Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Sebezhetőség CVE-2025-26633 Sebezhetőség

CVE-2025-26633 Sebezhetőség

Mezo -ra Sebezhetőség, Advanced Persistent Threat (APT)-ben
Fordítás ide:
Magyar

A Water Gamayun aktívan kihasználta a CVE-2025-26633 (más néven MSC EvilTwin), a Microsoft Management Console (MMC) keretrendszer egyik biztonsági rését, hogy rosszindulatú programokat hajtson végre a Microsoft Console (.msc) csaló fájlok használatával.

Új hátsó ajtók: SilentPrism és DarkWisp

A nulladik napi támadás mögött álló kiberbűnözők két kifinomult hátsó ajtót telepítettek: a SilentPrism és a DarkWisp. Ezek az eszközök megkönnyítik a kitartást, a rendszer felderítését és a távirányítást, így hatékony eszközökké válnak a kémkedésben és az adatlopásban. A műveletet a Water Gamayun néven ismert oroszországi hackercsoportnak tulajdonították, amelyet EncryptHubnak és LARVA-208-nak is neveznek.

Támadási módszerek: Csomagok és MSI-telepítők biztosítása

A Water Gamayun elsősorban csalárd kiépítési csomagokon, aláírt .msi- és MSC-fájlokon keresztül szállítja a hasznos terheket. Olyan technikákat alkalmaznak, mint az IntelliJ runnerw.exe folyamat a parancsok végrehajtására, növelve a lopakodást és a hatékonyságot.

Az EncryptHub kártevő-terjesztésének fejlődése

Kezdetben az EncryptHub 2024 júniusában hívta fel magára a figyelmet, amikor egy GitHub adattárat használtak különféle rosszindulatú programcsaládok terjesztésére egy hamis WinRAR webhelyen keresztül. Azóta áttértek a saját infrastruktúrájukra a staging és Command-and-Control (C&C) műveletekhez.

Legitimate Software-nek álcázva magát

A Water Gamayun a rosszindulatú programokat az .msi telepítőkön belül rejti el, és valódi alkalmazásoknak adja ki magát, mint például a DingTalk, a QQTalk és a VooV Meeting. Ezek a telepítők PowerShell letöltőt hajtanak végre, lekérve és lefuttatva a következő szintű hasznos adatokat a feltört rendszereken.

SilentPrism és DarkWisp: Stealthy PowerShell implantátumok

A SilentPrism egy PowerShell-alapú implantátum, amely biztosítja a kitartást, több shell parancsot hajt végre, és antianalízis technikákkal elkerüli az észlelést.

A DarkWisp, egy másik PowerShell-hátsó ajtó, a rendszerfelderítésre, az adatok kiszűrésére és a fertőzött gépekhez való hosszú távú hozzáférés fenntartására specializálódott.

C&C kommunikáció és parancsvégrehajtás

A megfertőződést követően a rosszindulatú program kiszivárogtatja a felderítő adatokat a C&C szerverre, és folyamatos hurokba lép, és a 8080-as TCP-porton keresztül várja a parancsokat. A parancsok COMMAND| formátumban érkeznek, biztosítva a folyamatos interakciót és az áldozat rendszerének ellenőrzését.

MSC EvilTwin Loader: A Rhadamanthys Stealer telepítése

Ebben a támadási láncban az egyik leginkább aggasztó rakomány az MSC EvilTwin betöltő, amely a CVE-2025-26633 kódot használja ki rosszindulatú .msc fájlok futtatására. Ez végül a Rhadamanthys Stealer telepítéséhez vezet , amely egy jól ismert rosszindulatú program, amelyet adatlopásra terveztek.

Az Arzenál bővítése: További tolvajok és egyedi változatok

A Water Gamayun nem csak Rhadamanthysra támaszkodik. Terjesztik a StealC-t és három egyedi PowerShell-alapú lopakodót is – az EncryptHub Stealer A, B és C változatát. Ezek a nyílt forráskódú Kematian Stealer változatok kiterjedt rendszeradatokat gyűjtenek ki, beleértve a kártevőirtó részleteket, a telepített szoftvereket, a hálózati konfigurációkat és a futó alkalmazásokat.

Kriptovaluta és érzékeny adatok célzása

A lopó kártevő a hitelesítő adatok széles skáláját gyűjti össze, beleértve a Wi-Fi jelszavakat, a Windows termékkulcsokat, a böngészőadatokat és a vágólap előzményeit. Nevezetesen, kifejezetten a kriptovaluta pénztárcákkal kapcsolatos fájlokat keresi, jelezve a helyreállítási kifejezések és pénzügyi eszközök begyűjtésének szándékát.

A földön kívüli élet technikái a lopakodáshoz

Az egyik EncryptHub Stealer variáns egyedülálló tulajdonsága, hogy egy élő-off-the-land bináris (LOLBin) technikát alkalmaz. Az IntelliJ runnerw.exe-jét használja fel a távoli PowerShell-szkriptek végrehajtásának proxyjára, így tovább zavarja tevékenységét.

Rosszindulatú programok terjesztése több csatornán keresztül

A Water Gamayun fenyegető MSI-csomagjairól és bináris droppereiről kiderült, hogy további rosszindulatú programcsaládokat terjesztenek, beleértve a Lumma Stealert , az Amadey-t és a különféle kriptovalutára fókuszáló klipereket.

C&C infrastruktúra: Távvezérlés a PowerShell-en keresztül

A Water Gamayun C&C infrastruktúrájának elemzése (nevezetesen a 82.115.223[.]182) feltárta, hogy PowerShell-szkripteket használnak az AnyDesk szoftver letöltéséhez és futtatásához távoli eléréshez. A zökkenőmentes vezérlés érdekében Base64-kódolású távoli parancsokat is küldenek az áldozat gépeinek.

Alkalmazkodó és kitartó: Water Gamayun’s Threat Landscape

Az, hogy a Water Gamayun többféle támadási vektort használ, beleértve az aláírt MSI fájlokat, LOLBineket és egyéni hasznos adatokat, rávilágít arra, hogy képes alkalmazkodni a feltörési rendszerekben. Kifinomult C&C infrastruktúrája lehetővé teszi a hosszú távú kitartás fenntartását, miközben elkerüli a törvényszéki vizsgálatokat.

CVE-2025-26633 Sebezhetőség videó

Tipp: Kapcsolja BE a hangot, és nézze meg a videót teljes képernyős módban .

Felkapott

Késedelmes fizetési e-mail átverés

Adathalászat, Spam
A kiberfenyegetések naponta fejlődnek, és a csalók folyamatosan új taktikákat dolgoznak ki a gyanútlan egyének kizsákmányolására. Az egyik ilyen rendszer, a Késedelmes fizetési e-mail-átverés, az áldozatokat zsákmányolja azzal, hogy fel nem vett pénzről szóló koholt követelésekkel csábítja őket. E taktika működésének megértése alapvető fontosságú ahhoz, hogy megvédje magát és másokat a pénzügyi...

Legnézettebb

Betöltés...