Popust za več licenc
Podjetje o grožnjah Ranljivost CVE-2025-26633 Ranljivost

CVE-2025-26633 Ranljivost

Do leta Mezo leta Ranljivost, Napredna trajna grožnja (APT)
Prevedi v:
Slovenščina

Water Gamayun aktivno izkorišča CVE-2025-26633 (alias MSC EvilTwin), ranljivost v ogrodju Microsoft Management Console (MMC), za izvajanje zlonamerne programske opreme z lažnimi datotekami Microsoft Console (.msc).

Nova zadnja vrata: SilentPrism in DarkWisp

Kibernetski kriminalci, ki stojijo za tem napadom ničelnega dne, so uporabili dve sofisticirani backdoors-SilentPrism in DarkWisp. Ta orodja omogočajo vztrajnost, sistemsko izvidovanje in daljinsko upravljanje, zaradi česar so močna sredstva za vohunjenje in krajo podatkov. Operacija je bila pripisana hekerski skupini, povezani z Rusijo, znani kot Water Gamayun, imenovani tudi EncryptHub in LARVA-208.

Metode napada: paketi za zagotavljanje in namestitveni programi MSI

Water Gamayun primarno dostavlja koristne tovore prek goljufivih paketov za zagotavljanje, podpisanih datotek .msi in datotek MSC. Za izvajanje ukazov uporabljajo tehnike, kot je postopek IntelliJ runnerw.exe, s čimer povečajo prikritost in učinkovitost.

Razvoj distribucije zlonamerne programske opreme EncryptHub

Sprva je EncryptHub pritegnil pozornost junija 2024, ko so uporabili repozitorij GitHub za distribucijo različnih družin zlonamerne programske opreme prek lažnega spletnega mesta WinRAR. Od takrat so se preusmerili na lastno infrastrukturo za uprizarjanje in operacije poveljevanja in nadzora (C&C).

Prekrivanje kot zakonita programska oprema

Water Gamayun prikrije svojo zlonamerno programsko opremo v namestitvenih programih .msi, ki se predstavljajo kot pristne aplikacije, kot so DingTalk, QQTalk in VooV Meeting. Ti namestitveni programi izvajajo prenosnik PowerShell, pridobivajo in izvajajo koristne obremenitve naslednje stopnje na ogroženih sistemih.

SilentPrism in DarkWisp: prikriti vsadki PowerShell

SilentPrism je vsadek na osnovi PowerShell, ki vzpostavi obstojnost, izvede več ukazov lupine in se izogne zaznavanju s tehnikami protianalize.

DarkWisp, še ena stranska vrata PowerShell, je specializirano za izvidovanje sistema, ekstrakcijo podatkov in vzdrževanje dolgoročnega dostopa do okuženih strojev.

C&C komunikacija in izvajanje ukazov

Ko je okužena, zlonamerna programska oprema eksfiltrira izvidniške podatke v strežnik C&C in vstopi v neprekinjeno zanko ter čaka na ukaze prek vrat TCP 8080. Ukazi prispejo v formatu COMMAND|, kar zagotavlja stalno interakcijo in nadzor nad sistemom žrtve.

MSC EvilTwin Loader: uvajanje Rhadamanthys Stealerja

Eden najbolj zaskrbljujočih koristnih obremenitev v tej verigi napadov je nalagalnik MSC EvilTwin, ki izkorišča CVE-2025-26633 za izvajanje zlonamernih datotek .msc. To končno vodi do uvedbe Rhadamanthys Stealerja , dobro znane zlonamerne programske opreme, zasnovane za krajo podatkov.

Razširitev arzenala: več kradljivcev in različic po meri

Water Gamayun se ne zanaša samo na Rhadamanthys. Distribuirajo tudi StealC in tri kraje po meri, ki temeljijo na PowerShell – EncryptHub Stealer različice A, B in C. Te različice, ki temeljijo na odprtokodnem Kematian Stealerju, ekstrahirajo obsežne sistemske podatke, vključno s podrobnostmi o zaščiti pred zlonamerno programsko opremo, nameščeno programsko opremo, omrežne konfiguracije in delujoče aplikacije.

Ciljanje na kriptovalute in občutljive podatke

Ta zlonamerna programska oprema zbere širok nabor poverilnic, vključno z gesli za Wi-Fi, ključi izdelka Windows, podatki brskalnika in zgodovino odložišča. Predvsem eksplicitno išče datoteke, povezane z denarnicami za kriptovalute, kar kaže na namen zbiranja stavkov za obnovitev in finančnih sredstev.

Tehnike življenja izven zemlje za prikrite

Edinstvena značilnost ene različice EncryptHub Stealer je uporaba binarne tehnike življenja zunaj zemlje (LOLBin). Izkorišča IntelliJ-ov runnerw.exe za posredovanje izvajanja oddaljenih skriptov PowerShell, kar dodatno zamegli njegovo dejavnost.

Širjenje zlonamerne programske opreme prek več kanalov

Ugotovljeno je bilo, da grozeči paketi MSI in binarni dropperji podjetja Water Gamayun distribuirajo dodatne družine zlonamerne programske opreme, vključno z Lumma Stealer , Amadey in različnimi kliperji, osredotočenimi na kriptovalute.

C&C infrastruktura: daljinski nadzor prek PowerShell

Analiza C&C infrastrukture podjetja Water Gamayun (zlasti 82.115.223[.]182) je pokazala, da uporabljajo skripte PowerShell za prenos in izvajanje programske opreme AnyDesk za oddaljeni dostop. Prav tako pošiljajo ukaze na daljavo, kodirane z Base64, žrtvi za brezhiben nadzor.

Prilagodljiv in vztrajen: Nevarna pokrajina vodnega Gamayuna

Water Gamayun uporablja več vektorjev napadov, vključno s podpisanimi datotekami MSI, LOLBini in uporabnimi obremenitvami po meri, poudarja njegovo prilagodljivost pri vdoru v sisteme. Njegova sofisticirana C&C infrastruktura mu omogoča dolgoročno obstojnost in hkrati izogibanje forenzičnim preiskavam.

CVE-2025-26633 Ranljivost Video

Nasvet: Obrnite zvok ON in si ogledate video v Full Screen načinu.

V trendu

E-poštna prevara pri zapadlih plačilih

Lažno predstavljanje, Neželena pošta
Kibernetske grožnje se vsak dan razvijajo in goljufi nenehno oblikujejo nove taktike za izkoriščanje nič hudega slutečih posameznikov. Ena taka shema, e-poštna prevara z zamudo pri plačilu, preži na žrtve tako, da jih zvabi z izmišljenimi zahtevki za nezahtevan denar. Razumevanje delovanja te taktike je ključnega pomena za zaščito sebe in drugih pred finančno izgubo in krajo identitete....

Najbolj gledan

Nalaganje...