Kötü niyetli aktörler giderek daha fazla karmaşık saldırı yöntemleri geliştirdikçe siber tehdit manzarası gelişmeye devam ediyor ve EncryPthub tehdit grubu özellikle rakip olarak ortaya çıkıyor.
Larva-208 ve Water Gamayun olarak da bilinen bu ortaya çıkan tehdit oyuncusu, Web3 geliştiricilerini hedefleyen ve kötü amaçlı yükler sunmak için meşru platformları kötüye kullanan agresif kampanyaları için manşetlerde bulunuyor.
Son raporlar, dünya çapında 618 kuruluşun Şubat 2025 itibariyle şifrelemeye kurban düştüğünü gösteriyor.
Grubun en son kampanyası, özellikle Microsoft Management konsolunu CVE-2025-26633 güvenlik açığı aracılığıyla hedefleyen sosyal mühendislik taktikleri ve teknik sömürünün tehlikeli bir kaynaşmasını temsil ediyor.
Bu güvenlik açığı, saldırganların kötü niyetli MSC dosyalarını stratejik dizin konumlarına yerleştirerek, meşru sistem süreçlerini etkili bir şekilde ele geçirmelerini sağlar.
Saldırı, BT destek personelini taklit eden, Microsoft Teams’ın kurbanlarla bağlantıları kurması ve daha sonra tehlikeye atılan sistemlere kötü niyetli yükler dağıtması tehdidi aktörleriyle başlar.
Trustwave analistleri, bu sofistike kampanyayı devam eden tehdit araştırma faaliyetleri sırasında belirledi ve sosyal mühendisliği platform kötüye kullanımı ile birleştiren çok aşamalı bir saldırı zincirini ortaya çıkardılar.
.webp)
Araştırmacılar, ilk yükleri almak için PowerShell komutlarını yürüten saldırganları gözlemlediler, ardından kalıcı erişimi korumak ve hassas bilgileri dışarı atmak için tasarlanmış özel araçların dağıtımını izlediler.
Bu kampanyayı özellikle dikkat çekici kılan, grubun cesur tarayıcı ile ilişkili meşru bir hizmet olan cesur destek platformunun yenilikçi kötüye kullanılmasıdır ve kötü niyetli içeriği barındırmak ve dağıtmaktır.
Saldırı metodolojisi, EncryPthub’ın meşru hizmetleri kötü niyetli niyetle harmanlama konusundaki taahhüdünü göstererek tespiti geleneksel güvenlik çözümleri için önemli ölçüde daha zor hale getiriyor.
Grup, cesur destek gibi güvenilir platformlardan yararlanarak, genellikle şüpheli indirme kaynaklarını işaretleyecek birçok güvenlik filtresini atlayabilir.
Bu yaklaşım, kötü niyetli faaliyetlerini kolaylaştırmak için meşru platformlarla ilişkili güveni giderek daha fazla kullanan siber suçlular arasında büyüyen bir eğilimi vurgulamaktadır.
MSC Eviltwin Sömürü Analizi
EncryPthub’ın saldırısının çekirdeği, sofistike bir dosya yerleştirme tekniği aracılığıyla CVE-2025-26633 güvenlik açığından yararlanmaya dayanmaktadır.
Mağdurlar ilk PowerShell komutunu yürüttüğünde, kötü amaçlı yazılım, MSC sömürü çerçevesi için birincil dağıtım mekanizması olarak hizmet veren runner.ps1’i indirir ve yürütür.
Runner.ps1 komut dosyası, aynı adlarla iki MSC dosyası oluşturarak ancak farklı konumlara yerleştirerek akıllı bir dizin manipülasyon tekniği uygular.
Meşru dosya standart sistem dizininde bulunurken, kötü amaçlı sürüm stratejik olarak Muipath dizininde, özellikle EN-US klasöründe konumlandırılır.
Bu yerleşim, MMC.EXE’nin Muipath dizininde bulunan dosyaları standart konumların üzerinden geçiren dosyalara öncelik verdiği MSC EVILTWIN güvenlik açığının dosya yükleme davranışından yararlanır.
Yürütme sırasında komut dosyası, “htmllloaderUrl” yer tutucusunu EncryPthub’ın komut ve kontrol URL’si ile değiştirerek kötü amaçlı MSC dosyasını dinamik olarak değiştirir.
Bu değişiklik, MSC dosyasının sonraki yükleri doğrudan saldırganın altyapısından almasını ve yürütmesini sağlar.
Süreç, meşru bir sistem faydasını etkili bir şekilde kötü amaçlı kod yürütme için bir kanal haline getirerek, grubun Windows sistemi içselleri hakkındaki sofistike anlayışını ve standart idari araçları kötü niyetli amaçlar için silahlandırma yeteneklerini gösterir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.