Chyba zabezpečení CVE-2025-26633

V roce Mezo v roce Zranitelnost, Pokročilá trvalá hrozba (APT)

Přeložit do:

Water Gamayun aktivně využívá CVE-2025-26633 (aka MSC EvilTwin), zranitelnost v rámci Microsoft Management Console (MMC), ke spouštění malwaru pomocí škodlivých souborů Microsoft Console (.msc).

Obsah

Nová zadní vrátka: SilentPrism a DarkWisp

Kyberzločinci za tímto zero-day útokem nasadili dvě sofistikovaná zadní vrátka – SilentPrism a DarkWisp. Tyto nástroje usnadňují vytrvalost, průzkum systému a dálkové ovládání, což z nich činí výkonné prostředky pro špionáž a krádeže dat. Operace byla připsána hackerské skupině napojené na Rusko známé jako Water Gamayun, nazývané také EncryptHub a LARVA-208.

Metody útoku: Poskytování balíčků a instalační programy MSI

Water Gamayun primárně dodává užitečné zatížení prostřednictvím podvodných prováděcích balíčků, podepsaných souborů .msi a souborů MSC. Používají techniky, jako je proces IntelliJ runnerw.exe pro provádění příkazů, čímž zvyšují utajení a efektivitu.

Vývoj distribuce malwaru EncryptHub

Zpočátku EncryptHub získal pozornost v červnu 2024, když použil úložiště GitHub k distribuci různých rodin malwaru prostřednictvím falešného webu WinRAR. Od té doby se přesunuli na vlastní infrastrukturu pro operace příprav a řízení (C&C).

Masquerading jako legitimní software

Water Gamayun maskuje svůj malware v rámci instalačních programů .msi a vydává se za originální aplikace jako DingTalk, QQTalk a VooV Meeting. Tyto instalační programy spouštějí stahovací program PowerShell, načítají a spouštějí další fázi dat na kompromitovaných systémech.

SilentPrism a DarkWisp: Stealthy PowerShell Implants

SilentPrism je implantát založený na PowerShellu, který zajišťuje perzistenci, vykonává více příkazů shellu a vyhýbá se detekci pomocí antianalytických technik.

DarkWisp, další backdoor PowerShell, se specializuje na průzkum systému, exfiltraci dat a udržování dlouhodobého přístupu k infikovaným strojům.

C&C komunikace a provádění příkazů

Jakmile je infikován, malware exfiltruje průzkumná data na server C&C a vstupuje do nepřetržité smyčky, kde čeká na příkazy přes TCP port 8080. Příkazy přicházejí ve formátu COMMAND|, což zajišťuje průběžnou interakci a kontrolu nad systémem oběti.

MSC EvilTwin Loader: Nasazení zloděje Rhadamanthys

Jedním z nejvíce znepokojivých dat v tomto řetězci útoků je zavaděč MSC EvilTwin, který využívá CVE-2025-26633 ke spouštění škodlivých souborů .msc. To nakonec vede k nasazení Rhadamanthys Stealer , známého malwaru určeného pro krádeže dat.

Rozšíření arzenálu: Více zlodějů a vlastních variant

Water Gamayun se nespoléhá pouze na Rhadamanthys. Distribuují také StealC a tři vlastní krádeže založené na PowerShellu – EncryptHub Stealer varianty A, B a C. Tyto varianty, založené na open-source Kematian Stealer, extrahují rozsáhlá systémová data, včetně podrobností proti malwaru, nainstalovaného softwaru, síťových konfigurací a spuštěných aplikací.

Cílení na kryptoměny a citlivá data

Malware zloděje shromažďuje širokou škálu přihlašovacích údajů, včetně hesel Wi-Fi, produktových klíčů Windows, dat prohlížeče a historie schránky. Zejména vyhledává explicitně soubory související s kryptoměnovými peněženkami, což naznačuje záměr sklízet fráze pro obnovu a finanční aktiva.

Životní techniky mimo pevninu pro utajení

Jedinečnou vlastností jedné varianty EncryptHub Stealer je použití binární techniky living-off-the-land (LOLBin). Využívá runnerw.exe IntelliJ k proxy spouštění vzdálených skriptů PowerShellu, což dále zatemňuje jeho aktivitu.

Šíření malwaru prostřednictvím více kanálů

Bylo zjištěno, že hrozivé balíčky MSI a binární droppery Water Gamayun distribuují další rodiny malwaru, včetně Lumma Stealer , Amadey a různých clipperů zaměřených na kryptoměny.

C&C Infrastructure: Dálkové ovládání přes PowerShell

Analýza infrastruktury C&C společnosti Water Gamayun (zejména 82.115.223[.]182) odhalila, že používají skripty PowerShell ke stažení a spuštění softwaru AnyDesk pro vzdálený přístup. Také posílají vzdálené příkazy zakódované v Base64 do počítačů obětí pro bezproblémové ovládání.

Adaptivní a perzistentní: Krajina ohrožení vodního Gamayunu

Water Gamayun využívá více vektorů útoků, včetně podepsaných souborů MSI, LOLBinů a vlastních užitečných zatížení, zvýrazňuje jeho přizpůsobivost při narušení systémů. Jeho sofistikovaná C&C infrastruktura mu umožňuje udržovat dlouhodobou vytrvalost a vyhýbat se forenznímu vyšetřování.