Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Cenueshmëria CVE-2025-26633 Cenueshmëria

CVE-2025-26633 Cenueshmëria

Nga MezoCenueshmëria, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:
Shqip

Water Gamayun ka shfrytëzuar në mënyrë aktive CVE-2025-26633 (aka MSC EvilTwin), një dobësi në kornizën e Microsoft Management Console (MMC), për të ekzekutuar programe keqdashëse duke përdorur skedarë mashtrues të Microsoft Console (.msc).

Backdoors të reja: SilentPrism dhe DarkWisp

Kriminelët kibernetikë pas këtij sulmi të ditës zero kanë vendosur dy dyer të sofistikuara të pasme - SilentPrism dhe DarkWisp. Këto mjete lehtësojnë këmbënguljen, zbulimin e sistemit dhe kontrollin në distancë, duke i bërë ato mjete të fuqishme për spiunazh dhe vjedhje të të dhënave. Operacioni i është atribuar një grupi hakerash të lidhur me Rusinë të njohur si Water Gamayun, i quajtur gjithashtu EncryptHub dhe LARVA-208.

Metodat e sulmit: Sigurimi i paketave dhe instaluesit MSI

Water Gamayun kryesisht shpërndan ngarkesa përmes paketave mashtruese të furnizimit, skedarëve të nënshkruar .msi dhe skedarëve MSC. Ata përdorin teknika si procesi IntelliJ runnerw.exe për ekzekutimin e komandës, duke rritur fshehtësinë dhe efektivitetin.

Evolucioni i shpërndarjes së malware të EncryptHub

Fillimisht, EncryptHub fitoi vëmendjen në qershor 2024 kur përdori një depo GitHub për të shpërndarë familje të ndryshme malware përmes një faqe interneti të rreme WinRAR. Që atëherë, ata janë zhvendosur në infrastrukturën e tyre për operacionet e vendosjes dhe komandimit dhe kontrollit (C&C).

Duke u maskuar si softuer legjitim

Water Gamayun maskon malware-in e tij brenda instaluesve .msi duke u paraqitur si aplikacione origjinale si DingTalk, QQTalk dhe VooV Meeting. Këta instalues ekzekutojnë një shkarkues PowerShell, duke marrë dhe ekzekutuar ngarkesat e fazës tjetër në sisteme të komprometuara.

SilentPrism dhe DarkWisp: Implantet Stealthy PowerShell

SilentPrism është një implant i bazuar në PowerShell që vendos qëndrueshmërinë, ekzekuton komanda të shumta të guaskës dhe shmang zbulimin duke përdorur teknika anti-analizë.

DarkWisp, një tjetër porta e pasme e PowerShell, është e specializuar në zbulimin e sistemit, nxjerrjen e të dhënave dhe ruajtjen e aksesit afatgjatë në makinat e infektuara.

C&C Komunikimi dhe Ekzekutimi i Komandës

Pasi të infektohet, malware depërton të dhënat e zbulimit në serverin C&C dhe hyn në një qark të vazhdueshëm, duke pritur për komanda nëpërmjet portit TCP 8080. Komandat mbërrijnë në një format COMMAND|, duke siguruar ndërveprim dhe kontroll të vazhdueshëm mbi sistemin e viktimës.

MSC EvilTwin Loader: Vendosja e vjedhësit Rhadamanthys

Një nga ngarkesat më shqetësuese në këtë zinxhir sulmi është ngarkuesi MSC EvilTwin, i cili shfrytëzon CVE-2025-26633 për të ekzekutuar skedarë me qëllim të keq .msc. Kjo përfundimisht çon në vendosjen e Rhadamanthys Stealer , një malware i njohur i krijuar për vjedhjen e të dhënave.

Zgjerimi i Arsenalit: Më shumë vjedhës dhe variante të personalizuara

Uji Gamayun nuk mbështetet vetëm në Rhadamanthys. Ata shpërndajnë gjithashtu StealC dhe tre vjedhës të personalizuar të bazuar në PowerShell—Variantet EncryptHub Stealer A, B dhe C. Këto variante, të bazuara në Kematian Stealer me burim të hapur, nxjerrin të dhëna të shumta të sistemit, duke përfshirë detaje anti-malware, softuer të instaluar, konfigurime rrjeti dhe aplikacione ekzekutuese.

Synimi i kriptomonedhës dhe të dhënave të ndjeshme

Malware-i vjedhës mbledh një gamë të gjerë kredencialesh, duke përfshirë fjalëkalimet e Wi-Fi, çelësat e produkteve të Windows, të dhënat e shfletuesit dhe historinë e kujtesës. Veçanërisht, ai kërkon në mënyrë eksplicite për skedarë që lidhen me kuletat e kriptomonedhave, duke treguar një synim për të mbledhur fraza rikuperimi dhe asete financiare.

Teknikat e jetesës jashtë tokës për vjedhje

Një veçori unike e një varianti të EncryptHub Stealer është përdorimi i teknikës binare të jetesës jashtë tokës (LOLBin). Ai përdor runnerw.exe të IntelliJ-së për të zëvendësuar ekzekutimin e skripteve në distancë të PowerShell, duke e turbulluar më tej aktivitetin e tij.

Përhapja e malware përmes kanaleve të shumta

Paketat kërcënuese MSI dhe pikat binar të Water Gamayun janë gjetur duke shpërndarë familje të tjera malware, duke përfshirë Lumma Stealer , Amadey dhe gërshërë të ndryshëm të fokusuar në kriptomonedha.

Infrastruktura C&C: Telekomanda nëpërmjet PowerShell

Analiza e infrastrukturës C&C të Water Gamayun (veçanërisht 82.115.223[.]182) ka zbuluar se ata përdorin skriptet PowerShell për të shkarkuar dhe ekzekutuar softuerin AnyDesk për akses në distancë. Ata gjithashtu dërgojnë komanda në distancë të koduar nga Base64 te makinat e viktimave për kontroll të qetë.

Përshtatshëm dhe i qëndrueshëm: Peizazhi i kërcënimit të ujit Gamayun

Përdorimi i ujit Gamayun i vektorëve të shumëfishtë të sulmit, duke përfshirë skedarët e nënshkruar MSI, LOLBins dhe ngarkesat e personalizuara, nxjerr në pah përshtatshmërinë e tij në sistemet e shkeljes. Infrastruktura e saj e sofistikuar C&C e lejon atë të ruajë qëndrueshmërinë afatgjatë duke iu shmangur hetimeve mjeko-ligjore.

CVE-2025-26633 Cenueshmëria Video

Këshillë: Kthejeni tingullin tuaj dhe të shikojnë video në mënyrë të plotë ekran.

Në trend

Më e shikuara

Po ngarkohet...