المجموعة الروسية Encrypthub تستغل الأضعف MSC Eviltwin لنشر البرامج الضارة للسرقة المتقلبة
ممثل التهديد المعروف باسم Encrypthub يستمر في استغلال عيب أمان محصور الآن يؤثر على Microsoft Windows لتقديم حمولات ضارة.
قالت Trustwave SpiderLabs إنها لاحظت مؤخرًا حملة Encrypthub تجمع بين الهندسة الاجتماعية واستغلال الضعف في إطار Microsoft Management Console (MMC) (CVE-2025-26633 ، AKA MSC eviltwin) لتشغيل روتين العدوى عبر ملف Microsoft Rogue (MSC).
“هذه الأنشطة هي جزء من موجة واسعة ومستمرة من النشاط الخبيث الذي يمزج الهندسة الاجتماعية مع الاستغلال الفني لتجاوز الدفاعات الأمنية والسيطرة على البيئات الداخلية”. قال.
Encrypthub ، التي تم تتبعها أيضًا باسم Larva-208 و Water Gamayun ، هي مجموعة قرصنة روسية اكتسبت أولًا في منتصف عام 2014. يعمل الطاقم ذو الدوافع المالي ، التي تعمل في وتيرة عالية ، بالاستفادة من العديد من الطرق ، بما في ذلك عروض الوظائف المزيفة ، ومراجعة المحفظة ، وحتى التنازل عن ألعاب البخار ، لإصابة الأهداف باستخدام البرامج الضارة للسرقة.
تم توثيق إساءة استخدام ممثل التهديد لـ CVE-2015-26633 من قبل Trend Micro في مارس 2025 ، وكشفت الهجمات التي تقدم اثنين من الخلفية تسمى SilentPrism و Darkwisp.
يتضمن أحدث تسلسل للهجوم ممثل التهديد الذي يدعي أنه من قسم تكنولوجيا المعلومات وإرسال طلب فرق Microsoft إلى الهدف بهدف بدء اتصال بعيد ونشر الحمولات الثانوية عن طريق أوامر PowerShell.
من بين الملفات التي تم إسقاطها ، يوجد ملفان MSC مع نفس الاسم ، أحدهما حميد والآخر ضار ، يتم استخدامه لإحداث CVE-2025-26633 ، مما يؤدي في النهاية إلى تنفيذ ملف MSC المارق عند إطلاق نظيره غير الضار.
يقوم ملف MSC ، من جانبه ، بإحضاره وينفذ من خادم خارجي نصيًا آخر PowerShell يجمع معلومات النظام ، ويؤسس ثباتًا على المضيف ، ويتواصل مع خادم encrypthub الأوامر والسيطرة (C2) لتلقي الحمولة الضارة وتشغيلها ، بما في ذلك سرقة تسمى STEALER.
وقال الباحثون: “يتلقى البرنامج النصي أوامر من المهاجمين من المهاجمين ، وينكفضها ، ويدير الحمولة مباشرة على الجهاز المصاب”.
تم نشره أيضًا من قبل ممثل التهديد على مدار الهجوم ، وهو محمل قائم على GO CODENAMED SILKCRYSTAL ، والذي يسيء إلى الدعم الشجاع ، وهو منصة شرعية مرتبطة بمتصفح الويب الشجاع ، لاستضافة البرامج الضارة من المرحلة التالية-وهو أرشيف مضغوط يحتوي على ملفين MSC لسلاح CVE-2025-26633.
ما يجعل هذا الأمر مهمًا هو أن مرفقات الملفات على منصة الدعم الشجاعة مقيدة للمستخدمين الجدد ، مما يشير إلى أن المهاجمين تمكنوا بطريقة ما من الحصول على وصول غير مصرح به إلى حساب مع أذونات التحميل لسحب المخطط.
تشمل بعض الأدوات الأخرى المنشورة أوراق Golang الخلفية التي تعمل في كل من وضع العميل والخادم لإرسال بيانات تعريف النظام إلى خادم C2 ، بالإضافة إلى إعداد البنية التحتية C2 من خلال الاستفادة من بروتوكول نفق بروكسي Socks5.
هناك أيضًا أدلة على أن ممثلي التهديد يواصلون الاعتماد على سحر مؤتمرات الفيديو ، وهذه المرة تقوم بإعداد منصات زائفة مثل Rivatalk لخداع الضحايا لتنزيل مثبت MSI.
يؤدي تشغيل المثبت إلى تسليم العديد من الملفات: مثبت Leghative Early Launch Anti-Malware (ELAM) ثنائيًا من Symantec الذي يستخدم لتحميل DLL الضار الذي يطلق بدوره أمر PowerShell لتنزيل وتشغيل نص PowerShell آخر.
لقد تم تصميمه لجمع معلومات النظام وتنفيذها إلى خادم C2 ، وانتظار تعليمات PowerShell المشفرة التي يتم فك تشفيرها وتنفيذها لمنح المهاجمين السيطرة الكاملة على النظام. يعرض البرامج الضارة أيضًا رسالة منبثقة “تكوين النظام” المزيفة كخدعة ، مع تشغيل وظيفة خلفية لإنشاء حركة مرور المتصفح المزيفة عن طريق تقديم طلبات HTTP إلى مواقع الويب الشهيرة وذلك لمزج الاتصالات C2 مع نشاط الشبكة العادي.
وقال تراسويف: “يمثل ممثل تهديدات Encrypthub خصمًا جيدًا وتكيفيًا ، ويجمع بين الهندسة الاجتماعية ، وإساءة استخدام المنصات الموثوقة ، واستغلال نقاط الضعف في النظام للحفاظ على الثبات والسيطرة”.
“إن استخدامهم لمنصات مؤتمرات الفيديو المزيفة ، وهياكل القيادة المشفرة ، وتطوير أدوات البرامج الضارة يؤكد على أهمية استراتيجيات الدفاع ذات الطبقات ، وذكاء التهديد المستمر ، والتدريب على الوعي بالمستخدمين.”
