader: Triển khai Rhadamanthys Stealer

Một trong những payload đáng lo ngại nhất trong chuỗi tấn công này là MSC EvilTwin loader, khai thác CVE-2025-26633 để thực thi các tệp .msc độc hại. Điều này cuối cùng dẫn đến việc triển khai Rhadamanthys Stealer , một phần mềm độc hại nổi tiếng được thiết kế để đánh cắp dữ liệu.

Mở rộng kho vũ khí: Nhiều kẻ đánh cắp hơn và các biến thể tùy chỉnh

Water Gamayun không chỉ dựa vào Rhadamanthys. Họ cũng phân phối StealC và ba trình đánh cắp dựa trên PowerShell tùy chỉnh—EncryptHub Stealer biến thể A, B và C. Các biến thể này, dựa trên Kematian Stealer mã nguồn mở, trích xuất dữ liệu hệ thống mở rộng, bao gồm thông tin chi tiết về phần mềm chống phần mềm độc hại, phần mềm đã cài đặt, cấu hình mạng và các ứng dụng đang chạy.

Nhắm mục tiêu vào tiền điện tử và dữ liệu nhạy cảm

Phần mềm độc hại đánh cắp thu thập nhiều thông tin xác thực, bao gồm mật khẩu Wi-Fi, khóa sản phẩm Windows, dữ liệu trình duyệt và lịch sử clipboard. Đáng chú ý, nó tìm kiếm rõ ràng các tệp liên quan đến ví tiền điện tử, cho thấy ý định thu thập cụm từ khôi phục và tài sản tài chính.

Kỹ thuật sống ẩn dật trên đất liền

Một tính năng độc đáo của một biến thể EncryptHub Stealer là sử dụng kỹ thuật nhị phân sống ngoài đất liền (LOLBin). Nó tận dụng runnerw.exe của IntelliJ để ủy quyền thực thi các tập lệnh PowerShell từ xa, làm lu mờ thêm hoạt động của nó.

Phát tán phần mềm độc hại qua nhiều kênh

Các gói MSI và chương trình thả nhị phân mang tính đe dọa của Water Gamayun đã bị phát hiện đang phân phối thêm các họ phần mềm độc hại khác, bao gồm Lumma Stealer , Amadey và nhiều chương trình cắt tập trung vào tiền điện tử khác.

Cơ sở hạ tầng C&C: Điều khiển từ xa qua PowerShell

Phân tích cơ sở hạ tầng C&C của Water Gamayun (đặc biệt là 82.115.223[.]182) đã tiết lộ rằng họ sử dụng các tập lệnh PowerShell để tải xuống và thực thi phần mềm AnyDesk để truy cập từ xa. Họ cũng gửi các lệnh từ xa được mã hóa Base64 đến các máy nạn nhân để kiểm soát liền mạch.

Thích ứng và bền bỉ: Bối cảnh đe dọa của Water Gamayun

Việc Water Gamayun sử dụng nhiều vectơ tấn công, bao gồm các tệp MSI đã ký, LOLBins và tải trọng tùy chỉnh, làm nổi bật khả năng thích ứng của nó trong các hệ thống vi phạm. Cơ sở hạ tầng C&C tinh vi của nó cho phép nó duy trì sự tồn tại lâu dài trong khi tránh được các cuộc điều tra pháp y.

Lỗ hổng CVE-2025-26633 Video

Mẹo: BẬT âm thanh của bạn và xem video ở chế độ Toàn màn hình .

xu hướng

Lừa đảo qua email về việc thanh toán quá hạn

Lừa đảo, Thư rác
Các mối đe dọa mạng đang phát triển hàng ngày và những kẻ lừa đảo liên tục tạo ra các chiến thuật mới để khai thác những cá nhân không nghi ngờ. Một trong những kế hoạch như vậy, trò lừa đảo qua email Thanh toán quá hạn, nhắm vào nạn nhân bằng cách dụ họ bằng các yêu cầu bịa đặt về số tiền chưa được yêu cầu. Hiểu cách thức hoạt động của chiến thuật này là rất quan trọng để bảo vệ bản thân và...

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
29,819
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...