Rusya bağlantılı bir gelişmiş kalıcı tehdit (APT) grubu olan Water Gamayun, Windows Microsoft Yönetim Konsolu’nda (MMC) yakın zamanda açıklanan MSC EvilTwin güvenlik açığını silah haline getiren yeni, çok aşamalı bir izinsiz giriş kampanyası başlattı.
Güvenliği ihlal edilmiş altyapı, sosyal mühendislik ve yoğun şekilde gizlenmiş PowerShell karışımından yararlanan saldırganlar, mmc.exe’ye kötü amaçlı kod enjekte etmek için CVE‑2025‑26633’ten yararlandı ve sonuçta gizli veriler ve son kötü amaçlı yazılım yükleyicileri sunarak kullanıcı şüphesini en aza indirdi.
Saldırı zinciri, görünüşte zararsız bir Bing “belay” aramasıyla başlıyor ve bu arama, meşru BELAY Solutions alanı olan belaysolutions için bir sonuç döndürüyor[.]com.
Bu siteye muhtemelen kullanıcıları sessizce yeni kaydedilmiş benzer bir alan adı olan belaysolutions’a yönlendirmek için tasarlanmış kötü amaçlı JavaScript enjekte edilmiştir.[.]bağlantı.
Orada kurbanlara PDF broşürüne benzeyen bir şey teklif edildi: Hiring_assistant.pdf.rar adlı, tanınabilir belge formatlarında kullanıcının güvenini istismar eden çift uzantılı bir dosya.
RAR arşivi açıldığında, güvenli bir belge varlığı gibi görünen bir .msc dosyası düşer. Bu dosya, MSC EvilTwin’den yararlanmanın pivot noktası haline gelir ve rutin kullanıcı etkileşimini gelişmiş PowerShell odaklı izinsiz giriş için bir dayanak noktasına dönüştürür.
MSC EvilTwin (CVE‑2025‑26633)
Operasyonun özü, MMC’nin çok dilli yol çözümündeki bir MSC EvilTwin güvenlik açığı olan CVE‑2025‑26633 üzerinde yoğunlaşıyor.
Kullanıcı bırakılan .msc dosyasını başlattığında mmc.exe, meşru ek bileşen yerine hileli bir ek bileşen yükleyen kötü amaçlı MUI yollarını çözer.
Bu ek bileşenin içindeki yerleşik TaskPad komutları, -EncodedCommand aracılığıyla Base64 kodlu bir PowerShell verisini yürütür ve herhangi bir görünür istem olmadan ilk gizli komut dosyası aşamasını başlatır.
Güvenilir bir Windows ikili dosyasının bu şekilde kötüye kullanılması, saldırganların mmc.exe aracılığıyla proxy yürütme yapmasına olanak tanıyarak davranışsal algılamayı karmaşık hale getirir ve kötü amaçlı etkinlikleri kurumsal ortamlarda yaygın olarak bulunan yönetim araçlarıyla harmanlar.
Aşama 1 PowerShell betiği, UnRAR.exe’yi ve parola korumalı bir RAR arşivini indirir, aşağıdaki veriyi çıkarır, kısa gecikmelere neden olur ve ardından çıkarılan betiği çalıştırmak için Invoke-Expression’ı kullanır.
Bu komut dosyası, UTF‑16LE kodlamalı iç içe Base64 ve Water Gamayun ticari sanatının ayırt edici özelliği olan alt çizgi tabanlı dize temizleme kullanılarak büyük ölçüde gizlenmiştir.
Aşama 2 PowerShell, Win32 ShowWindow API’sini çağırmak için WinHpXN adında minimum bir .NET sınıfı derler ve kullanıcı farkındalığını en aza indirmek için konsol pencerelerini gizler.
Daha sonra kalıcılık sağlamak için ItunesC.exe son yükleyicisini birden çok kez indirirken, çıkartırken ve çalıştırırken normal bir belge etkileşimi yanılsamasını sürdürmek için zararsız görünümlü bir tuzak PDF açar.
Bu aşamalar boyunca parola korumalı arşivler, 21 karakterlik güçlü alfanümerik parolalar ve rastgele yollar, korumalı alan oluşturma ve statik analizleri engellemek için kullanılır.
Su Gamayun’a Atıf
Son ikili dosya olan iTunesC.exe, arka kapıların yüklenmesinden veya bilgi çalan kötü amaçlı yazılımlardan sorumludur.
Yanıt vermeyen komuta ve kontrol (C2) altyapısı nedeniyle kesin aile doğrulanamasa da Water Gamayun’un bilinen cephaneliği, SilentPrism ve DarkWisp gibi arka kapıları ve EncryptHub ve Rhadamanthys gibi hırsızları içeriyor ve bunlardan herhangi biri bu aşamada uygun şekilde konuşlandırılabilir.
Zscaler Threat Hunting, birden fazla faktörü ilişkilendirerek bu kampanyayı büyük bir güvenle Water Gamayun’a bağladı: MSC EvilTwin’in (CVE‑2025‑26633) nadir kullanımı, farklı PowerShell gizleme modelleri, WinHpXN pencere gizleme kullanımı.
.NET saplaması, tek bir IP’de barındırılan çift yollu altyapı (103[.]246[.]147[.]17, /cAKk9xnTB/ ve /yyC15x4zbjbTd/ gibi rastgele öneklerle ve “Hiring_assistant.pdf” ve “iTunesC” gibi tutarlı istihdam temalı ve tüketici tarzı yemlerle.
Bu unsurlar bir arada, Water Gamayun’un 2025’teki daha geniş taktik kitabını yansıtıyor: kimlik bilgilerini sessizce toplamak, hassas verileri sızdırmak ve yüksek değerli kurumsal ve hükümet ağlarında uzun vadeli dayanakları korumak için yeni güvenlik açıklarından yararlanmak, güvenilir ikili dosyaları kötüye kullanmak ve gizleme ve OPSEC katmanlarını oluşturmak.
Uzlaşma Göstergeleri (IoC’ler)
| Tip | Gösterge | Hash/Değer |
|---|---|---|
| Dosya Karması | Hiring_assistant.pdf.rar | MD5: ba25573c5629cbc81c717e2810ea5afc |
| Dosya Karması | UnRAR.exe | MD5: f3d83363ea68c707021bde0870121177 |
| Dosya Karması | as_it_1_fsdfcx.rar | MD5: 97e4a6cbe8bda4c08c868f7bcf801373 |
| Dosya Karması | as_it_1_fsdfcx.txt | MD5: caaef4cf9cf8e9312da1a2a090f8a2c |
| Dosya Karması | belge.pdf | MD5: f645558e8e7d5e4f728020af6985dd3f |
| Dosya Karması | iTunesC.rar | MD5: e4b6c675f33796b6cf4d930d7ad31f95 |
| Arşiv Şifresi | k5vtzxdeDzicRCT | k5vtzxdeDzicRCT |
| Arşiv Şifresi | jkN5yyC15x4zbjbTdUS3y | jkN5yyC15x4zbjbTdUS3y |
| IP Adresi | 103.246.147.17 | 103.246.147.17 |
| Ağ Yolu | /cAKk9xnTB/UnRAR.exe | /cAKk9xnTB/UnRAR.exe |
| Ağ Yolu | /cAKk9xnTB/as_it_1_fsdfcx.rar | /cAKk9xnTB/as_it_1_fsdfcx.rar |
| Ağ Yolu | /cAKk9xnTB/doc.pdf | /cAKk9xnTB/doc.pdf |
| Ağ Yolu | /yyC15x4zbjbTd/ItunesC.rar | /yyC15x4zbjbTd/ItunesC.rar |
| İhtisas | emniyet çözümleri[.]iletişim | Meşru, potansiyel olarak tehlikeye atılmış |
| İhtisas | emniyet çözümleri[.]bağlantı | Kötü niyetli |
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.