Ρώσοι χάκερ αναπτύσσουν τα backdoor SilentPrism και DarkWisp
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Ρώσοι χάκερ αναπτύσσουν τα backdoor SilentPrism και DarkWisp
https://www.secnews.gr/644991/rosoi-hacker-anaptisoun-backdoor-silentprism-darkwisp/
Apr 1st 2025, 14:31
by Absenta Mia
Οι κακόβουλοι παράγοντες που εκμεταλλεύτηκαν μια πρόσφατα διορθωμένη ευπάθεια ασφαλείας στο Microsoft Windows, έχουν εντοπιστεί να διανέμουν δύο νέα backdoor, ονόματι SilentPrism και DarkWisp.
Δείτε επίσης: Οι hackers FamousSparrow διανέμουν τα SparrowDoor & ShadowPad backdoor
Η δραστηριότητα αυτή έχει αποδοθεί σε μια ύποπτη ρωσική ομάδα χάκερ που ονομάζεται Water Gamayun, γνωστή επίσης ως EncryptHub και LARVA-208.
Η Water Gamayun έχει συνδεθεί με την ενεργή εκμετάλλευση της ευπάθειας CVE-2025-26633 (γνωστή και ως MSC EvilTwin), η οποία εντοπίζεται στο πλαίσιο του Microsoft Management Console (MMC), προκειμένου να εκτελέσει κακόβουλο λογισμικό μέσω ενός κακόβουλου αρχείου Microsoft Console (.msc).
Οι αλυσίδες επιθέσεων περιλαμβάνουν τη χρήση πακέτων προμήθειας (.ppkg), υπογεγραμμένων αρχείων εγκατάστασης Microsoft Windows (.msi) και αρχείων .msc για την παράδοση infostealer και backdoors (SilentPrism και DarkWisp) που είναι ικανά για διαρκή παρουσία και κλοπή δεδομένων.
Η EncryptHub τράβηξε την προσοχή στα τέλη Ιουνίου 2024, αφού χρησιμοποίησε ένα αποθετήριο GitHub με την ονομασία "encrypthub" για να διαδώσει διάφορες οικογένειες κακόβουλου λογισμικού, συμπεριλαμβανομένων infostealer, miners και ransomware, μέσω μιας ψεύτικης ιστοσελίδας WinRAR. Οι απειλητικοί παράγοντες έχουν από τότε μεταβεί στη δική τους υποδομή για σκοπούς προετοιμασίας και διοίκησης (C&C).
Οι εγκαταστάτες .msi που χρησιμοποιούνται στις επιθέσεις προσποιούνται ότι είναι νόμιμο λογισμικό μηνυμάτων και συναντήσεων, όπως το DingTalk, το QQTalk και το VooV Meeting. Είναι σχεδιασμένες να εκτελούν έναν downloader PowerShell, ο οποίος στη συνέχεια χρησιμοποιείται για να ανακτήσει και να εκτελέσει το επόμενο στάδιο του payload σε έναν παραβιασμένο υπολογιστή.
Δείτε ακόμα: Betruger: Η ransomware ομάδα RansomHub χρησιμοποιεί νέο backdoor
Ένα από αυτά τα κακόβουλα προγράμματα είναι ένα PowerShell implant που ονομάζεται SilentPrism, το οποίο μπορεί να εγκαθιδρύσει μόνιμη παρουσία, να εκτελεί πολλαπλές εντολές shell ταυτόχρονα και να διατηρεί απομακρυσμένο έλεγχο, ενώ ενσωματώνει τεχνικές κατά της ανάλυσης για να αποφύγει την ανίχνευση. Ένα άλλο αξιοσημείωτο backdoor PowerShell είναι το DarkWisp, το οποίο επιτρέπει την αναγνώριση του συστήματος, την εξαγωγή ευαίσθητων δεδομένων και τη μόνιμη παρουσία.
Ρώσοι χάκερ αναπτύσσουν τα backdoor SilentPrism και DarkWisp
Η τρίτη αποστολή που χρησιμοποιήθηκε στις επιθέσεις είναι ο φορτωτής MSC EvilTwin, ο οποίος εκμεταλλεύεται την ευπάθεια CVE-2025-26633 για να εκτελέσει ένα κακόβουλο αρχείο .msc, οδηγώντας τελικά στην ανάπτυξη του Rhadamanthys Stealer. Ο φορτωτής έχει επίσης σχεδιαστεί ώστε να εκτελεί καθαρισμό του συστήματος, προκειμένου να αποφεύγεται η δημιουργία αποδεικτικών στοιχείων.
Το Rhadamanthys δεν είναι το μόνο infostealer στο οπλοστάσιο της Water Gamayun, καθώς έχει παρατηρηθεί ότι παραδίδει ένα άλλο που ονομάζεται StealC, καθώς και τρεις προσαρμοσμένες παραλλαγές PowerShell που αναφέρονται ως EncryptHub Stealer παραλλαγή A, παραλλαγή B και παραλλαγή C.
Μια επιπλέον ανάλυση της υποδομής C&C του κακόβουλου παράγοντα ("82.115.223[.]182") αποκάλυψε τη χρήση σεναρίων PowerShell για τη λήψη και εκτέλεση του λογισμικού AnyDesk για απομακρυσμένη πρόσβαση, καθώς και τη δυνατότητα των χειριστών να στέλνουν απομακρυσμένες εντολές κωδικοποιημένες σε Base64 στο μηχάνημα του θύματος.
Δείτε επίσης: Η Lotus Panda στοχεύει κυβερνήσεις με το backdoor Sagerunex
Τα backdoors, όπως τα νέα SilentPrism και DarkWisp αναφέρονται σε ειδικούς μηχανισμούς πρόσβασης σε ένα σύστημα ή πρόγραμμα υπολογιστή, οι οποίοι επιτρέπουν σε έναν χρήστη (συνήθως έναν επιτιθέμενο ή προγραμματιστή) να παρακάμψει τα κανονικά μέτρα ασφαλείας και να αποκτήσει πρόσβαση χωρίς την εξουσιοδότηση των νόμιμων χρηστών. Η χρήση backdoor σε υπολογιστικά συστήματα μπορεί να έχει σοβαρές συνέπειες για την ασφάλεια, γι' αυτό η ανίχνευση και εξάλειψή τους είναι κρίσιμη για την προστασία των συστημάτων.
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Ρώσοι χάκερ αναπτύσσουν τα backdoor SilentPrism και DarkWisp
https://www.secnews.gr/644991/rosoi-hacker-anaptisoun-backdoor-silentprism-darkwisp/
Apr 1st 2025, 14:31
by Absenta Mia
Οι κακόβουλοι παράγοντες που εκμεταλλεύτηκαν μια πρόσφατα διορθωμένη ευπάθεια ασφαλείας στο Microsoft Windows, έχουν εντοπιστεί να διανέμουν δύο νέα backdoor, ονόματι SilentPrism και DarkWisp.
Δείτε επίσης: Οι hackers FamousSparrow διανέμουν τα SparrowDoor & ShadowPad backdoor
Η δραστηριότητα αυτή έχει αποδοθεί σε μια ύποπτη ρωσική ομάδα χάκερ που ονομάζεται Water Gamayun, γνωστή επίσης ως EncryptHub και LARVA-208.
Η Water Gamayun έχει συνδεθεί με την ενεργή εκμετάλλευση της ευπάθειας CVE-2025-26633 (γνωστή και ως MSC EvilTwin), η οποία εντοπίζεται στο πλαίσιο του Microsoft Management Console (MMC), προκειμένου να εκτελέσει κακόβουλο λογισμικό μέσω ενός κακόβουλου αρχείου Microsoft Console (.msc).
Οι αλυσίδες επιθέσεων περιλαμβάνουν τη χρήση πακέτων προμήθειας (.ppkg), υπογεγραμμένων αρχείων εγκατάστασης Microsoft Windows (.msi) και αρχείων .msc για την παράδοση infostealer και backdoors (SilentPrism και DarkWisp) που είναι ικανά για διαρκή παρουσία και κλοπή δεδομένων.
Η EncryptHub τράβηξε την προσοχή στα τέλη Ιουνίου 2024, αφού χρησιμοποίησε ένα αποθετήριο GitHub με την ονομασία "encrypthub" για να διαδώσει διάφορες οικογένειες κακόβουλου λογισμικού, συμπεριλαμβανομένων infostealer, miners και ransomware, μέσω μιας ψεύτικης ιστοσελίδας WinRAR. Οι απειλητικοί παράγοντες έχουν από τότε μεταβεί στη δική τους υποδομή για σκοπούς προετοιμασίας και διοίκησης (C&C).
Οι εγκαταστάτες .msi που χρησιμοποιούνται στις επιθέσεις προσποιούνται ότι είναι νόμιμο λογισμικό μηνυμάτων και συναντήσεων, όπως το DingTalk, το QQTalk και το VooV Meeting. Είναι σχεδιασμένες να εκτελούν έναν downloader PowerShell, ο οποίος στη συνέχεια χρησιμοποιείται για να ανακτήσει και να εκτελέσει το επόμενο στάδιο του payload σε έναν παραβιασμένο υπολογιστή.
Δείτε ακόμα: Betruger: Η ransomware ομάδα RansomHub χρησιμοποιεί νέο backdoor
Ένα από αυτά τα κακόβουλα προγράμματα είναι ένα PowerShell implant που ονομάζεται SilentPrism, το οποίο μπορεί να εγκαθιδρύσει μόνιμη παρουσία, να εκτελεί πολλαπλές εντολές shell ταυτόχρονα και να διατηρεί απομακρυσμένο έλεγχο, ενώ ενσωματώνει τεχνικές κατά της ανάλυσης για να αποφύγει την ανίχνευση. Ένα άλλο αξιοσημείωτο backdoor PowerShell είναι το DarkWisp, το οποίο επιτρέπει την αναγνώριση του συστήματος, την εξαγωγή ευαίσθητων δεδομένων και τη μόνιμη παρουσία.
Ρώσοι χάκερ αναπτύσσουν τα backdoor SilentPrism και DarkWisp
Η τρίτη αποστολή που χρησιμοποιήθηκε στις επιθέσεις είναι ο φορτωτής MSC EvilTwin, ο οποίος εκμεταλλεύεται την ευπάθεια CVE-2025-26633 για να εκτελέσει ένα κακόβουλο αρχείο .msc, οδηγώντας τελικά στην ανάπτυξη του Rhadamanthys Stealer. Ο φορτωτής έχει επίσης σχεδιαστεί ώστε να εκτελεί καθαρισμό του συστήματος, προκειμένου να αποφεύγεται η δημιουργία αποδεικτικών στοιχείων.
Το Rhadamanthys δεν είναι το μόνο infostealer στο οπλοστάσιο της Water Gamayun, καθώς έχει παρατηρηθεί ότι παραδίδει ένα άλλο που ονομάζεται StealC, καθώς και τρεις προσαρμοσμένες παραλλαγές PowerShell που αναφέρονται ως EncryptHub Stealer παραλλαγή A, παραλλαγή B και παραλλαγή C.
Μια επιπλέον ανάλυση της υποδομής C&C του κακόβουλου παράγοντα ("82.115.223[.]182") αποκάλυψε τη χρήση σεναρίων PowerShell για τη λήψη και εκτέλεση του λογισμικού AnyDesk για απομακρυσμένη πρόσβαση, καθώς και τη δυνατότητα των χειριστών να στέλνουν απομακρυσμένες εντολές κωδικοποιημένες σε Base64 στο μηχάνημα του θύματος.
Δείτε επίσης: Η Lotus Panda στοχεύει κυβερνήσεις με το backdoor Sagerunex
Τα backdoors, όπως τα νέα SilentPrism και DarkWisp αναφέρονται σε ειδικούς μηχανισμούς πρόσβασης σε ένα σύστημα ή πρόγραμμα υπολογιστή, οι οποίοι επιτρέπουν σε έναν χρήστη (συνήθως έναν επιτιθέμενο ή προγραμματιστή) να παρακάμψει τα κανονικά μέτρα ασφαλείας και να αποκτήσει πρόσβαση χωρίς την εξουσιοδότηση των νόμιμων χρηστών. Η χρήση backdoor σε υπολογιστικά συστήματα μπορεί να έχει σοβαρές συνέπειες για την ασφάλεια, γι' αυτό η ανίχνευση και εξάλειψή τους είναι κρίσιμη για την προστασία των συστημάτων.
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια