CVE-2025-26633 Kerentanan

Menjelang Mezo pada Keterdedahan, Ancaman Berterusan Lanjutan (APT)

Terjemahkan ke

Water Gamayun telah secara aktif mengeksploitasi CVE-2025-26633 (aka MSC EvilTwin), kelemahan dalam rangka kerja Microsoft Management Console (MMC), untuk melaksanakan perisian hasad menggunakan fail Microsoft Console (.msc) yang jahat.

Isi kandungan

Pintu Belakang Baharu: SilentPrism dan DarkWisp

Penjenayah siber di sebalik serangan sifar hari ini telah menggunakan dua pintu belakang yang canggih—SilentPrism dan DarkWisp. Alat ini memudahkan kegigihan, peninjauan sistem dan alat kawalan jauh, menjadikannya aset yang berkuasa untuk pengintipan dan kecurian data. Operasi itu telah dikaitkan dengan kumpulan penggodaman berkaitan Rusia yang dikenali sebagai Water Gamayun, juga dipanggil EncryptHub dan LARVA-208.

Kaedah Serangan: Pakej Peruntukan dan Pemasang MSI

Water Gamayun terutamanya menyampaikan muatan melalui pakej peruntukan palsu, fail .msi yang ditandatangani dan fail MSC. Mereka menggunakan teknik seperti proses IntelliJ runnerw.exe untuk pelaksanaan arahan, meningkatkan kesembunyian dan keberkesanan.

Evolusi Pengedaran Perisian Hasad EncryptHub

Pada mulanya, EncryptHub mendapat perhatian pada Jun 2024 apabila mereka menggunakan repositori GitHub untuk mengedarkan pelbagai keluarga perisian hasad melalui tapak web WinRAR palsu. Sejak itu, mereka telah beralih kepada infrastruktur mereka sendiri untuk pementasan dan operasi Perintah-dan-Kawalan (C&C).

Menyamar sebagai Perisian Sah

Water Gamayun menyamarkan perisian hasadnya dalam pemasang .msi yang menyamar sebagai aplikasi tulen seperti DingTalk, QQTalk dan VooV Meeting. Pemasang ini melaksanakan pemuat turun PowerShell, mengambil dan menjalankan muatan peringkat seterusnya pada sistem yang terjejas.

SilentPrism dan DarkWisp: Implan PowerShell Stealthy

SilentPrism ialah implan berasaskan PowerShell yang mewujudkan kegigihan, melaksanakan berbilang arahan shell dan mengelak pengesanan menggunakan teknik anti-analisis.

DarkWisp, satu lagi pintu belakang PowerShell, pakar dalam peninjauan sistem, exfiltration data dan mengekalkan akses jangka panjang kepada mesin yang dijangkiti.

Komunikasi C&C dan Pelaksanaan Perintah

Setelah dijangkiti, perisian hasad mengeksfiltrasi data peninjauan ke pelayan C&C dan memasuki gelung berterusan, menunggu arahan melalui port TCP 8080. Perintah tiba dalam format COMMAND|, memastikan interaksi dan kawalan berterusan ke atas sistem mangsa.

MSC EvilTwin Loader: Menggunakan Rhadamanthys Stealer

Salah satu muatan yang paling membimbangkan dalam rantaian serangan ini ialah pemuat MSC EvilTwin, yang mengeksploitasi CVE-2025-26633 untuk melaksanakan fail .msc yang berniat jahat. Ini akhirnya membawa kepada penggunaan Rhadamanthys Stealer , perisian hasad terkenal yang direka untuk kecurian data.

Meluaskan Arsenal: Lebih Banyak Pencuri dan Varian Tersuai

Water Gamayun tidak hanya bergantung pada Rhadamanthys. Mereka juga mengedarkan StealC dan tiga pencuri berasaskan PowerShell tersuai—varian EncryptHub Stealer A, B dan C. Varian ini, berdasarkan Kematian Stealer sumber terbuka, mengekstrak data sistem yang luas, termasuk butiran anti-malware, perisian yang dipasang, konfigurasi rangkaian dan aplikasi yang sedang berjalan.

Menyasarkan Cryptocurrency dan Data Sensitif

Malware pencuri mengumpulkan pelbagai bukti kelayakan, termasuk kata laluan Wi-Fi, kunci produk Windows, data penyemak imbas dan sejarah papan keratan. Terutama, ia mencari secara eksplisit fail yang berkaitan dengan dompet mata wang kripto, yang menunjukkan niat untuk menuai frasa pemulihan dan aset kewangan.

Teknik Hidup-luar-Darat untuk Bersembunyi

Ciri unik satu varian EncryptHub Stealer ialah penggunaan teknik binari hidup-luar-tanah (LOLBin). Ia memanfaatkan runnerw.exe IntelliJ untuk memproksi pelaksanaan skrip PowerShell jauh, seterusnya mengelirukan aktivitinya.

Menyebarkan Perisian Hasad melalui Berbilang Saluran

Pakej MSI dan penitis binari Water Gamayun yang mengancam telah didapati mengedarkan keluarga perisian hasad tambahan, termasuk Lumma Stealer , Amadey dan pelbagai gunting tertumpu mata wang kripto.

Infrastruktur C&C: Kawalan Jauh melalui PowerShell

Analisis infrastruktur C&C Water Gamayun (terutamanya 82.115.223[.]182) telah mendedahkan bahawa mereka menggunakan skrip PowerShell untuk memuat turun dan melaksanakan perisian AnyDesk untuk akses jauh. Mereka juga menghantar arahan jauh berkod Base64 kepada mesin mangsa untuk kawalan yang lancar.

Adaptif dan Berterusan: Landskap Ancaman Gamayun Air

Penggunaan berbilang vektor serangan oleh Water Gamayun, termasuk fail MSI yang ditandatangani, LOLBins dan muatan tersuai, menyerlahkan kebolehsuaiannya dalam melanggar sistem. Infrastruktur C&C yang canggih membolehkannya mengekalkan kegigihan jangka panjang sambil mengelak penyiasatan forensik.

Video CVE-2025-26633 Kerentanan

Petua: HIDUPKAN bunyi anda dan tonton video dalam mod Skrin Penuh .

Pemproses Pembayaran EnigmaSoft Pemfailan Digital River GmbH untuk Kebankrapan Tidak Menjejas Perlindungan Anti-Hasad Pelanggan SpyHunter

Cari

Tukar Wilayah

CVE-2025-26633 Kerentanan

Pintu Belakang Baharu: SilentPrism dan DarkWisp

Kaedah Serangan: Pakej Peruntukan dan Pemasang MSI

Evolusi Pengedaran Perisian Hasad EncryptHub

Menyamar sebagai Perisian Sah

SilentPrism dan DarkWisp: Implan PowerShell Stealthy

Komunikasi C&C dan Pelaksanaan Perintah

MSC EvilTwin Loader: Menggunakan Rhadamanthys Stealer

Meluaskan Arsenal: Lebih Banyak Pencuri dan Varian Tersuai

Menyasarkan Cryptocurrency dan Data Sensitif

Teknik Hidup-luar-Darat untuk Bersembunyi

Menyebarkan Perisian Hasad melalui Berbilang Saluran

Infrastruktur C&C: Kawalan Jauh melalui PowerShell

Adaptif dan Berterusan: Landskap Ancaman Gamayun Air

Video CVE-2025-26633 Kerentanan

hantar komen

Trending

Penipuan E-mel Pembayaran Tertunggak

DisplayProgress

EnvironmentMax

Paling banyak dilihat

Penipuan E-mel 'Geek Squad'

Perisian hasad

Timbul Timbul 'iPhone Anda Telah Digodam'