Microsoft Windows’ta yakın zamanda paketlenmiş bir güvenlik açığının sıfır gün sömürülmesinin arkasındaki tehdit aktörlerinin Silentprizm Ve Karanlık.
Etkinlik, EncryPthub ve Larva-208 olarak da bilinen Water Gamayun adlı şüpheli bir Rus hack grubuna atfedildi.
Mikro araştırmacılar Aliakbar Zahravi ve Ahmed Mohamed Ibrahim geçen hafta yayınlanan bir takip analizinde “Tehdit oyuncusu, öncelikle kötü amaçlı sağlama paketleri, imzalanan .msi dosyaları ve Windows MSC dosyaları ile dağıtır.
Water Gamayun, Microsoft Yönetim Konsolu (MMC) çerçevesindeki bir güvenlik açığı olan CVE-2025-26633 (AKA MSC Eviltwin) ‘nin aktif kullanımı ile bağlantılıdır.
Saldırı zincirleri, kalıcılık ve veri hırsızlığı yeteneğine sahip bilgi stealer’ları ve arka kapılar sunmak için sağlama paketlerinin (.PPKG), imzalı Microsoft Windows yükleyici dosyalarının (.msi) ve .msc dosyalarının kullanımını içerir.
EncryPthub, sahte bir Winrar web sitesi aracılığıyla starers, madenciler ve fidye yazılımları da dahil olmak üzere çeşitli kötü amaçlı yazılım ailelerini zorlamak için “EncryPthub” adlı bir GitHub deposu kullandıktan sonra Haziran 2024’ün sonuna doğru dikkat çekti. Tehdit aktörleri o zamandan beri hem evreleme hem de komuta ve kontrol (C&C) amaçları için altyapılarına geçti.
Saldırılarda kullanılan .msi yükleyicileri, Masquerade, DingTalk, QQtalk ve VoOV toplantısı gibi meşru mesajlaşma ve toplantı yazılımları olarak. Bir PowerShell indiricisini yürütmek için tasarlanmıştır, bu da daha sonra güvenliği ihlal edilmiş bir ana bilgisayarda bir sonraki aşamalı yükü almak ve çalıştırmak için kullanılır.
Böyle bir kötü amaçlı yazılım, kalıcılığı ayarlayabilen, aynı anda birden fazla kabuk komutunu yürütebilen ve uzaktan kumanda sürdürebilen Silentprism olarak adlandırılan bir PowerShell implantıdır ve aynı zamanda tespitten kaçınmak için anti-analiz tekniklerini dahil eder. Bir başka PowerShell notu, sistem keşfi, hassas verilerin pessfiltrasyonunu ve kalıcılığı sağlayan DarkWisp’tir.
Araştırmacılar, “Kötü amaçlı yazılım keşif ve sistem bilgilerini C&C sunucusuna sunduktan sonra, komutları bekleyen sürekli bir döngü giriyor.” Dedi. “Kötü amaçlı yazılım, komutların 8080 numaralı bağlantı noktasındaki bir TCP bağlantısı aracılığıyla komutları kabul eder, burada komutlar format komutuna geliyor |
“Ana iletişim döngüsü, sunucu ile sürekli etkileşim sağlar, komutları işleme, bağlantıyı sürdürme ve sonuçları güvenli bir şekilde iletme sağlar.”
Saldırılara düşen üçüncü yük, CVE-2025-26633’ü kötü niyetli bir .msc dosyası yürütmek için silahlandıran ve sonuçta Rhadamanthys Stealer’ın konuşlandırılmasına yol açan MSC Eviltwin yükleyicidir. Yükleyici ayrıca, adli bir iz bırakmaktan kaçınmak için sistemin bir temizliğini gerçekleştirecek şekilde tasarlanmıştır.
Rhadamanthys, Water Gamayun’un cephaneliğindeki tek çalmacıdan uzaktır, çünkü Stealc adı verilen başka bir emtia çalma ve şifreleme stealer varyant A, varyant B ve varyant C olarak adlandırılan üç özel powershell varyantının verilmesi gözlemlenmiştir.
Ismarlama stealer, antivirüs yazılımı, yüklü yazılım, ağ adaptörleri ve çalışan uygulamalar hakkında ayrıntılar da dahil olmak üzere kapsamlı sistem bilgilerini toplayabilen tam özellikli kötü amaçlı yazılımdır. Ayrıca mesajlaşma, VPN, FTP ve şifre yönetimi ile ilgili çeşitli uygulamalardan Wi-Fi şifrelerini, Windows ürün anahtarlarını, pano geçmişini, tarayıcı kimlik bilgilerini ve oturum verilerini çıkarır.
Ayrıca, özellikle belirli anahtar kelimeler ve uzantılarla eşleşen dosyaları seçerek, kripto para cüzdanlarıyla ilişkili kurtarma ifadelerini toplamaya odaklanır.
Araştırmacılar, “Bu varyantlar benzer işlevler ve yetenekler sergiliyor, sadece küçük değişiklikler onları ayırt ediyor.” “Bu araştırmada yer alan tüm şifreleme varyantları, açık kaynaklı Kematian stealer’ın değiştirilmiş versiyonlarıdır.”
EnfryPthub Stealer’ın bir yinelemesi, IntelliJ işlemi başlatıcısı “Runnerw.exe” nin enfekte olmuş bir sistemde uzak bir powerShell betiğinin yürütülmesini vekil olarak kullandığı yeni bir yaşam-kapalı ikili (Lolbin) tekniğinin kullanımı için dikkat çekicidir.
Kötü niyetli MSI paketleri veya ikili kötü amaçlı yazılım damlaları aracılığıyla dağıtılan stealer artefaktlarının da Lumma Stealer, Amadey ve Clippers gibi diğer kötü amaçlı yazılım ailelerini yaydığı bulunmuştur.
Tehdit Actor’ın C&C altyapısının daha fazla analizi (“82.115.223[.]182 “), uzaktan erişim için AnyDesk yazılımını indirmek ve yürütmek için diğer PowerShell komut dosyalarının kullanılmasını ve operatörlerin kurban makinesine Base64 kodlu uzaktan komutlar gönderme yeteneğini ortaya çıkardı.
Trend Micro, “Water Gamayun’un kampanyasında, imzalı Microsoft yükleyici dosyaları aracılığıyla kötü niyetli yüklerin sağlanması ve Lolbins’den yararlanmak gibi çeşitli teslimat yöntemlerini ve tekniklerini kullanması, mağdurların sistemlerinden ve verilerini tehlikeye atmada uyarlanabilirliklerini vurgular.” Dedi.
“Karmaşık bir şekilde tasarlanmış yükleri ve C&C altyapısı, tehdit oyuncusunun kalıcılığı korumasını, enfekte olmuş sistemleri dinamik olarak kontrol etmesini ve faaliyetlerini gizlemesini sağlıyor.”