قیمت چند مجوز تخفیف
پایگاه داده تهدید آسیب پذیری آسیب پذیری CVE-2025-26633

آسیب پذیری CVE-2025-26633

تا Mezo در آسیب پذیری, تهدید مداوم پیشرفته (APT)
ترجمه به:
فارسی

Water Gamayun به طور فعال از CVE-2025-26633 (معروف به MSC EvilTwin)، یک آسیب‌پذیری در چارچوب کنسول مدیریت مایکروسافت (MMC) برای اجرای بدافزار با استفاده از فایل‌های سرکش مایکروسافت کنسول (.msc) استفاده می‌کند.

درهای پشتی جدید: SilentPrism و DarkWisp

مجرمان سایبری پشت این حمله روز صفر، دو درب پشتی پیچیده - SilentPrism و DarkWisp را مستقر کرده‌اند. این ابزارها تداوم، شناسایی سیستم و کنترل از راه دور را تسهیل می کنند و آنها را به دارایی های قدرتمندی برای جاسوسی و سرقت اطلاعات تبدیل می کنند. این عملیات به یک گروه هکر مرتبط با روسیه معروف به واتر گامایون، که EncryptHub و LARVA-208 نیز نامیده می شود، نسبت داده شده است.

روش‌های حمله: تهیه بسته‌ها و نصب‌کنندگان MSI

Water Gamayun اساساً محموله ها را از طریق بسته های تقلبی تأمین، فایل های .msi امضا شده و فایل های MSC تحویل می دهد. آنها از تکنیک هایی مانند فرآیند IntelliJ runnerw.exe برای اجرای فرمان، افزایش مخفی کاری و اثربخشی استفاده می کنند.

تکامل توزیع بدافزار EncryptHub

در ابتدا، EncryptHub در ژوئن 2024 زمانی که از یک مخزن GitHub برای توزیع خانواده‌های مختلف بدافزار از طریق یک وب‌سایت جعلی WinRAR استفاده کرد، مورد توجه قرار گرفت. از آن زمان، آنها به زیرساخت های خود برای عملیات مرحله بندی و فرماندهی و کنترل (C&C) روی آورده اند.

جلوه دادن به عنوان نرم افزار قانونی

Water Gamayun بدافزار خود را در نصب‌کننده‌های .msi پنهان می‌کند که به عنوان برنامه‌های کاربردی واقعی مانند DingTalk، QQTalk، و VooV Meeting ظاهر می‌شوند. این نصب‌کننده‌ها یک دانلودر PowerShell را اجرا می‌کنند و بارهای مرحله بعدی را بر روی سیستم‌های در معرض خطر واکشی و اجرا می‌کنند.

SilentPrism و DarkWisp: ایمپلنت های PowerShell Stealthy

SilentPrism یک ایمپلنت مبتنی بر PowerShell است که پایداری را ایجاد می کند، چندین دستور پوسته را اجرا می کند و با استفاده از تکنیک های ضد آنالیز از تشخیص فرار می کند.

DarkWisp، دیگر درب پشتی PowerShell، در شناسایی سیستم، استخراج داده ها و حفظ دسترسی طولانی مدت به ماشین های آلوده تخصص دارد.

C&C ارتباط و اجرای فرمان

پس از آلوده شدن، بدافزار داده‌های شناسایی را به سرور C&C منتقل می‌کند و وارد یک حلقه پیوسته می‌شود و منتظر دستورات از طریق پورت TCP 8080 است. فرمان‌ها در قالب COMMAND| می‌رسند و از تعامل و کنترل مداوم بر سیستم قربانی اطمینان می‌دهند.

MSC EvilTwin Loader: استقرار Rhadamanthys Stealer

یکی از نگران کننده ترین بارها در این زنجیره حمله، بارگذار MSC EvilTwin است که از CVE-2025-26633 برای اجرای فایل های msc مخرب سوء استفاده می کند. این در نهایت منجر به استقرار Rhadamanthys Stealer می شود ، بدافزار معروفی که برای سرقت اطلاعات طراحی شده است.

گسترش آرسنال: دزدان بیشتر و انواع سفارشی

واتر گامایون تنها به رادامانتیس متکی نیست. آنها همچنین StealC و سه دزد سفارشی مبتنی بر PowerShell-EncryptHub Stealer گونه های A، B و C را توزیع می کنند. این گونه ها، بر اساس منبع باز Kematian Stealer، داده های سیستم گسترده ای از جمله جزئیات ضد بدافزار، نرم افزار نصب شده، تنظیمات شبکه و برنامه های کاربردی در حال اجرا را استخراج می کنند.

هدف گذاری ارزهای دیجیتال و داده های حساس

بدافزار دزد طیف گسترده ای از اعتبارنامه ها، از جمله رمزهای عبور Wi-Fi، کلیدهای محصول ویندوز، داده های مرورگر و تاریخچه کلیپ بورد را جمع آوری می کند. قابل ذکر است که به طور صریح فایل‌های مربوط به کیف پول‌های ارزهای دیجیتال را جستجو می‌کند، که نشان‌دهنده قصد برداشت عبارات بازیابی و دارایی‌های مالی است.

تکنیک های زندگی در خارج از زمین برای مخفی کاری

یکی از ویژگی‌های منحصربه‌فرد یک نوع EncryptHub Stealer، استفاده از تکنیک باینری زنده خارج از زمین (LOLBin) است. این برنامه از runnerw.exe IntelliJ برای پراکسی اجرای اسکریپت های PowerShell راه دور استفاده می کند و فعالیت آن را بیشتر مبهم می کند.

انتشار بدافزار از طریق چندین کانال

بسته‌های تهدیدکننده MSI و قطره‌کن‌های باینری Water Gamayun یافت شده‌اند که خانواده‌های بدافزار دیگری از جمله Lumma Stealer ، Amadey و کلیپرهای مختلف متمرکز بر ارزهای دیجیتال را توزیع می‌کنند.

زیرساخت C&C: کنترل از راه دور از طریق PowerShell

تجزیه و تحلیل زیرساخت های C&C Water Gamayun (به ویژه 82.115.223[.]182) نشان داده است که آنها از اسکریپت های PowerShell برای دانلود و اجرای نرم افزار AnyDesk برای دسترسی از راه دور استفاده می کنند. آنها همچنین دستورات از راه دور با کد Base64 را برای کنترل یکپارچه به ماشین های قربانی ارسال می کنند.

تطبیقی و پایدار: چشم انداز تهدید آب گامایون

استفاده Water Gamayun از چندین بردار حمله، از جمله فایل‌های امضا شده MSI، LOLBins و بارهای سفارشی، سازگاری آن را در سیستم‌های نفوذی برجسته می‌کند. زیرساخت پیچیده C&C این امکان را به آن می دهد تا در عین فرار از تحقیقات پزشکی قانونی، پایداری طولانی مدت خود را حفظ کند.

آسیب پذیری CVE-2025-26633 ویدیو

نکته: صدای خود را روشن کنید و ویدیو را در حالت تمام صفحه تماشا کنید .

پرطرفدار

Overdue Payment Email Scam

فیشینگ, هرزنامه
تهدیدات سایبری هر روز در حال توسعه هستند و کلاهبرداران به طور مداوم تاکتیک های جدیدی را برای سوء استفاده از افراد ناآگاه ایجاد می کنند. یکی از این طرح‌ها، کلاهبرداری از طریق ایمیل با پرداخت معوقه، قربانیان را با ادعاهای ساختگی مبنی بر پول بی‌مورد جذب می‌کند. درک نحوه عملکرد این تاکتیک برای محافظت از خود و دیگران از ضرر مالی و سرقت هویت بسیار مهم است. تاکتیک معرفی شده: چگونه کار می کند کارشناسان...

DisplayProgress

بدافزار مک, ابزارهای تبلیغاتی مزاحم, برنامه های بالقوه ناخواسته
چشم انداز دیجیتال مملو از تهدیداتی است که کاربران ناخواسته را هدف قرار می دهد و برنامه های بالقوه ناخواسته (PUP) از فریبنده ترین آنها هستند. این برنامه ها اغلب از طریق تاکتیک های گمراه کننده، ارائه...

EnvironmentMax

بدافزار مک, ابزارهای تبلیغاتی مزاحم, برنامه های بالقوه ناخواسته
کاربران مک اغلب بر این باورند که دستگاه‌هایشان در برابر تهدیدات مصون هستند، اما برنامه‌های بالقوه ناخواسته (PUP) این فرض را به چالش می‌کشند. این برنامه های مزاحم خود را به عنوان ابزارهای ارزشمند...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
29,819
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...