Oferta rabatowa na wiele licencji
Baza danych zagrożeń Wrażliwość Luka w zabezpieczeniach CVE-2025-26633

Luka w zabezpieczeniach CVE-2025-26633

Do Mezo w Wrażliwość, Zaawansowane trwałe zagrożenie (APT)
Przetłumacz na:
Polski

Water Gamayun aktywnie wykorzystuje lukę CVE-2025-26633 (znaną również jako MSC EvilTwin), czyli lukę w zabezpieczeniach środowiska Microsoft Management Console (MMC), do uruchamiania złośliwego oprogramowania przy użyciu fałszywych plików Microsoft Console (.msc).

Nowe tylne drzwi: SilentPrism i DarkWisp

Cyberprzestępcy stojący za tym atakiem typu zero-day wdrożyli dwa wyrafinowane tylne drzwi — SilentPrism i DarkWisp. Narzędzia te ułatwiają trwałość, rozpoznanie systemu i zdalne sterowanie, co czyni je potężnymi narzędziami do szpiegostwa i kradzieży danych. Operację przypisuje się powiązanej z Rosją grupie hakerskiej znanej jako Water Gamayun, zwanej również EncryptHub i LARVA-208.

Metody ataku: pakiety provisioningowe i instalatory MSI

Water Gamayun dostarcza ładunki głównie za pośrednictwem fałszywych pakietów provisioningowych, podpisanych plików .msi i plików MSC. Stosują techniki takie jak proces IntelliJ runnerw.exe do wykonywania poleceń, zwiększając ukrycie i skuteczność.

Ewolucja dystrybucji złośliwego oprogramowania EncryptHub

Początkowo EncryptHub zyskało uwagę w czerwcu 2024 r., gdy wykorzystało repozytorium GitHub do dystrybucji różnych rodzin złośliwego oprogramowania za pośrednictwem fałszywej witryny WinRAR. Od tego czasu przeszli na własną infrastrukturę do przeprowadzania operacji stagingowych i Command-and-Control (C&C).

Podszywanie się pod legalne oprogramowanie

Water Gamayun ukrywa swoje złośliwe oprogramowanie w instalatorach .msi, udając prawdziwe aplikacje, takie jak DingTalk, QQTalk i VooV Meeting. Instalatory te uruchamiają program do pobierania PowerShell, pobierając i uruchamiając ładunki następnego etapu w zainfekowanych systemach.

SilentPrism i DarkWisp: ukryte implanty PowerShell

SilentPrism to implant oparty na programie PowerShell, który zapewnia trwałość, wykonuje wiele poleceń powłoki i unika wykrycia przy użyciu technik antyanalizy.

DarkWisp, kolejny backdoor w programie PowerShell, specjalizuje się w rozpoznaniu systemu, eksfiltracji danych i utrzymywaniu długoterminowego dostępu do zainfekowanych maszyn.

Komunikacja C&C i wykonywanie poleceń

Po zainfekowaniu złośliwe oprogramowanie przesyła dane rozpoznawcze do serwera C&C i wchodzi w pętlę, czekając na polecenia przesyłane przez port TCP 8080. Polecenia docierają w formacie COMMAND|, zapewniając ciągłą interakcję i kontrolę nad systemem ofiary.

MSC EvilTwin Loader: wdrażanie Rhadamanthys Stealer

Jednym z najbardziej niepokojących ładunków w tym łańcuchu ataków jest ładowarka MSC EvilTwin, która wykorzystuje lukę CVE-2025-26633 do wykonywania złośliwych plików .msc. Ostatecznie prowadzi to do wdrożenia Rhadamanthys Stealer , znanego złośliwego oprogramowania przeznaczonego do kradzieży danych.

Rozszerzenie arsenału: Więcej złodziei i wariantów niestandardowych

Water Gamayun nie polega wyłącznie na Rhadamanthys. Dystrybuują również StealC i trzy niestandardowe stealery oparte na PowerShell — warianty EncryptHub Stealer A, B i C. Te warianty, oparte na open-source Kematian Stealer, wyodrębniają rozległe dane systemowe, w tym szczegóły antywirusowe, zainstalowane oprogramowanie, konfiguracje sieciowe i uruchomione aplikacje.

Celowanie w kryptowalutę i poufne dane

Złośliwe oprogramowanie typu stealer gromadzi szeroki zakres danych uwierzytelniających, w tym hasła Wi-Fi, klucze produktów Windows, dane przeglądarki i historię schowka. Co ciekawe, przeszukuje ono wyraźnie pliki związane z portfelami kryptowalut, wskazując na zamiar zbierania fraz odzyskiwania i aktywów finansowych.

Techniki życia poza lądem dla ukrycia

Unikalną cechą jednej z odmian EncryptHub Stealer jest wykorzystanie techniki living-off-the-land binary (LOLBin). Wykorzystuje runnerw.exe IntelliJ do proxy wykonywania zdalnych skryptów PowerShell, co jeszcze bardziej zaciemnia jego działanie.

Rozprzestrzenianie się złośliwego oprogramowania za pośrednictwem wielu kanałów

Odkryto, że groźne pakiety MSI i programy typu dropper firmy Water Gamayun służą do dystrybucji kolejnych rodzin złośliwego oprogramowania, w tym Lumma Stealer , Amadey i różnych programów typu clipper ukierunkowanych na kryptowaluty.

Infrastruktura C&C: Zdalne sterowanie za pomocą programu PowerShell

Analiza infrastruktury C&C Water Gamayun (w szczególności 82.115.223[.]182) wykazała, że używają skryptów PowerShell do pobierania i uruchamiania oprogramowania AnyDesk w celu zdalnego dostępu. Wysyłają również zdalne polecenia zakodowane w Base64 do komputerów ofiar w celu zapewnienia płynnej kontroli.

Adaptacyjny i trwały: krajobraz zagrożeń Water Gamayun

Wykorzystanie przez Water Gamayun wielu wektorów ataku, w tym podpisanych plików MSI, LOLBins i niestandardowych ładunków, podkreśla jego zdolność adaptacji do naruszania systemów. Jego zaawansowana infrastruktura C&C pozwala mu zachować długoterminową trwałość, jednocześnie unikając dochodzeń kryminalistycznych.

Luka w zabezpieczeniach CVE-2025-26633 wideo

Wskazówka: Proszę włączyć dźwięk ON i oglądać filmy w trybie pełnoekranowym.

Popularne

Najczęściej oglądane

Ładowanie...