Ευπάθεια CVE-2025-26633
Το Water Gamayun εκμεταλλεύεται ενεργά το CVE-2025-26633 (γνωστό και ως MSC EvilTwin), μια ευπάθεια στο πλαίσιο της Microsoft Management Console (MMC), για την εκτέλεση κακόβουλου λογισμικού χρησιμοποιώντας αδίστακτα αρχεία Microsoft Console (.msc).
Πίνακας περιεχομένων
Νέα Backdoors: SilentPrism και DarkWisp
Οι κυβερνοεγκληματίες πίσω από αυτήν την επίθεση μηδενικής ημέρας έχουν αναπτύξει δύο εξελιγμένες κερκόπορτες — το SilentPrism και το DarkWisp. Αυτά τα εργαλεία διευκολύνουν την επιμονή, την αναγνώριση συστήματος και τον τηλεχειρισμό, καθιστώντας τα ισχυρά πλεονεκτήματα για κατασκοπεία και κλοπή δεδομένων. Η επιχείρηση έχει αποδοθεί σε μια ομάδα hacking που συνδέεται με τη Ρωσία, γνωστή ως Water Gamayun, που ονομάζεται επίσης EncryptHub και LARVA-208.
Μέθοδοι επίθεσης: Παροχή πακέτων και εγκαταστάτες MSI
Το Water Gamayun παραδίδει κυρίως ωφέλιμα φορτία μέσω δόλιων πακέτων παροχής, υπογεγραμμένων αρχείων .msi και αρχείων MSC. Χρησιμοποιούν τεχνικές όπως η διαδικασία IntelliJ runnerw.exe για την εκτέλεση εντολών, αυξάνοντας τη μυστικότητα και την αποτελεσματικότητα.
Η εξέλιξη της διανομής κακόβουλου λογισμικού του EncryptHub
Αρχικά, το EncryptHub κέρδισε την προσοχή τον Ιούνιο του 2024 όταν χρησιμοποίησε ένα αποθετήριο GitHub για να διανείμει διάφορες οικογένειες κακόβουλου λογισμικού μέσω ενός ψεύτικο ιστότοπου WinRAR. Έκτοτε, έχουν μετατοπιστεί στη δική τους υποδομή για επιχειρήσεις σταδιοποίησης και Διοίκησης και Ελέγχου (C&C).
Μεταμφιεσμένος ως νόμιμο λογισμικό
Το Water Gamayun συγκαλύπτει το κακόβουλο λογισμικό του σε προγράμματα εγκατάστασης .msi παριστάνοντας τις γνήσιες εφαρμογές όπως το DingTalk, το QQTalk και το VooV Meeting. Αυτά τα προγράμματα εγκατάστασης εκτελούν ένα πρόγραμμα λήψης PowerShell, ανακτώντας και εκτελώντας ωφέλιμα φορτία επόμενου σταδίου σε παραβιασμένα συστήματα.
SilentPrism και DarkWisp: Εμφυτεύματα Stealthy PowerShell
Το SilentPrism είναι ένα εμφύτευμα που βασίζεται σε PowerShell που καθιερώνει την ανθεκτικότητα, εκτελεί πολλαπλές εντολές κελύφους και αποφεύγει την ανίχνευση χρησιμοποιώντας τεχνικές αντι-ανάλυσης.
Το DarkWisp, μια άλλη κερκόπορτα του PowerShell, ειδικεύεται στην αναγνώριση συστημάτων, την εξαγωγή δεδομένων και τη διατήρηση μακροπρόθεσμης πρόσβασης σε μολυσμένα μηχανήματα.
C&C Επικοινωνία και εκτέλεση εντολών
Μόλις μολυνθεί, το κακόβουλο λογισμικό διοχετεύει δεδομένα αναγνώρισης στον διακομιστή C&C και εισέρχεται σε έναν συνεχή βρόχο, περιμένοντας εντολές μέσω της θύρας TCP 8080. Οι εντολές φτάνουν σε μορφή COMMAND|
MSC EvilTwin Loader: Ανάπτυξη του Rhadamanthys Stealer
Ένα από τα πιο ανησυχητικά ωφέλιμα φορτία σε αυτήν την αλυσίδα επίθεσης είναι ο φορτωτής MSC EvilTwin, ο οποίος εκμεταλλεύεται το CVE-2025-26633 για να εκτελέσει κακόβουλα αρχεία .msc. Αυτό οδηγεί τελικά στην ανάπτυξη του Rhadamanthys Stealer , ενός πολύ γνωστού κακόβουλου λογισμικού που έχει σχεδιαστεί για κλοπή δεδομένων.
Επέκταση του Arsenal: Περισσότερα κλέφτες και προσαρμοσμένες παραλλαγές
Το Water Gamayun δεν βασίζεται αποκλειστικά στο Rhadamanthys. Διανέμουν επίσης το StealC και τρεις προσαρμοσμένους κλέφτες που βασίζονται στο PowerShell—EncryptHub Stealer παραλλαγές A, B και C. Αυτές οι παραλλαγές, βασισμένες στο ανοιχτού κώδικα Kematian Stealer, εξάγουν εκτεταμένα δεδομένα συστήματος, συμπεριλαμβανομένων λεπτομερειών κατά του κακόβουλου λογισμικού, εγκατεστημένου λογισμικού, διαμορφώσεων δικτύου και εφαρμογών που εκτελούνται.
Στόχευση κρυπτονομισμάτων και ευαίσθητων δεδομένων
Το κακόβουλο λογισμικό κλοπής συγκεντρώνει ένα ευρύ φάσμα διαπιστευτηρίων, συμπεριλαμβανομένων των κωδικών πρόσβασης Wi-Fi, των κλειδιών προϊόντων των Windows, των δεδομένων του προγράμματος περιήγησης και του ιστορικού του προχείρου. Συγκεκριμένα, αναζητά ρητά αρχεία που σχετίζονται με πορτοφόλια κρυπτονομισμάτων, υποδεικνύοντας την πρόθεση συλλογής φράσεων ανάκτησης και χρηματοοικονομικών περιουσιακών στοιχείων.
Living-off-the-Land Techniques for Stealth
Ένα μοναδικό χαρακτηριστικό μιας παραλλαγής του EncryptHub Stealer είναι η χρήση μιας τεχνικής δυαδικού συστήματος live-off-the-land (LOLBin). Αξιοποιεί το runnerw.exe της IntelliJ για να διαμεσολαβήσει την εκτέλεση απομακρυσμένων σεναρίων PowerShell, περιορίζοντας περαιτέρω τη δραστηριότητά του.
Διάδοση κακόβουλου λογισμικού μέσω πολλαπλών καναλιών
Τα απειλητικά πακέτα MSI και τα δυαδικά σταγονόμετρα του Water Gamayun έχουν βρεθεί ότι διανέμουν πρόσθετες οικογένειες κακόβουλου λογισμικού, συμπεριλαμβανομένων των Lumma Stealer , Amadey και διάφορων clipper που εστιάζουν στα κρυπτονομίσματα.
Υποδομή C&C: Τηλεχειριστήριο μέσω PowerShell
Η ανάλυση της υποδομής C&C του Water Gamayun (κυρίως 82.115.223[.]182) αποκάλυψε ότι χρησιμοποιούν σενάρια PowerShell για λήψη και εκτέλεση του λογισμικού AnyDesk για απομακρυσμένη πρόσβαση. Στέλνουν επίσης απομακρυσμένες εντολές με κωδικοποίηση Base64 σε μηχανές-θύματα για απρόσκοπτο έλεγχο.
Προσαρμοστικό και επίμονο: Τοπίο απειλής του νερού Gamayun
Η χρήση πολλαπλών διανυσμάτων επίθεσης από το Water Gamayun, συμπεριλαμβανομένων των υπογεγραμμένων αρχείων MSI, των LOLBins και των προσαρμοσμένων ωφέλιμων φορτίων, υπογραμμίζει την προσαρμοστικότητά του σε συστήματα παραβίασης. Η εξελιγμένη υποδομή C&C του επιτρέπει να διατηρεί μακροπρόθεσμη επιμονή αποφεύγοντας τις ιατροδικαστικές έρευνες.
Ευπάθεια CVE-2025-26633 βίντεο
Συμβουλή: Ενεργοποιήστε τον ήχο σας και παρακολουθήστε το βίντεο σε λειτουργία πλήρους οθόνης .
