HackerNews 编译,转载请注明出处:
研究人员发现,一个疑似俄罗斯的黑客组织 Water Gamayun(也被称为 EncryptHub 和 LARVA-208)利用微软 Windows 系统中最近修补的安全漏洞 CVE-2025-26633,部署了两款新的后门程序 SilentPrism 和 DarkWisp。
Water Gamayun 主要通过恶意配置包(.ppkg)、签名的 Microsoft 安装程序文件(.msi)和 Windows 管理控制台文件(.msc)来部署恶意负载。此次攻击利用了 CVE-2025-26633(也被称为 MSC EvilTwin),该漏洞存在于微软管理控制台(MMC)框架中,攻击者通过恶意的 Microsoft 控制台文件(.msc)来执行恶意软件。
– SilentPrism:这是一个 PowerShell 植入程序,能够实现持久化、同时执行多个 shell 命令,并保持远程控制,同时还具备反分析技术以逃避检测。
– DarkWisp:该后门程序能够进行系统侦察、窃取敏感数据并实现持久化。
– Rhadamanthys Stealer:通过 MSC EvilTwin 加载器部署,该加载器利用 CVE-2025-26633 执行恶意的 .msc 文件,最终部署该窃密程序。
攻击链涉及使用配置包(.ppkg)、签名的 Windows 安装程序文件(.msi)和 .msc 文件来传递信息窃取器和后门程序,这些程序能够实现持久化和数据窃取。此外,攻击者还通过恶意的 .msi 安装程序伪装成合法的通讯和会议软件(如钉钉、QQTalk 和 VooV Meeting),执行 PowerShell 下载器以获取和运行下一阶段的负载。
– Water Gamayun 还被发现利用其他商品化窃密程序(如 StealC)以及三种定制的 PowerShell 变体(EncryptHub 窃密程序变体 A、B 和 C)。
– 这些变体均基于开源的 Kematian 窃密程序修改而成,能够收集系统信息、提取 Wi-Fi 密码、Windows 产品密钥、剪贴板历史记录、浏览器凭证以及与通讯、VPN、FTP 和密码管理相关的应用程序的会话数据。
– 攻击者还利用恶意 MSI 包或二进制恶意程序传播其他恶意软件家族,如 Lumma Stealer、Amadey 和剪切板劫持器。
趋势科技提醒,Water Gamayun 在攻击中使用了多种交付方法和技术,例如通过签名的 Microsoft 安装程序文件传递恶意负载,并利用本地工具(LOLBAS)等手段,这表明其在入侵受害者系统和数据方面具有很强的适应性。建议用户及时更新系统,修补相关漏洞,以防止此类攻击。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
