Trend Research, Rus tehdit oyuncusu Water Gamayun tarafından Microsoft Yönetim Konsolu (MMC) çerçevesindeki sıfır gün kırılganlığından yararlanan sofistike bir kampanyayı ortaya çıkardı.
MSC Eviltwin (CVE-2025-26633) olarak adlandırılan güvenlik açığı, saldırganların enfekte makinelerde kötü amaçlı kod yürütmesine izin verir.
Saldırı, kötü amaçlı yükleri indirmek ve yürütmek, kalıcılığı korumak ve tehlikeye atılan sistemlerden duyarlı verileri dışarı atmak için .msc dosyalarını ve çok dilli kullanıcı arayüz yolunu (Muipath) manipüle eder.
MSC EVILTWIN adlı bu teknik, MMC.EXE’nin meşru olanlar yerine kötü niyetli .msc dosyaları yüklemek için Muipath kullanma şeklini kötüye kullanır.
.webp)
Sömürü teknikleri ve Truva Yükleyicisi
Su Gamayun saldırılarında üç ana teknik kullanıyor:
- MSC EVILTWIN (CVE-2025-26633): Bu yöntem, aynı adı temiz ve bir kötü niyetli adlı iki .msc dosyası oluşturmayı içerir. Kötü amaçlı dosya, kötü amaçlı sürümü yüklemek ve yürütmek için MMC.EXE’nin Muipath özelliğini kullanan bir US-US dizine yerleştirilir.
- MSC Dosya Web Oluşturma üzerinden kabuk komutunu yürüt: Bu teknik, MMC’nin ExecuteShellCommand yöntemini bir View nesnesinden kullanır ve özel olarak hazırlanmış .msc dosyaları ve ActiveX denetimindeki bir Shockwave Flash nesnesi aracılığıyla komut kabuğu yürütülmesine izin verir.
- Sahte Güvenilir Dizin Yöntemi: Saldırganlar, arka boşluklar veya özel karakterler ekleyerek standart sistem yollarına benzer görünen dizinler oluşturur, potansiyel olarak uygulamaları alternatif konumlardan yüklemeye kandırır.
PowerShell’de yazılmış bir Truva atı olan MSC Eviltwin Loader, uzlaşmış sistemlerde kötü amaçlı yükleri indirmek ve yürütmek için bu teknikleri silahlandırıyor.
Saldırı tipik olarak, yükleyiciyi saldırganın komut ve kontrol (C&C) sunucusundan getiren popüler Çin yazılımı olarak maskelenen dijital olarak imzalanmış bir MSI dosyası ile başlar.
Sonuçları ve hafifletme
Rapora göre, bu kampanya Water Gamayun’un MMC çerçevesi içinde güvenlik açıklarından yararlanmaya yönelik yenilikçi yaklaşımını gösteriyor.
Tehdit oyuncusu Arsenal, EncryPthub Stealer, Darkwisp Backdoor, Silentprism Backdoor ve Rhadamanthys Stealer gibi birçok modül içerir.
Microsoft ve Trend Zero Günü Girişimi’nin (ZDI) Bug Bounty Programı, bu güvenlik açığını ifşa etmek ve 11 Mart 2025’te bir yama yayınlamak için işbirliği yaptı.
Trend Micro müşterileri, Trend Vision One ™ ağ güvenliği ve devrilme noktası girişi önleme filtreleri dahil olmak üzere çeşitli güvenlik çözümleri aracılığıyla bu tehdide karşı korunmaktadır.
Tehdit aktörleri taktiklerini geliştirmeye devam ettikçe, kuruluşlar gelişen tehditlerle mücadele etmek için kapsamlı siber güvenlik çözümleri benimsemelidir.
Trend Vision One ™ tarafından sağlananlar gibi proaktif güvenlik önlemleri, Water Gamayun tarafından yapılanlar gibi sofistike saldırılar karşısında dijital varlıkları korumak için çok önemlidir.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılımları, kimlik avı olaylarını analiz edin ve herhangi biriyle canlı erişim sağlayın. Run -> Şimdi ücretsiz başlayın.