- 1 Attori delle minacce e nuove backdoor: SilentPrism e DarkWisp
- 2 Metodi di distribuzione e tecniche di attacco
- 3 Vulnerabilità sfruttata: CVE-2025-26633
- 4 Catene di attacco e payload
- 5 Installatori .msi e downloader PowerShell
- 6 Backdoor PowerShell: SilentPrism e DarkWisp
- 7 Comunicazione e controllo
- 8 Loader MSC EvilTwin e Rhadamanthys Stealer
Attori delle minacce e nuove backdoor: SilentPrism e DarkWisp
Gli attori delle minacce dietro lo sfruttamento di una vulnerabilità di sicurezza zero-day recentemente corretta in Microsoft Windows sono stati scoperti mentre distribuivano due nuove backdoor chiamate SilentPrism e DarkWisp. Questa attività è stata attribuita a un sospetto gruppo di hacker russi noto come Water Gamayun, conosciuto anche come EncryptHub e LARVA-208.
Metodi di distribuzione e tecniche di attacco
Il gruppo Water Gamayun utilizza pacchetti di provisioning dannosi, file .msi firmati e file MSC di Windows per distribuire i payload. Tecniche come l’uso di IntelliJ runnerw.exe per l’esecuzione dei comandi sono state osservate dai ricercatori di Trend Micro, Aliakbar Zahravi e Ahmed Mohamed Ibrahim, in un’analisi pubblicata la scorsa settimana.
Vulnerabilità sfruttata: CVE-2025-26633
Water Gamayun è stato collegato allo sfruttamento attivo della vulnerabilità CVE-2025-26633, nota anche come MSC EvilTwin, nel framework Microsoft Management Console (MMC). Questa vulnerabilità consente l’esecuzione di malware tramite un file Microsoft Console (.msc) dannoso.
Catene di attacco e payload
Le catene di attacco coinvolgono l’uso di pacchetti di provisioning (.ppkg), file di installazione di Microsoft Windows (.msi) firmati e file .msc per distribuire stealer di informazioni e backdoor capaci di persistenza e furto di dati. EncryptHub ha guadagnato attenzione verso la fine di giugno 2024, dopo aver utilizzato un repository GitHub chiamato “encrypthub” per diffondere vari tipi di famiglie di malware, inclusi stealer, miner e ransomware, tramite un sito web falso di WinRAR.
Installatori .msi e downloader PowerShell
Gli installatori .msi utilizzati negli attacchi si mascherano da software di messaggistica e meeting legittimi come DingTalk, QQTalk e VooV Meeting. Sono progettati per eseguire un downloader PowerShell, che viene poi utilizzato per recuperare ed eseguire il payload di fase successiva su un host compromesso.
Backdoor PowerShell: SilentPrism e DarkWisp
Uno di questi malware è un implant PowerShell chiamato SilentPrism, in grado di stabilire persistenza, eseguire più comandi shell simultaneamente e mantenere il controllo remoto, incorporando anche tecniche anti-analisi per evitare il rilevamento. Un’altra backdoor PowerShell degna di nota è DarkWisp, che consente la ricognizione del sistema, l’esfiltrazione di dati sensibili e la persistenza.
Comunicazione e controllo
Una volta che il malware esfiltra le informazioni di ricognizione e di sistema al server C&C, entra in un ciclo continuo in attesa di comandi. Il malware accetta comandi tramite una connessione TCP sulla porta 8080, dove i comandi arrivano nel formato COMMAND|. Il ciclo di comunicazione principale garantisce un’interazione continua con il server, gestendo i comandi, mantenendo la connettività e trasmettendo i risultati in modo sicuro.
Loader MSC EvilTwin e Rhadamanthys Stealer
Il terzo payload rilasciato negli attacchi è il loader MSC EvilTwin che sfrutta CVE-2025-26633 per eseguire un file .msc dannoso, portando infine al dispiegamento del Rhadamanthys Stealer. Il loader è progettato anche per eseguire una pulizia del sistema per evitare di lasciare tracce forensi. Rhadamanthys non è l’unico stealer nell’arsenale di Water Gamayun, poiché è stato osservato distribuire un altro stealer di commodity chiamato Stea.
Fonte: The Hackers News
