EncryPthub Tehdit Grubu tarafından, kimliğe bürünme taktiklerini kurumsal ağlardan ödün vermek için teknik sömürü ile birleştiren sofistike bir sosyal mühendislik kampanyası.
Rusça bağlantılı siber suçlular, personel destek olarak poz veriyor ve Microsoft ekipleri uzaktan erişim sağlamak için istekleri kullanıyor ve sonuçta daha önce bilinmeyen bir Windows güvenlik açığı aracılığıyla kötü niyetli yükler dağıtıyor.
Saldırı, dahili BT departmanlarından geldiğini iddia eden ve Microsoft Teams bağlantı isteklerini hedeflenen çalışanlara gönderen tehdit aktörleriyle başlıyor.
Mağdurlar talebi kabul ettikten ve uzak bir oturum oluşturduktan sonra, saldırganlar meşru görünen ancak aslında kötü amaçlı komut dosyalarını indirip çalıştıran PowerShell komutlarını yürüterek onlara rehberlik eder.
Yürütülen ilk komut, Windows güvenlik politikalarını atlar ve CJHSBAM gibi saldırgan kontrollü alanlardan “Runner.ps1” adlı bir PowerShell komut dosyasını indirir[.]com.
Bu komut dosyası, Microsoft’un “MSC Eviltwin” adlı yönetim konsolu çerçevesinde bir güvenlik açığı olan CVE-2025-26633’ten yararlanmak için tasarlanmıştır.
Microsoft Teams Talepleri Kötü Yazılım Bırakın
MSC EVILTWIN güvenlik açığı, saldırganların sistemin bu yönetim araçlarını nasıl yüklediğini manipüle ederek kötü amaçlı Microsoft Konsolu (.msc) dosyalarını yürütmesine olanak tanır.
Exploit, farklı dizinlerde iki .MSC dosyasını bir tanesi meşru ve bir kötü niyetli – bırakarak çalışır. Meşru dosya yürütüldüğünde, sistem yanlışlıkla kötü amaçlı sürümü alternatif bir konumdan, özellikle Muipath dizininden yükler.
“Kötü amaçlı dosya, özellikle Muipath’ta, tipik olarak EN-US klasöründe farklı bir dizine yerleştirilir. Meşru MSC dosyası çalıştırıldığında, MMC’yi tetikler[.]exe işlemi.
MSC Eviltwin güvenlik açığı nedeniyle, MMC.EXE ilk olarak Muipath dizininde aynı ada sahip bir dosyayı kontrol ediyor ”dedi.
Başarılı bir sömürüden sonra, kötü amaçlı yazılım enfekte edilmiş makinelerde kalıcılık oluşturur ve komut ve kontrol sunucuları ile sürekli iletişimi sürdürür.
Sistem, yerel olarak şifrelenmiş ve PowerShell kullanılarak yürütülen AES şifreli komutlar alır ve saldırganlara kapsamlı uzaktan kumanda özellikleri verir.
Dağıtılan yükler arasında, hassas dosyaları çıkarmak, sistem bilgilerini hasat etmek ve kripto para cüzdan verilerini çalmak için tasarlanmış PowerShell tabanlı bir bilgi stealer olan Fickle Stealer bulunmaktadır.
Kötü amaçlı yazılım ayrıca popüler web sitelerine sahte tarayıcı trafiği üreterek normal ağ etkinliği olarak kötü niyetli komut ve kontrol iletişimini gizlemeye yardımcı olur.
Larva-208 ve Water Gamayun olarak da izlenen EncryPthub, 2024’ten beri aktiftir ve iyi kaynaklı bir Rus siber suçlu operasyonunu temsil eder.
Grup, Şubat 2025 itibariyle dünya çapında 618’den fazla kuruluştan ödün verdi ve Web3 geliştiricileri ve oyun platformları da dahil olmak üzere sektörleri hedef aldı.
Tehdit aktörleri, kötü amaçlı yazılım dağıtımı için meşru platformların kötüye kullanılması da dahil olmak üzere sofistike operasyonel yetenekler göstermiştir.
Araştırmacılar, EncryPthub’ın, yüklerini içeren kötü amaçlı fermuar arşivlerini barındırmak için cesur web tarayıcısı için yardım platformu olan cesur destek kullandığını keşfetti.
Bu teknik, özellikle Cesur Destek için dosyaları yüklemek, genellikle yükleme izinleri olan yerleşik hesaplar gerektirir.
İlk Microsoft Teams Sosyal Mühendisliği’nin ötesinde, EncryPthub genişleyen bir özel araç cephaneliği geliştirdi.
Bunlar arasında PowerShell komut dosyası işlevselliğini yansıtan Golang derlenmiş bir yükleyici olan SilentCrystal ve hem istemci hem de sunucu modlarında çalışan bir SOCKS5 proxy arka kapısı bulunur.
Grup ayrıca kurbanları kötü amaçlı MSI montajcılarını indirmeye teşvik etmek için Rivatalk gibi sahte video konferans platformları oluşturdu. Bu platformlar, güvenlik analizini engellerken ek bir meşruiyet katmanı oluşturarak yazılımı indirmek için erişim kodları gerektirir.
CVE-2025-26633, Mart 2025’te sıfır gün güvenlik açığı olarak resmi olarak açıklandı, ancak ilgili saldırı örnekleri vahşi doğada Şubat 2025’in başlarında gözlemlendi. Microsoft o zamandan beri güvenlik yamaları yayınladı, ancak güvenlik açığı aktif olarak kaldırılmamış sistemlere karşı sömürülmeye devam ediyor.
Güvenlik açığı, yüksek ciddiyeti gösteren 7.0 CVSS skoru taşır ve CISA’nın bilinen sömürülen güvenlik açıkları kataloğuna eklenmiştir, federal ajanslar ve işletme ortamları için kritik doğasının altını çizmektedir.
Kampanya, teknik sömürü ile birlikte sosyal mühendislik saldırılarının sürekli etkinliğini vurgulamaktadır. TrustWave araştırmacıları, “Sosyal mühendislik, bir siber suçlu cephaneliğindeki en etkili araçlardan biri olmaya devam ediyor ve ortaya çıkan tehdit grubu Encrypthub, bandwagon’a doğru atladı” dedi.
Siber güvenlik uzmanları, CVE-2025-26633’ün hemen yama yapılması, Microsoft yönetim konsolu faaliyetlerinin geliştirilmiş izlenmesi ve sosyal mühendislik taktiklerine odaklanan kapsamlı kullanıcı farkındalık eğitimi de dahil olmak üzere çok katmanlı savunma stratejilerinin uygulanmasını önermektedir.
Kuruluşlar ayrıca uzaktan erişim özelliklerini kısıtlamalı ve BT destek etkileşimleri için katı doğrulama prosedürleri uygulamalıdır.
EncryPthub kampanyası, modern tehdit aktörlerinin taktiklerini nasıl geliştirmeye devam ettiklerini ve Microsoft ekipleri gibi güvenilir iletişim platformlarını hedeflerine ulaşmak için sofistike teknik istismarlarla birleştiriyor.
IOC
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.