俄罗斯黑客利用MSC EvilTwin漏洞部署SilentPrism和DarkWisp后门程序
💡
原文中文,约1900字,阅读约需5分钟。
📝
内容提要
安全研究人员发现,疑似俄罗斯黑客组织Water Gamayun利用Windows零日漏洞CVE-2025-26633,部署SilentPrism和DarkWisp后门程序。攻击者通过恶意.msi和.msc文件投放有效载荷,窃取敏感数据并维持远程控制,展现出强大的适应能力和持续攻击能力。
🎯
关键要点
- 安全研究人员发现疑似俄罗斯黑客组织Water Gamayun利用Windows零日漏洞CVE-2025-26633进行攻击。
- 攻击者部署了SilentPrism和DarkWisp两款后门程序,主要通过恶意.msi和.msc文件投放有效载荷。
- Water Gamayun利用微软管理控制台中的漏洞,通过伪造的.msc文件执行恶意软件,攻击链涉及多种文件格式。
- SilentPrism和DarkWisp后门程序具有持久化机制和数据窃取功能,能够执行系统侦察和敏感数据外泄。
- 攻击中使用的.msi安装程序伪装成合法通讯软件,实际执行PowerShell下载器。
- 攻击者的有效载荷包括MSC EvilTwin加载器和多种定制化PowerShell变体,能够收集系统信息和敏感数据。
- Water Gamayun的攻击基础设施显示出其在入侵和数据窃取方面的适应能力,采用多种投放方法和技术。
- 研究人员指出,所有EncryptHub变体都是开源Kematian窃密程序的修改版本,功能相似但存在细微差异。
❓
延伸问答
Water Gamayun黑客组织是如何利用CVE-2025-26633漏洞的?
Water Gamayun利用CVE-2025-26633漏洞,通过伪造的.msc文件执行恶意软件,投放有效载荷并维持远程控制。
SilentPrism和DarkWisp后门程序的主要功能是什么?
SilentPrism和DarkWisp后门程序具有持久化机制、数据窃取功能,并能执行系统侦察和敏感数据外泄。
攻击者是如何伪装恶意.msi文件的?
攻击者将恶意.msi安装程序伪装成合法通讯软件,如钉钉和QQTalk,以诱骗用户下载。
Water Gamayun的攻击基础设施有什么特点?
Water Gamayun的攻击基础设施显示出其在入侵和数据窃取方面的适应能力,采用多种投放方法和技术。
研究人员对EncryptHub变体的看法是什么?
研究人员指出,所有EncryptHub变体都是开源Kematian窃密程序的修改版本,功能相似但存在细微差异。
攻击者如何维持与受感染系统的连接?
攻击者通过8080端口的TCP连接与受感染系统持续交互,处理命令并安全传输结果。
🏷️
标签
➡️
