Üretken bir Rus tehdit oyuncusu, devam eden bir Cyberattack kampanyasında hedeflenen sistemlerde kötü amaçlı kodlar yürütmek için Microsoft Yönetim Konsolu (MMC) çerçevesindeki sıfır günlük bir kusurdan yararlanıyor. Bu, açılmamış sistemleri riske atar.
Water Gamayun olarak Micro izleyen bir grup tarafından yapılan saldırılar, .msc dosyalarını ve MCC konsolunun çok dilli kullanıcı arayüz yolunu (Muipath) manipüle etmek için MSC Evil Twin olarak da bilinen CVE-2025-26633 güvenlik açığını kullanıyor. Oradan daha iyi EncryPthub olarak bilinen saldırgan, kötü amaçlı yükleri indirir ve yürütür, kalıcılığı korur ve enfekte sistemlerden hassas verileri çalır.
Microsoft, MSC Evil Twin’i 11 Mart’ta Salı günü yapılan düzeltmelerin bir parçası olarak yamaladı. Kusur, EncryPthub’ın kötü niyetli .msc dosyalarını meşru bir dosyadan yürüterek kullandığı zaman hala sıfır gündü. Kusur, bir saldırganın bir kurbanı kötü niyetli bir bağlantıyı tıklamaya veya kötü amaçlı bir dosyayı açmaya ikna ettikten sonra MMC’deki bir güvenlik özelliğini atlamasına izin verir. Zayıflık, konsolun kullanıcı girişini düzgün bir şekilde sterilize edememesinden kaynaklanmaktadır.
Trend Micro’ya göre, EncryPthub’un saldırısında, Truva Yükleyicisi tarafından sistemde aynı ada sahip iki .msc dosyası oluşturuluyor. Trend Micro ekip lideri ve personel araştırmacısı Aliakbar Zahravi bu hafta yayınlanan bir blog yazısında “Bir dosya temiz ve şüpheli öğeler olmadan meşru görünüyor; diğeri aynı yerde bırakılan kötü niyetli bir versiyon.” “Temiz .msc dosyası çalıştırıldığında, mmc.exe orijinal dosya yerine kötü amaçlı dosyayı yükler” ve yürütür.
Saldırı ayrıca MMC.EXE dosyasının çok dilli kullanıcı arayüz yolu (Muipath) özelliğini kötüye kullandı. Varsayılan sistem dili-İngilizce (Amerika Birleşik Devletleri)-, farklı diller için tasarlanmış yerel metin, diyaloglar ve kullanıcı arayüzü öğeleri gibi uygulamalar için dile özgü kaynakları depolamak üzere tasarlanmış MUI dosyalarını (.mui) ekleyecek şekilde yapılandırılmış bir Muipath’a sahiptir.
“MMC.EXE’nin Muipath kullanma şeklini kötüye kullanarak, saldırgan Muipath EN-US’yi MMC.EXE’ye neden olan kötü amaçlı bir .msc dosyasıyla donatabilir. [to] Bu kötü niyetli dosyayı orijinal dosya yerine yükleyin ve kurbanın bilgisi olmadan yürütün, “diye açıkladı Zahravi.
Saldırı vektöründe EncryPthub tarafından kullanılan yükler, EncryPthub Stealer, DarkWisp Backdoor, SilentPrism Backdoor ve Rhadamanthys Stealer dahil olmak üzere hem özel hem de emtia yüklerini kapsar.
Siber saldırı riski altındaki kuruluşlar
Trend Micro’ya göre, Microsoft’un idari araçlarını ağır bir şekilde kullanan işletmeler özellikle bu saldırılara duyarlıdır, bu da veri ihlallerine ve önemli finansal kayıplara yol açabilir. Şirket, kuruluşların hedeflediği kuruluşlar hakkında daha fazla ayrıntı talebine yanıt vermedi.
EncryPthub’ın Water Gamayun’a ek olarak Larva-208 ismine de giren tek bir tehdit oyuncunun çalışması olduğuna inanılıyor. Bu tehdit oyuncusu ilk olarak Haziran 2024’ün sonlarında aktif hale geldi ve cyber istihbarat firması Catalyst’teki araştırmacılara göre, 600’den fazla organizasyonu “son derece sofistike” ve kişiselleştirilmiş bir mızrak aktı ilk saldırı vektörüne sahip 600’den fazla organizasyonu bulaştı.
Saldırganın kusur hakkındaki önceki bilgisi, saldırı senaryosunda, bir güvenlik uzmanının, güvenlik deliklerini sömürülmeden önce bulma konusunda seviyelendirmesi gereken savunucuların zararına önemli bir avantaj sağladı. Ulusal Güvenlik Ajansı ve güvenlik girişimcisi eski bilgisayar ağı operatörü Evan Dornbush, e -posta yoluyla “Savunma topluluğunun güvenlik açığı araştırmacılarıyla bu kusurların farkındalığına erişmek için çalışması zorunludur.” Dedi. Diyerek şöyle devam etti: “Savunucular mola süresiz olarak oynamaya devam edemezler ve saldırganlar örgütleri savunmasız olduklarını bile bilmedikleri yere vurmaya devam ediyorlar.”