Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Sicherheitsrisiko Sicherheitslücke CVE-2025-26633

Sicherheitslücke CVE-2025-26633

Von Mezo in Sicherheitsrisiko, Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:
Deutsch

Water Gamayun hat CVE-2025-26633 (auch bekannt als MSC EvilTwin), eine Sicherheitslücke im Microsoft Management Console (MMC)-Framework, aktiv ausgenutzt, um mithilfe betrügerischer Microsoft Console-Dateien (.msc) Malware auszuführen.

Neue Hintertüren: SilentPrism und DarkWisp

Die Cyberkriminellen hinter diesem Zero-Day-Angriff haben zwei hochentwickelte Backdoors eingesetzt: SilentPrism und DarkWisp. Diese Tools ermöglichen Persistenz, Systemaufklärung und Fernsteuerung und sind damit ein wirksames Mittel für Spionage und Datendiebstahl. Die Operation wird einer mit Russland verbundenen Hackergruppe namens Water Gamayun zugeschrieben, die auch als EncryptHub und LARVA-208 bekannt ist.

Angriffsmethoden: Provisioning-Pakete und MSI-Installer

Water Gamayun verbreitet seine Schadsoftware hauptsächlich über betrügerische Bereitstellungspakete, signierte MSI- und MSC-Dateien. Zur Befehlsausführung nutzt er Techniken wie den IntelliJ-Prozess runnerw.exe, um Tarnung und Effektivität zu erhöhen.

Die Entwicklung der Malware-Verbreitung von EncryptHub

EncryptHub erregte erstmals im Juni 2024 Aufmerksamkeit, als die Gruppe ein GitHub-Repository nutzte, um verschiedene Malware-Familien über eine gefälschte WinRAR-Website zu verbreiten. Seitdem nutzt sie für Staging- und Command-and-Control-Operationen (C&C) eine eigene Infrastruktur.

Als legitime Software getarnt

Water Gamayun tarnt seine Malware in MSI-Installationsprogrammen, die sich als echte Anwendungen wie DingTalk, QQTalk und VooV Meeting ausgeben. Diese Installationsprogramme führen einen PowerShell-Downloader aus, der die Payloads der nächsten Stufe auf kompromittierten Systemen abruft und ausführt.

SilentPrism und DarkWisp: Heimliche PowerShell-Implantate

SilentPrism ist ein PowerShell-basiertes Implantat, das Persistenz aufbaut, mehrere Shell-Befehle ausführt und sich mithilfe von Anti-Analysetechniken der Erkennung entzieht.

DarkWisp, eine weitere PowerShell-Hintertür, ist auf Systemaufklärung, Datenexfiltration und die Aufrechterhaltung des langfristigen Zugriffs auf infizierte Maschinen spezialisiert.

C&C-Kommunikation und Befehlsausführung

Nach der Infektion schleust die Malware Aufklärungsdaten auf den C&C-Server und begibt sich in eine Endlosschleife, während sie auf Befehle über den TCP-Port 8080 wartet. Die Befehle kommen im Format COMMAND| an, wodurch eine kontinuierliche Interaktion und Kontrolle über das System des Opfers gewährleistet wird.

MSC EvilTwin Loader: Einsatz des Rhadamanthys Stealer

Eine der besorgniserregendsten Schadsoftware in dieser Angriffskette ist der MSC EvilTwin Loader, der CVE-2025-26633 ausnutzt, um schädliche MSC-Dateien auszuführen. Dies führt letztendlich zur Verbreitung des Rhadamanthys Stealer , einer bekannten Schadsoftware für Datendiebstahl.

Erweiterung des Arsenals: Mehr Stealer und benutzerdefinierte Varianten

Water Gamayun verlässt sich nicht ausschließlich auf Rhadamanthys. Das Unternehmen vertreibt auch StealC und drei benutzerdefinierte, auf PowerShell basierende Stealer – die EncryptHub Stealer-Varianten A, B und C. Diese Varianten basieren auf dem Open-Source-Kematian-Stealer und extrahieren umfangreiche Systemdaten, darunter Anti-Malware-Informationen, installierte Software, Netzwerkkonfigurationen und laufende Anwendungen.

Kryptowährungen und sensible Daten im Visier

Die Stealer-Malware sammelt eine Vielzahl von Anmeldeinformationen, darunter WLAN-Passwörter, Windows-Produktschlüssel, Browserdaten und den Verlauf der Zwischenablage. Insbesondere sucht sie gezielt nach Dateien im Zusammenhang mit Kryptowährungs-Wallets, was auf die Absicht hindeutet, Wiederherstellungsphrasen und Finanzanlagen abzugreifen.

Living-from-the-Land-Techniken für Stealth

Ein einzigartiges Merkmal einer Variante des EncryptHub-Stealers ist die Verwendung einer Living-Off-the-Land-Binary-Technik (LOLBin). Sie nutzt IntelliJs runnerw.exe, um die Ausführung von Remote-PowerShell-Skripten zu Proxy zu machen und so ihre Aktivität weiter zu verschleiern.

Verbreitung von Malware über mehrere Kanäle

Es wurde festgestellt, dass die bedrohlichen MSI-Pakete und Binär-Dropper von Water Gamayun weitere Malware-Familien verbreiten, darunter Lumma Stealer , Amadey und verschiedene auf Kryptowährungen ausgerichtete Clipper.

C&C-Infrastruktur: Fernsteuerung über PowerShell

Eine Analyse der C&C-Infrastruktur von Water Gamayun (insbesondere 82.115.223[.]182) ergab, dass die Angreifer PowerShell-Skripte verwenden, um die AnyDesk-Software für den Fernzugriff herunterzuladen und auszuführen. Sie senden außerdem Base64-kodierte Remote-Befehle an die Rechner der Opfer, um eine nahtlose Steuerung zu gewährleisten.

Anpassungsfähig und beständig: Die Bedrohungslandschaft von Water Gamayun

Water Gamayun nutzt verschiedene Angriffsmethoden, darunter signierte MSI-Dateien, LOLBins und benutzerdefinierte Payloads, und unterstreicht damit seine Anpassungsfähigkeit beim Eindringen in Systeme. Seine ausgeklügelte C&C-Infrastruktur ermöglicht es ihm, langfristig bestehen zu bleiben und gleichzeitig forensischen Untersuchungen zu entgehen.

Sicherheitslücke CVE-2025-26633 Video

Tipp: Schalten Sie Ihren Ton EIN und sehen Sie sich das Video im Vollbildmodus an .

Im Trend

Am häufigsten gesehen

Wird geladen...