Изображение:
Turag Photography (unsplash)
Исследователи Trustwave SpiderLabs сообщили, что хакерская группировка EncryptHub проводит кампанию по доставке вредоносного ПО, эксплуатируя уязвимость Microsoft Management Console (CVE-2025-26633), получившую название MSC EvilTwin. Хотя уязвимость уже исправлена, злоумышленники продолжают использовать её в сочетании с методами социальной инженерии.
Как пояснили специалисты Trustwave Натаниэль Моралес и Никита Казимирский, атака строится на отправке жертве поддельного файла Microsoft Console (MSC). Пользователь получает два файла с одинаковым именем: один безвредный, другой вредоносный. При запуске «чистого» файла активируется уязвимость, которая приводит к выполнению заражённого MSC-документа. В результате запускается PowerShell-скрипт, собирающий системную информацию, закрепляющийся в системе и подключающийся к серверу управления EncryptHub для загрузки дополнительных вредоносных компонентов.
Главной полезной нагрузкой в кампании стал троян Fickle Stealer, предназначенный для кражи учётных данных и другой конфиденциальной информации.
EncryptHub, также известная как LARVA-208 и «Водяная Гамаюн», впервые заявила о себе в середине 2024 года. Группа известна высокой активностью и применением разных приёмов для проникновения в системы жертв: рассылкой фальшивых предложений о работе, взломом аккаунтов в Steam и рассылкой вредоносных файлов через портфолио.
В марте 2025 года Trend Micro уже фиксировала использование уязвимости CVE-2025-26633 этой группой, когда применялись бэкдоры SilentPrism и DarkWisp. В новой волне атак хакеры также прибегают к социальной инженерии: злоумышленник может выдавать себя за сотрудника ИТ-отдела и отправлять сообщение в Microsoft Teams, инициируя удалённое соединение для дальнейшего развертывания вредоносных модулей.
Аналитики отмечают, что комбинация социальной инженерии с эксплуатацией технических уязвимостей позволяет EncryptHub обходить защитные механизмы и закрепляться в корпоративных средах, увеличивая риски кражи данных и финансовых потерь.
Оригинал публикации на сайте CISOCLUB: "Русскоязычные хакеры EncryptHub используют уязвимость MSC EvilTwin для распространения похитителя данных Fickle Stealer".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
