Tehdit oyuncusu olarak bilinen Şifreleme Kötü niyetli yükler sunmak için Microsoft Windows’u etkileyen şimdi paylaşılan bir güvenlik kusurundan yararlanmaya devam ediyor.
Trustwave SpiderLabs, son zamanlarda sosyal mühendisliği ve Microsoft Yönetim Konsolu (MMC) Çerçevesinde (CVE-2025-26633, AKA MSC’de bir kırılganlığın kullanılmasını bir araya getiren bir şifreleme kampanyası gözlemlediğini söyledi. Eviltwin) Rogue Microsoft Konsolu (MSC) dosyası aracılığıyla enfeksiyon rutinini tetiklemek için.
Trustwave araştırmacıları Nathaniel Morales ve Nikita Kazymirskyi, “Bu faaliyetler, güvenlik savunmalarını atlamak ve iç ortamlar üzerinde kontrol kazanmak için sosyal mühendisliği teknik sömürü ile harmanlayan geniş, devam eden bir kötü niyetli faaliyet dalgasının bir parçasıdır.” Dedi.
Larva-208 ve Water Gamayun olarak da izlenen EncryPthub, 2014’ün ortalarında ilk olarak öne çıkan bir Rus hack grubudur. Yüksek bir tempoda faaliyet gösteren finansal olarak motive edilmiş mürettebat, hedefleri çalma kötü amaçlı yazılımlarla enfekte etmek için sahte iş teklifleri, portföy incelemesi ve hatta buhar oyunlarından ödün vermek de dahil olmak üzere çeşitli yöntemlerden yararlanmakla bilinir.
Tehdit oyuncunun CVE-2025-26633’ü kötüye kullanması, daha önce Mart 2025’te trend micro tarafından belgelenmiş ve SilentPrism ve DarkWisp adı verilen iki arka kapı sağlayan saldırıları ortaya çıkarmıştı.
En son saldırı dizisi, BT departmanından geldiğini iddia eden ve bir uzaktan bağlantı kurmak ve PowerShell komutları aracılığıyla ikincil yükleri dağıtmak amacıyla hedefe bir Microsoft Teams isteği göndermeyi içeriyor.
Düşen dosyalar arasında, biri iyi huylu ve diğeri kötü niyetli, CVE-2025-26633’ü tetiklemek için kullanılan iki MSC dosyası vardır ve sonuçta zararsız muadili başlatıldığında Rogue MSC dosyasının yürütülmesine neden olur.
MSC dosyası, kendi adına, harici bir sunucudan sistem bilgilerini toplayan, ana bilgisayar üzerinde kalıcılık oluşturan ve Fickle Stealer adı verilen bir stealer da dahil olmak üzere kötü niyetli yükler almak ve çalıştırmak için bir EncryPthub komut ve kontrol (C2) sunucusu ile iletişim kuran başka bir PowerShell komut dosyası getirir ve yürütür.
Araştırmacılar, “Komut dosyası saldırgandan AES şifreli komutlar alır, bunları şifresini çözer ve yükleri doğrudan enfekte makinede çalıştırır.” Dedi.
Tehdit oyuncusu tarafından saldırı boyunca konuşlandırılan, CVE-2025-26633’i silahlandıracak iki MSC dosyasını içeren bir zip arşivi olan Cesur Web tarayıcısıyla ilişkili meşru bir platform olan cesur desteği kötüye kullanan SilentCrystal adlı GO tabanlı bir yükleyicidir.
Bunu önemli kılan şey, Cesur Destek Platformuna dosya eklerinin yüklenmesinin yeni kullanıcılar için kısıtlanmasıdır, bu da saldırganların bir şekilde şemayı çekmek için yükleme izinleri olan bir hesaba yetkisiz erişim elde etmeyi başardıklarını gösterir.
Dağıtılan diğer araçlardan bazıları, C2 sunucusuna sistem meta verilerini göndermek için hem istemci hem de sunucu modunda çalışan ve SOCKS5 Proxy tünel protokolünü kullanarak C2 altyapısını kuran bir Golang arka kapısı içerir.
Tehdit aktörlerinin video konferans yemlerine güvenmeye devam ettiğine dair kanıtlar da var, bu sefer kurbanları bir MSI yükleyicisini indirmek için aldatmak için Rivatalk gibi sahte platformlar kuruyor.
Yükleyiciyi çalıştırmak, birkaç dosyanın teslimine yol açar: Symantec’ten Meşru Erken Lansman Anti-Malware Anti-Malware Anti-Malware (Elam) yükleyici ikili, başka bir PowerShell komut dosyasını indirmek ve çalıştırmak için bir PowerShell komutunu başlatan kötü amaçlı bir DLL kenar yüklemek için kullanılan.
Sistem bilgilerini toplamak ve C2 sunucusuna eklemek için tasarlanmıştır ve saldırganlara sistemin tam kontrolünü sağlamak için kod çözülmüş ve yürütülen şifreli PowerShell talimatlarını beklemektedir. Kötü amaçlı yazılım ayrıca, C2 iletişimlerini normal ağ etkinliği ile harmanlamak için popüler web sitelerine HTTP istekleri yaparak sahte tarayıcı trafiği oluşturmak için bir arka plan işi başlatırken, bir Ruse olarak sahte bir “Sistem Yapılandırması” açılır mesajı görüntüler.
Trustwave, “Encrypthub tehdit oyuncusu, sosyal mühendisliği, güvenilir platformların kötüye kullanılması ve kalıcılığı ve kontrolü sürdürmek için sistem güvenlik açıklarının sömürülmesini birleştiren iyi kaynaklı ve uyarlanabilir bir düşmanı temsil ediyor.” Dedi.
“Sahte video konferans platformlarını, şifreli komut yapılarını ve gelişen kötü amaçlı yazılım araçlarını kullanmaları, katmanlı savunma stratejilerinin, devam eden tehdit istihbaratının ve kullanıcı farkındalık eğitiminin öneminin altını çiziyor.”