Thông tin Chi tiết về CVE-2025-26633 và Water Gamayun
CVE-2025-26633: Lỗ hổng Zero-Day bị khai thác bởi Water Gamayun
CVE-2025-26633 là một lỗ hổng zero-day trong khung công tác Microsoft Management Console (MMC) đã bị kẻ đe dọa Nga Water Gamayun khai thác. Lỗ hổng này cho phép kẻ tấn công thực thi mã độc và lấy cắp dữ liệu từ các hệ thống bị nhiễm.
Các Kỹ thuật Tấn công được Sử dụng bởi Water Gamayun
1. MSC EvilTwin (CVE-2025-26633)
– Water Gamayun khai thác một lỗ hổng zero-day trong `mmc.exe`, một phần của khung công tác Microsoft Management Console. Kỹ thuật này, được gọi là MSC EvilTwin, thao tác trên các tệp `.msc` và Đường dẫn Giao diện Người dùng Đa ngôn ngữ (MUIPath) để tải xuống và thực thi các payload độc hại.
– Cuộc tấn công liên quan đến việc tải các thành phần trình duyệt Internet Explorer của Microsoft trong `mmc.exe` để hiển thị nội dung HTML. Kẻ tấn công nhúng mã độc vào quy trình này, cho phép họ thực thi các lệnh tùy ý trên hệ thống của nạn nhân.
2. Các Phương thức Giao hàng và Payload Tùy chỉnh
– Chiến dịch sử dụng nhiều phương thức giao hàng và payload tùy chỉnh được thiết kế để duy trì tính liên tục và đánh cắp dữ liệu nhạy cảm. Kẻ đe dọa sử dụng nhiều mô-đun, bao gồm:
– EncryptHub Stealer
– DarkWisp Backdoor
– SilentPrism Backdoor
– MSC EvilTwin Loader
– Stealc
– Rhadamanthys Stealer
3. Tác động đến Doanh nghiệp
– Các doanh nghiệp sử dụng các công cụ quản trị của Microsoft sẽ đối mặt với nguy cơ đáng kể khi trở thành nạn nhân của chiến dịch này. Việc khai thác CVE-2025-26633 có thể dẫn đến rò rỉ dữ liệu và tổn thất tài chính lớn.
4. Giảm thiểu và Bảo vệ
– Microsoft và Trend Zero Day Initiative (ZDI) đã hợp tác để công bố lỗ hổng này và phát hành bản vá khắc phục vào ngày 11 tháng 3 năm 2025.
– Trend Micro cung cấp giải pháp bảo vệ cho các doanh nghiệp thông qua các giải pháp bảo mật của họ, bao gồm Trend Vision One Network Security với các Bộ lọc Ngăn chặn Xâm nhập TippingPoint.
Ví dụ Thực tế và Chỉ số Thỏa hiệp (IOC)
Truy vấn Săn lùng cho Khách hàng Trend Vision One
Để phát hiện và theo dõi mối đe dọa này, khách hàng của Trend Vision One có thể sử dụng các truy vấn săn lùng sau:
1. Theo dõi các Kết nối Mạng đến các IP C&C Đáng ngờ
“`sql
eventId:3 AND eventSubId:204 AND (dst:”82.115.223.182″)
“`
2. Tìm kiếm các Quy trình Thực thi các tệp .msc từ các Đường dẫn Bất thường
“`sql
eventSubId:2 AND processFilePath:”*\\mmc.exe” AND processFilePath:”*\\powershell.exe” AND objectFilePath:”C:\\\\Windows \\System32\\*.msc”
“`
Thêm thông tin chi tiết về các truy vấn săn lùng có sẵn cho khách hàng Trend Vision One với Quyền truy cập Thông tin Đe dọa.
