EncryPthub olarak bilinen tehdit oyuncusu, Microsoft Windows’ta yakın zamanda paketlenmiş bir güvenlik açığından, Rhadamanthys ve Stealc gibi arka kapı ve bilgi samançıları da dahil olmak üzere çok çeşitli kötü amaçlı aileler sunmak için sıfır gün olarak kullandı.
Trend Micro Araştırmacı Aliakbar Zahravi, “Bu saldırıda, tehdit oyuncusu .msc dosyalarını ve çok dilli kullanıcı arayüz yolunu (Muipath) manipüle eder (Muipath), enfekte sistemlerden kalıcılığı korumak ve hassas verileri çalmak için.” söz konusu bir analizde.
Söz konusu güvenlik açığı, Microsoft tarafından Microsoft Management konsolunda uygunsuz bir nötralizasyon güvenlik açığı olarak tanımlanan CVE-2025-26633’tür (CVSS puanı: 7.0) (MMC) bir saldırganın yerel olarak bir güvenlik özelliğini atlamasına izin verebilir. Şirket tarafından bu ayın başlarında Salı günü düzenlemesinin bir parçası olarak sabitlendi.
Trend Micro, Water Gamayun adı altında şüpheli Rus aktivite kümesini izleyerek Alan MSC EVILTWIN’den istismar verdi. Son zamanlarda ProDaft ve Outpost24 tarafından yapılan analiz konusu olan tehdit oyuncusu Larva-208 olarak da adlandırılır.
CVE-2025-26633, özünde, MSC Eviltwin yükleyici olarak adlandırılan bir PowerShell yükleyici aracılığıyla kötü niyetli bir Microsoft Konsolu (.msc) dosyasını yürütmek için Microsoft Yönetim Konsolu Çerçevesinden (MMC) yararlanır.
Özellikle, aynı adı taşıyan iki .msc dosyası oluşturma yükleyicisini içerir: bir temiz dosya ve aynı konumda ancak “en-us” adlı bir dizinin içine düşen haydut muadili. Fikir, birincisi çalıştırıldığında, MMC yanlışlıkla kötü amaçlı dosyayı seçer ve yürütür. Bu, MMC’nin çok dilli kullanıcı arayüz yolu (Muipath) özelliğinden yararlanarak gerçekleştirilir.
Zahravi, “MMC.EXE’nin Muipath kullanma şeklini kötüye kullanarak, saldırgan Muipath EN-US’yi kötü amaçlı bir .msc dosyasıyla donatabilir, bu da MMC.EXE’nin orijinal dosya yerine bu kötü amaçlı dosyayı yüklemesine ve kurbanın bilgisi olmadan yürütülmesine neden olur.”
EnfryPthub, .msc dosyalarını kullanarak enfekte bir sistemde kötü amaçlı yükü çalıştırmak için iki yöntem daha da benimsediği gözlemlenmiştir –
- Kullanma ExecuteShellCommand MMC Yöntemi Kurbanın makinesinde bir sonraki aşamalı yükü indirip yürütmek için bir yaklaşım daha önce belgelenmiş Hollanda Siber Güvenlik Şirketi Outflank tarafından Ağustos 2024’te
- Kullanıcı Hesabı Kontrolünü (UAC) atlamak ve “WMIMGMT.MSC” adlı kötü niyetli bir .msc dosyası bırakmak için “C: Windows System32” (Windows’tan sonraki alanı not edin) gibi sahte güvenilir dizinler kullanma
Trend Micro, saldırı zincirlerinin muhtemelen DingTalk veya QQtalk gibi meşru Çin yazılımlarını taklit eden dijital olarak imzalanan Microsoft Installer (MSI) dosyalarını indiren kurbanlarla başladığını ve daha sonra yükleyiciyi uzak bir sunucudan almak ve yürütmek için kullanıldığını söyledi. Tehdit oyuncusu Nisan 2024’ten bu yana bu teknikleri denediği söyleniyor.
Zahravi, “Bu kampanya aktif geliştirme altındadır; kalıcılığı korumak ve hassas verileri çalmak için tasarlanmış çoklu teslimat yöntemi ve özel yükler kullanır, daha sonra saldırganların komut ve kontrol (C&C) sunucularına sunar.” Dedi.
