Michal Mečiar
1. apríla 2025

Ruskí hackeri našli nový spôsob, ako ti potichu ukradnúť dáta. Stačí otvoriť jeden súbor a už ťa sledujú

Ruská hackerská skupina Water Gamayun využíva zraniteľnosť CVE-2025-26633 na šírenie malvéru, ktorý ohrozuje citlivé dáta a poskytuje útočníkom vzdialený prístup k napadnutým zariadeniam.

ruski hackeri
Zdroj: izhar-ahamed a Abbie Fyre z pixabay.com, Vosveteit.sk (úprava)

Ruská hackerská skupina Water Gamayun, známa aj ako EncryptHub alebo LARVA-208, zneužíva zraniteľnosť CVE-2025-26633 (MSC EvilTwin), ktorá trápi počítače s operačným systémom Windows. Tento exploit umožňuje vykonávanie škodlivého kódu cez falošný Microsoft Console (.msc) súbor, čo vedie k nasadeniu malwaru SilentPrism a DarkWisp. Na tému upozorňuje portál thehackernews.com.

Ako funguje útok

Podľa analytikov Trend Micro Water Gamayun využíva viaceré techniky, vrátane škodlivých provisioning balíkov (.ppkg), podpísaných inštalačných súborov .msi a Microsoft Management Console (.msc) súborov. Skupina často maskuje škodlivé .msi inštalátory ako legitímne aplikácie. Po ich spustení aktivujú PowerShell skript, ktorý stiahne a vykoná ďalší škodlivý kód.

Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ

SilentPrism je PowerShell skript poskytujúci vzdialený prístup k napadnutému zariadeniu. Udržiava perzistenciu, paralelne vykonáva viaceré príkazy a využíva techniky na vyhnutie sa detekcii. Tento malvér sa dokáže maskovať ako systémový proces, čím minimalizuje riziko odhalenia.

DarkWisp je PowerShell backdoor určený na prieskum systému, exfiltráciu citlivých dát a vzdialený prístup. Po nainštalovaní si vytvára pripojenie na C&C server cez TCP port 8080 a prijíma príkazy kódované v BASE64. Táto metóda umožňuje útočníkom ovládať nakazené zariadenie na diaľku.

Tieto hrozby predstavujú riziko pre organizácie aj jednotlivcov, keďže fungujú na pozadí bez viditeľných príznakov. V kombinácii s maskovaním malwaru ako legitímnych aplikácií ide o nebezpečnú metódu umožňujúcu dlhodobé sledovanie cieľov.

Exploit CVE-2025-26633 a nasadenie Rhadamanthys Stealer

Water Gamayun využíva exploit CVE-2025-26633 na spúšťanie malwaru cez škodlivé .msc súbory. Dôležitú úlohu v útoku zohráva aj Rhadamanthys Stealer, ktorý kradne heslá, Wi-Fi kľúče, prihlasovacie údaje do VPN, FTP a správcov hesiel. Okrem toho extrahuje dáta z prehliadačov, históriu schránky a citlivé informácie z emailových klientov.

Skupina používa aj vlastné stealer varianty EncryptHub A, B a C, odvodené z open-source Kematian Stealer. Tieto nástroje zhromažďujú informácie o systéme, sieťových adaptéroch a bežiacich procesoch, čo umožňuje hackerom lepšie sa orientovať v napadnutom zariadení.

Nová technika obídenia zabezpečenia

Jedna z verzií EncryptHub Stealer využíva techniku „Living-off-the-land binaries“ (LOLBin). Hackeri používajú IntelliJ runnerw.exe na proxy spustenie vzdialeného PowerShell skriptu bez vyvolania podozrenia.

Tento prístup im umožňuje vyhnúť sa tradičným bezpečnostným mechanizmom. Okrem toho sa škodlivé MSI balíčky používajú aj na distribúciu ďalších malvérov, ako sú Lumma Stealer, Amadey a clippery. Clippre modifikujú obsah schránky, pričom cieľom je krádež kryptomenových transakcií. Tento spôsob šírenia predstavuje hrozbu najmä pre tých, ktorí sťahujú softvér z neoverených zdrojov alebo ignorujú bezpečnostné varovania operačného systému. Water Gamayun preukazuje vysokú mieru adaptability, pričom kombinuje rôzne techniky, aby sa vyhol detekcii.

Používatelia by mali byť opatrní pri otváraní neznámych príloh v e-mailoch, najmä ak obsahujú .msi alebo .ppkg súbory. Zároveň je dôležité obmedziť používanie administrátorských oprávnení a monitorovať neobvyklé aktivity v systéme.  Vzhľadom na narastajúcu sofistikovanosť kybernetických hrozieb je nevyhnutné dôsledne dodržiavať bezpečnostné postupy. Zvýšená obozretnosť, pravidelné bezpečnostné kontroly a bezpečnostné nástroje môžu významne znížiť riziko kompromitácie systému.

Sleduj našu novú Facebook stránku a pridaj sa!

Komentáre