Изображение: recraft
Группа хакеров, которую эксперты связывают с Россией, якобы задействовала уязвимость CVE-2025-26633 в Microsoft Windows для развертывания новых вредоносных программ под названиями SilentPrism и DarkWisp. Как установили специалисты, атаки реализуются через механизм MSC EvilTwin, связанный с инструментами управления Microsoft.
Специалисты Trend Micro Алиакбар Захрави и Ахмед Мохамед Ибрагим в опубликованном анализе рассказали, что инициаторы атак применяют сразу несколько векторов распространения. Среди них — загрузочные пакеты подготовки, подписанные инсталляторы в формате .msi и файлы консоли управления Windows с расширением .msc. Для активации вредоносных команд хакеры используют, в частности, runnerw.exe из среды разработки IntelliJ.
Все следы ведут к группировке, известной под именами Water Gamayun, EncryptHub и LARVA-208. Её участники, по данным экспертов, активно задействуют уязвимость нулевого дня, выявленную в Microsoft Management Console. Через поддельные файлы консоли (.msc) осуществляется запуск вредоносных скриптов на целевых машинах.
Сценарии атак предполагают использование предварительно подготовленных пакетов (.ppkg), легитимных на вид установщиков Microsoft (.msi), а также вредоносных .msc-файлов. Итогом подобных действий становится проникновение похитителей информации и вредоносов, способных надолго укорениться в системе и передавать конфиденциальные данные на удалённые сервера.
О деятельности EncryptHub стало известно летом 2024 года, когда группа засветилась через размещённый на GitHub фальшивый репозиторий под названием «encrypthub». Тогда хакеры распространяли различные типы вредоносного кода — от майнеров и вымогателей до программ-шпионов — через поддельную версию сайта WinRAR. После этого они перешли на собственную инфраструктуру, предназначенную как для начальной доставки, так и для управления заражёнными устройствами.
Отдельное внимание в отчёте эксперты уделили способу маскировки вредоносов: установщики под видом популярных платформ для общения и видеоконференций, таких как DingTalk, QQTalk и VooV Meeting, запускают PowerShell-загрузчик. Этот компонент извлекает и активирует следующую стадию атаки — бэкдоры, с помощью которых осуществляется контроль над системой.
Оригинал публикации на сайте CISOCLUB: "Русских хакеров обвинили в эксплуатации уязвимости Microsoft Windows для развёртывания вредоносов SilentPrism и DarkWisp".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.